Lista di controllo per la conformità al GDPR

Image of Carlo Cilento

Pubblicato il 16 mag 2023 e modificato il 15 ago 2023 da Carlo Cilento

La maggior parte delle aziende odia avere a che fare con il GDPR, e possiamo capirne il motivo. Le regole possono essere confuse, soprattutto per le piccole imprese che non dispongono di personale legale interno.

L'autorità danese per la protezione dei dati ha recentemente pubblicato una bella lista di controllo del GDPR per le piccole imprese.

Non si tratta di una lista di controllo esaustiva, ma piuttosto di un punto di partenza per valutare la conformità della vostra azienda. Tuttavia, l'elenco contiene alcuni buoni consigli e vale la pena darci un'occhiata.

Tuffiamoci nel vivo!

  1. Avere un quadro chiaro
  2. Chiedetevi: perché ho questi dati?
  3. Cancellare i dati
  4. Fornire informazioni sui dati trattati
  5. Predisporre procedure solide e chiare per la gestione delle richieste
  6. Occuparsi della sicurezza informatica
  7. Siete responsabili della condivisione dei dati personali
  8. Conclusioni
Logo of the Government of the United KingdomThe UK Government chose Simple AnalyticsJoin them

Avere un quadro chiaro

Il primo passo per conformarsi al GDPR è sapere cosa si fa con i propri dati. Per questo motivo il DPA raccomanda di iniziare a porsi domande cruciali:

  • Quali dati personali controllo e tratto?
  • Di chi sono i dati? Sono dei vostri dipendenti/clienti/utenti?
  • Dove sono conservati questi dati?

Queste domande possono sembrare banali, ma non lo sono. Molte aziende hanno solo un'idea molto vaga di quali dati gestiscono e come, comprese quelle più grandi (mi riferisco a Meta).

Comprendere il trattamento dei dati è un primo passo indispensabile per la conformità e un requisito fondamentale per una buona governance dei dati. Per questo motivo, la tenuta di un registro delle attività di trattamento è un requisito legale per le aziende più grandi ai sensi del GDPR (così come per le aziende più piccole che effettuano trattamenti di dati a rischio più elevato).

Indipendentemente dal fatto che non siate tenuti a tenere un ROPA o meno, dovreste avere una chiara visione d'insieme del vostro trattamento dei dati. Un quadro chiaro e accurato mette in evidenza i possibili problemi di conformità e le opportunità di migliorare e semplificare il trattamento dei dati. Inoltre, aiuta a rispondere alle richieste di accesso ai sensi del GDPR, perché sapete già dove sono conservati i dati all'interno dei vostri sistemi e come recuperarli.

Se volete fare un ulteriore passo avanti, potete mappare i vostri flussi di dati. Abbiamo accennato alla mappatura dei dati qualche tempo fa per dare ai nostri lettori un'idea molto generale dell'aspetto delle mappe dei dati e del perché sono utili sia per la conformità che per la governance dei dati.

Chiedetevi: perché ho questi dati?

Ogni volta che si controllano dati personali, ci si deve chiedere: Perché ho questi dati? Se trovate una buona risposta alla domanda, probabilmente avete una base giuridica ai sensi del GDPR.

Le basi giuridiche sono una nozione cruciale di cui abbiamo già parlato qualche tempo fa. Il GDPR richiede che ogni trattamento di dati personali abbia una base giuridica, in sostanza una sorta di giustificazione legale. Il GDPR offre sei basi giuridiche tra cui scegliere, come il consenso, un contratto o un obbligo legale.

Il DPA ha riassunto le basi giuridiche disponibili come semplici domande da porsi:

  • Ho il consenso della persona a cui si riferiscono i dati - la cosiddetta persona interessata? (consenso)
  • Ho bisogno dei dati per adempiere a un contratto con la persona interessata? (esecuzione di un contratto)
  • Ho bisogno dei dati per esercitare un'autorità pubblica o per svolgere un compito di interesse pubblico? (interesse pubblico o autorità pubblica)
  • Sono obbligato per legge a conservare questi dati? (obbligo legale)
  • Ho un altro buon motivo per trattare i dati? Se sì, il trattamento può causare danni o problemi all'interessato? (interesse legittimo)

(Sì, queste sono cinque domande - la base giuridica dell'interesse vitale è stata lasciata da parte perché il suo uso è molto eccezionale).

Inutile dire che le cose sono più complesse di così. Ogni base giuridica ha i propri limiti e requisiti. Ad esempio, il consenso deve essere dato liberamente, il che esclude che ci si possa affidare al consenso in alcuni scenari, come il trattamento dei dati dei dipendenti. Anche il bilanciamento dell'interesse legittimo è più complicato che chiedersi se si può danneggiare qualcuno trattando i suoi dati (per maggiori informazioni al riguardo, potete consultare l'ICO del Regno Unito ).

Detto questo, la conformità inizia ponendosi le domande giuste, e quelle di cui sopra sono un buon punto di partenza.

Dovete anche sapere se state trattando dati sensibili o meno. I dati sensibili sono tipi di dati molto sensibili, come i dati sulla salute, l'origine etnica, le convinzioni politiche e i dati sulla vita e l'orientamento sessuale di una persona (l'elenco completo si trova nell'articolo 9 del GDPR).

I dati sensibili ricevono una protezione speciale ai sensi del GDPR. Non basta avere una base giuridica per trattarli legittimamente, perché si applicano regole più severe rispetto ai dati personali comuni. Se trattate dati sensibili, potreste aver bisogno di una consulenza professionale su come conformarvi alle leggi sulla privacy.

Cancellare i dati

Idati personali devono essere cancellati non appena non sono più necessari. Questo è il principio di limitazione della conservazione in breve.

Cancellare i dati non necessari (e non raccoglierli in primo luogo!) è sia un requisito previsto dal GDPR che una buona idea in generale. La cancellazione dei dati non necessari consente di liberare spazio di archiviazione. Inoltre, mantiene i vostri archivi più piccoli e ordinati, rendendo più facile trovare i dati quando servono.

Il GDPR non consente di conservare i dati perché potrebbero essere utili un giorno. Raccogliete e conservate solo i dati di cui avete bisogno ora o in uno specifico e probabile scenario futuro. Il vostro DPA non vi consentirà di conservare i dati personali per decenni, fino a quando non avremo un'intelligenza artificiale del futuro con cui fare cose incredibilmente belle.

Datatilsynet spiega che il GDPR non prevede un periodo fisso di conservazione dei dati. La decisione spetta a voi perché sapete di quali dati avete bisogno.

Questo non significa che potete fare quello che volete. Se i vostri periodi di conservazione dei dati sono irragionevoli, violate il principio di limitazione della conservazione e potreste essere ritenuti responsabili da un'autorità per la privacy o da un tribunale.

Fornire informazioni sui dati trattati

Se controllate i dati di qualcuno, dovete informarlo che li state trattando. Questo vale anche quando vi limitate a conservare i dati, perché la conservazione dei dati è un tipo di trattamento dei dati ai sensi del GDPR.

Ai sensi del GDPR, è necessario fornire alcune informazioni:

  • Nome della società e informazioni di contatto (comprese le informazioni di contatto del vostro responsabile della protezione dei dati, se ne avete uno).
  • Quali dati state trattando
  • Perché state trattando i dati e su quale base giuridica
  • Con chi condividete le informazioni
  • Per quanto tempo conserverete le informazioni
  • Quali diritti ha il lettore e come può esercitarli.

L'elenco di Datailsynet è una sintesi piacevole e leggibile di ciò che è richiesto dagli articoli 13 e 14 del GDPR. Queste informazioni sono la vostra informativa sulla privacy (spesso indicata come informativa sulla privacy, anche se le due cose non sono esattamente la stessa cosa).

Dovete fornire la vostra informativa sulla privacy in un linguaggio chiaro e accessibile. Lasciate da parte il legalese e spiegate al lettore cosa fate con i suoi dati, quali diritti ha e come può esercitarli. È più complicato di quanto sembri, ma è un obbligo di legge.

Un approccio a più livelli può essere d'aiuto. Un'informativa sulla privacy a più livelli prevede un primo livello che contiene le informazioni più essenziali in una forma molto semplice e leggibile. Questo livello rimanda ad altre pagine o livelli contenenti informazioni più approfondite su argomenti specifici, come ad esempio le garanzie che state implementando per il trasferimento dei dati e il significato pratico dei diritti dell'interessato.

Cercare di racchiudere tutte queste informazioni in un unico livello renderebbe la vostra informativa sulla privacy lunga e difficile da leggere, quindi un'informativa stratificata può raggiungere un buon equilibrio tra dettaglio e accessibilità, a patto che manteniate tutte le informazioni cruciali nel primo livello.

Le informative sulla privacy a più livelli sono relativamente facili da implementare quando vengono fornite online, basti pensare alle informative sulla privacy dei siti web. In un contesto diverso, a volte è possibile fornire un breve avviso attraverso altri mezzi e rimandare il lettore a una pagina web per ulteriori informazioni.

Se siete curiosi, il nostro esempio di informativa sui cookie di Google Analytics può darvi un'idea di come si presenta un'informativa sulla privacy a più livelli.

Predisporre procedure solide e chiare per la gestione delle richieste

Se trattate i dati di una persona, questa può esercitare determinati diritti inoltrandovi una richiesta. Ad esempio, può richiedere l'accesso ai propri dati, oppure la loro correzione o cancellazione.

Leprocedure sono molto importanti per gestire le richieste sia nelle grandi che nelle piccole organizzazioni. In un'organizzazione più piccola, le richieste non sono generalmente gestite da esperti legali. Una procedura chiara per la gestione delle richieste può chiarire cosa deve fare la persona responsabile della gestione delle richieste.

(A proposito, le aziende più piccole potrebbero voler affidare a un'unica persona la gestione delle richieste, in quanto ciò rende più facile tenerne traccia).

Le organizzazioni più grandi devono affrontare sfide diverse. Da un lato, hanno in genere personale legale preparato che sa come devono essere gestite le richieste. Dall'altro, gli stessi dati personali sono spesso trattati da team diversi e archiviati in sistemi diversi. I diversi team devono quindi collaborare per recuperare o cancellare i dati e una procedura chiara è fondamentale per garantire il coordinamento.

Datatilsynet fornisce altri buoni consigli per la gestione delle richieste. Ad esempio, è necessario disporre di una solida politica di identificazione per le richieste di accesso, per evitare di cadere nel tranello di chi tenta di rubare l'identità.

È più facile a dirsi che a farsi, ma come regola generale, dovreste sfruttare i dati personali già in vostro possesso ogni volta che è possibile. Ad esempio, se la richiesta proviene da un utente del vostro sito web, potete chiedergli di fornire i suoi dati di accesso e, se vi ha fornito in precedenza il suo numero di telefono, potete inviargli un codice di autenticazione sul telefono. Non chiedete altre informazioni personali (come il documento d'identità) a meno che non sia strettamente necessario.

Il sito web di Datatilsynet contiene ulteriori informazioni utili su come gestire le richieste. Se il vostro danese non è un granché, potete consultare anche il sito web dell'ICO del Regno Unito.

Le autorità si occupano di molti casi di richieste di questo tipo, quindi non siamo sorpresi di vederle nella lista di controllo di Datatilsynet. Sono una fonte comune di multe e problemi legali per le organizzazioni, quindi assicuratevi di gestirle correttamente.

Occuparsi della sicurezza informatica

Dovete trattare i dati di altre persone in modo sicuro. Per garantire ciò, dovete preoccuparvi della sicurezza tecnica e organizzativa.

Lasicurezza tecnica è quella che viene in mente quando si parla di sicurezza informatica: firewall, crittografia, backup e così via. Per le piccole imprese, si tratta di cose semplici ma importanti, come tenere aggiornato tutto il software, assicurarsi che siano in funzione un buon antivirus e un buon firewall, insegnare al personale come riconoscere le e-mail di phishing ed eseguire regolarmente il backup dei sistemi.

D'altra parte, la sicurezza organizzativa consiste nel regolare l'accesso ai dati all'interno dell'organizzazione e nel garantire che i dati possano essere visualizzati solo dai membri del personale che ne hanno effettivamente bisogno. Le piccole imprese probabilmente non hanno bisogno di un sistema di autorizzazione complicato.

Tuttavia, può essere una buona idea proteggere alcuni dati con una password o creare diversi account con privilegi diversi sullo stesso computer. Datatilsynet suggerisce altre importanti precauzioni, come bloccare lo schermo quando si lascia il computer e assicurarsi che tutti i dati vengano cancellati dai dispositivi prima di smaltirli.

Gliobblighi di sicurezza sono proporzionali ai rischi. Non avrete bisogno di una crittografia dei dati all'avanguardia se elaborate solo le informazioni di fatturazione per i vostri clienti e i dati dei dipendenti per le loro buste paga. D'altro canto, le organizzazioni che trattano dati sensibili, come quelli medici o di localizzazione, possono essere tenute a rispettare standard di sicurezza più elevati, indipendentemente dalle dimensioni e dalle risorse.

Siete responsabili della condivisione dei dati personali

Potreste voler condividere i dati personali per molte ragioni. Forse vi affidate a un elaboratore di dati per la vostra posta elettronica, il software per le risorse umane o le analisi web. O forse volete condividere i dati con qualcun altro che li utilizzerà per i propri scopi, come ad esempio gli ospedali che divulgano i dati agli istituti di ricerca.

In ogni caso, siete responsabili della decisione di condividere i dati personali. Dovete assicurarvi che i dati vengano gestiti correttamente dopo la divulgazione e informare le persone di cui state condividendo i dati.

Dovete anche assicurarvi di essere autorizzati a divulgare i dati. Tornate al punto due e chiedetevi: ho davvero un buon motivo per divulgare i dati?

Conclusioni

Sembrano molte cose da tenere a mente. Per questo motivo, i critici del GDPR affermano che esso comporta un onere eccessivo per le organizzazioni, soprattutto per quelle più piccole.

Questa critica è in parte vera. Il GDPR cerca di mitigare gli oneri di conformità limitando alcuni obblighi di conformità alle aziende più grandi o ai casi in cui sono assolutamente necessari. Tuttavia, le regole sono tutt'altro che semplici e possono essere complicate da gestire.

Ma alcune regole sono necessarie. Il trattamento dei dati personali è intrinsecamente rischioso. Un'azienda non dovrebbe immagazzinare e trasportare carburante senza alcuno standard di sicurezza. Per questo motivo esistono ovunque norme di sicurezza per queste attività. Lo stesso vale per l'elaborazione dei dati: In questo momento, sempre più governi in tutto il mondo si rendono conto dei rischi legati al trattamento dei dati personali e stabiliscono norme sulla privacy.

Il modo migliore per rispettare queste regole è non trattare alcun dato personale. Ma nella maggior parte dei casi, questo non è semplicemente fattibile.

La seconda cosa migliore da fare è tenere presente la minimizzazione dei dati. Ne abbiamo già parlato e, in poche parole, la minimizzazione dei dati significa raccogliere solo i dati realmente necessari. Meno dati si controllano, meno ci si deve preoccupare della conformità.

Noi di Simple Analytics teniamo molto alla minimizzazione dei dati. Abbiamo costruito Simple Analytics per fornire ai nostri clienti grandi analisi e approfondimenti senza raccogliere dati personali. Ciò consente alle aziende di prosperare e di effettuare analisi in modo etico e rispettoso della privacy. Se vi sembra una buona idea, non esitate a provarci!

GA4 è complesso. Prova Simple Analytics

GA4 è come sedersi in cabina di un aereo senza licenza di pilota

Inizia prova di 14 giorni