DOMANDE FREQUENTI
Registro dei Trattamenti dei Dati Personali (GDPR)

INDICE
•  Chi è il Rappresentante e quando va nominato
•  Chi è il Responsabile del trattamento?
•  Cosa si intende per finalità del trattamento?
•  Che cos'è la base giuridica?
•  Come determinare il periodo di conservazione dei dati?
•  Cosa si intende per trasferimento dei dati al di fuori dell'Unione Europea?
•  Che cosa sono le garanzie adeguate?
•  Che cosa sono le misure di sicurezza?
•  Chi è il responsabile della protezione dei dati personali (DPO)?

Chi è il Rappresentante e quando va nominato

Il Rappresentante deve essere nominato quando il titolare di trattamento dei dati personali non è stabilito nell’Unione Europea.

Per determinare se un soggetto è stabilito o meno nell'UE si deve fare riferimento al luogo dove questi ha la stabile organizzazione, vale a dire dove svolge le principali attività di trattamento. Per esempio, se un soggetto extra UE ha un sito web che si rivolge a cittadini dell’Unione Europea ma non ha alcuna sede fisica presente in Europa o ha semplicemente un magazzino per la sola consegna di merci, il soggetto straniero dovrà nominare un rappresentante a meno che non ci si trovi nelle situazioni in cui il GDPR non prevede l'obbligatorietà della nome del rappresentante.

La nomina del Rappresentante è invece obbligatoria quando:

  • tratta dati personali di interessati che si trovano nell’Unione in modo continuativo
  • le attività di trattamento sono relative all’offerta di beni o alla prestazione di servizi a cittadini europei
  • le attività consistono nel monitoraggio del comportamento dei cittadini europei (ad esempio il controllo del comportamento degli utenti con lo scopo di profilare le loro abitudini e i loro comportamenti).

La designazione del rappresentante non è obbligatoria quando:

  • i dati personali degli interessati europei vengono elaborati solo occasionalmente
  • il trattamento non include il trattamento su larga scala di categorie speciali di dati o dati giudiziari o dati relativi a condanne penali;
  • il trattamento non comporta un rischio per i diritti e le libertà degli interessati
  • il titolare è un'autorità o un organismo pubblico.

Chi è il Responsabile del trattamento?

Il Responsabile del trattamento (denominato anche data processor) è la persona fisica, giuridica, o pubblica amministrazione o ente che viene nominato dal Titolare e che tratta i dati per conto del Titolare stesso.

Tale soggetto deve poter fornire garanzie per assicurare il rispetto delle norme in materia di trattamento dei dati personali e garantire la tutela dei diritti dell'interessato. Pertanto, il responsabile del trattamento dovrà avere una competenza specifica, come ad esempio la frequentazione di corsi di aggiornamento sulla privacy, e attuare le misure tecniche e organizzative che soddisfino i requisiti stabiliti dal regolamento europeo.

Il titolare dovrà incaricare il Responsabile con un accordo scritto che disciplini la durata, la natura e la finalità del trattamento dei dati, la tipologia di dati personali trattati, gli obblighi e i diritti del Titolare.

Il contratto deve inoltre prevedere che il Responsabile non possa nominare un altro responsabile senza previa autorizzazione scritta del Titolare.

Si rammenta che entrambi devono tenere un registro di trattamento dei dati.

Cosa si intende per finalità del trattamento?

Si intende lo scopo del trattamento dei dati personali e vanno indicate TUTTE le finalità di trattamento. Si può inserire la finalità relativa all'attività svolta, ad esempio se si vendono al dettaglio determinati prodotti, si potrà indicare come finalità la vendita di beni. 

Lo stesso venditore di beni inoltre effettuerà il trattamento dei dati personali dei propri clienti per ulteriori finalità: si pensi alle finalità di supporto clienti o ancora all'invio di nuove offerte dei propri prodotti (per finalità di marketing).

Che cos'è la base giuridica?

Quando vengono trattati i dati personali è necessario identificare quale base giuridica giustifica il trattamento, vale a dire l'indicazione della disposizione (di legge), misura o azione che ne legittimi il trattamento.

Le basi giuridiche legittime previste dalla GDPR sono:

  • consenso dell'interessato: che autorizza esplicitamente il trattamento dei dati personali per una o più specifiche finalità;
  • esecuzione di un contratto o di previsioni precontrattuali: quando il trattamento è necessario per adempiere ad un contratto voluto dall'interessato (ad esempio, se devi spedire dei beni acquistati da un cliente avrai la necessità di raccogliere i suoi dati personali come nome, cognome, indirizzo, etc.)
  • adempimento obbligo di legge: quando il trattamento dei dati è imposto da una legge, regolamento, etc. (ad esempio, se devi fatturare l'acquisto di un bene al cliente, dovrai raccogliere i suoi dati fiscali, etc.);
  • interesse legittimo del Titolare: il trattamento dei dati è legittimo quando è necessario per il perseguimento delle finalità per cui sono stati raccolti, a condizione però che non prevalgano gli interessi o diritti dell'interessato.
  • interesse vitale dell’interessato: quando il trattamento è necessario per salvaguardare la vita dell'interessato o di un'altra persona fisica (ad esempio, se si deve procedere con un intervento di emergenza o salvavita ci sarà la necessità di conoscere i dati sulla salute dell'interessato);
  • esecuzione di un compito svolto nell’interesse pubblico: quando il trattamento è necessario per svolgere un compito di interesse pubblico o connesso ai pubblici poteri (ad esempio, durante le consultazioni elettorali gli scrutatori o i rappresentanti di lista possono venire a conoscenza di dati personali anche di natura sensibile).

Come determinare il periodo di conservazione dei dati?

Dovrai indicare per ogni finalità per quanto tempo i dati verranno conservati e assicurarti che tale periodo di conservazione sia limitato al minimo necessario. I dati non potranno essere trattenuti oltre il termine stabilito.

Le ragioni di questi obblighi sono fondate sul principio di minimizzazione dei dati secondo cui i dati devono essere adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati.

In virtù del principio di esattezza è invece necessario verificare che i dati raccolti siano corretti e sempre aggiornati. È necessario infatti che vengano adottate tutte le misure idonee a cancellare o rettificare tempestivamente i dati eventualmente inesatti rispetto alle finalità per le quali sono raccolti.

Infine, il principio della limitazione della conservazione impone che i dati personali siano conservati in una forma che consenta l'identificazione degli interessati per un arco di tempo limitato e non superiore al conseguimento delle finalità del trattamento.

I dati personali possono essere conservati per periodi più lunghi solo per fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici, fatta salva l'attuazione di misure tecniche e organizzative adeguate a tutela dei diritti e delle libertà dell'interessato.

Cosa si intende per trasferimento dei dati al di fuori dell'Unione Europea?

Il trasferimento dei dati verso Paesi che non fanno parte dell'Unione o ad organizzazioni internazionali può avvenire solo in tre ipotesi:

  1. Se sussiste una decisione di adeguatezza nei confronti del Paese extra UE da parte della Commissione Europea che serve a verificare e garantire che il livello di protezione dei dati sia appropriato e confacente a quello previsto nel GDPR
  2. Se il Paese terzo o l'organizzazione ha fornito garanzie adeguate (ad esempio, si avvale di clausole contrattuali standard, fa riferimento a norme vincolanti di impresa, utilizza nei contratti clausole previste da autorità di controllo e approvate dalla Commissione Europea, etc) e gli interessati hanno a disposizione diritti e strumenti di tutela effettivi
  3. Se l'autorità competente del Paese terzo ha approvato delle Norme Vincolanti di Impresa che servono a disciplinare i rapporti tra le società U.E. ed extra U.E. appartenenti allo stesso gruppo d'impresa. Sono clausole contrattuali vincolanti per tutte le società appartenenti al gruppo ed espressamente accettate.

Per completezza si segnala che la Commissione Europea ha emesso decisioni di adeguatezza per i seguenti paesi extra UE: Andorra, Argentina, Australia, Canada, Faer Oer, Guernsey, Isola di Man, Israele, Jersey, Nuova Zelanda, Svizzera, Uruguay, USA (con certificazione privacy shield). Per l'elenco completo vai a questo link.

Che cosa sono le garanzie adeguate?

E' possibile trasferire dati personali in un Paese non appartenente all'Unione anche quando non sussiste una decisione di adeguatezza con la quale la Commissione Europea ha stabilito che il paese garantisce un livello di garanzie (protezione) adeguato. In tal caso il trasferimento non necessita di autorizzazioni specifiche.

In mancanza di una decisione di adeguatezza da parte della Commissione Europea riguardo un paese extra UE, si possono comunque trasferire dati personali verso un Paese terzo o un'organizzazione internazionale. Dovranno però essere assicurate garanzie adeguate che agli interessati siano riconosciuti diritti azionabili e mezzi di ricorso effettivi per la tutela dei loro diritti.

Possono costituire garanzie adeguate, senza necessitare di autorizzazioni specifiche da parte dell'autorità di controllo:

  1. Paese con decisione di adeguatezza: La Commissione europea può decidere che il livello di protezione offerto in un determinato Paese è adeguato e quindi sarà possibile trasferire i dati in quei paesi.
  2. Firma di clausole Standard Commissione Europea: La Commissione europea può stabilire alcuni strumenti contrattuali che consentano di trasferire i dati verso Paesi terzi. Nella pratica, inserendo il contenuto delle clausole contrattuali, in un contratto utilizzato per il trasferimento, colui che esporta i dati garantisce che saranno trattati in maniera conforme ai principi stabiliti nella Direttiva anche nel Paese terzo di destinazione
  3. Certificazione Privacy Shield (USA): un meccanismo di certificazione previsto per le società USA che ricevono dati personali dall'UE. Nella pratica è un certificato che viene rilasciato dal dipartimento di commercio statunitense che garantisce che le società americane (certificate) si impegnano a rispettare i principi sul trattamento dei dati stabiliti dalla Commissione Europea.
  4. Contratto: l'impegno contrattuale tra colui che trasferisce i dati e la società extra Ue che li riceve a rispettare il trattamento dei dati personali previsto dal GDPR.

Che cosa sono le misure di sicurezza?

Chi tratta dati personali deve adottare misure tecniche e organizzative che garantiscano un livello di sicurezza proporzionato al rischio. Tali misure servono a prevenire rischi di distruzione, perdita, modifica, divulgazione non autorizzata o accesso, in modo accidentale o illegale, a dati personali.

Le misure di sicurezza possono comprendere ad esempio:

  1. pseudonimizzazione e cifratura: cifratura dei dati in trasmissione, cifratura dei dati salvati, pseudonimizzazione o anonimizzazione dei dati, etc.
  2. riservatezza: restrizione degli accessi, monitoraggio degli accessi, firewall, password e credenziali sicure, utilizzo di sistemi dedicati e isolati, etc.
  3. integrità/disponibilità/resilienza/ripristino tempestivo: backup, archiviazione ridondante, etc.
  4. Test/verifica: audit indipendenti di verifica, audit interni di verifica, etc.

Inoltre, anche l'adesione a un codice di condotta o a un meccanismo di certificazione possono contribuire a dimostrare di aver adottato misure di sicurezza adeguate. A questo proposito, il Titolare e il Responsabile del trattamento fanno sì che chiunque agisca sotto la loro autorità e abbia accesso a dati personali non tratti tali dati, se non è istruito in tal senso dal Titolare del trattamento, salvo che lo richieda il diritto dell'Unione o degli Stati membri.

Chi è il responsabile della protezione dei dati personali (DPO)?

Il Responsabile della protezione dei dati personali è un soggetto che viene nominato dal Titolare del trattamento o dal responsabile del trattamento per supportare, controllare e organizzare l'applicazione del nuovo Regolamento europeo (GDPR).

Il DPO va nominato quando l’attività principale consiste in trattamenti che:

  • per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala
  • riguardano dati sensibili o relativi a condanne penali o reati su larga scala.

Il DPO deve informare e fornire consulenza al Titolare o al Responsabile del trattamento e ai dipendenti in merito all'adozione delle misure e delle garanzie adeguate in materia di privacy.

Inoltre, il DPO deve garantire il rispetto della normativa sulla protezione dei dati personali e formare il personale che partecipa ai trattamenti. Inoltre, il DPO può fornire un parere sulla valutazione d'impatto e sorvegliarne lo svolgimento.

Il suo nome va comunicato all'autorità di controllo (Garante) e coopera con la stessa per le questioni legate al trattamento.

Al DPO non sono richieste specifiche attestazioni formali o l'iscrizione in appositi albi ma deve avere una conoscenza approfondita della normativa e delle prassi in materia di protezione dei dati.

Può essere un dipendente del Titolare o del Responsabile del trattamento ma non deve essere in conflitto di interessi con questi ultimi. Può essere anche un consulente esterno, anche persona giuridica (società).

Crea il tuo documento in minuti con la nostra intervista guidata
CREA IL TUO DOCUMENTOCREA IL TUO DOCUMENTO
Crea il tuo documento in minuti con la nostra intervista guidata
CREA IL TUO DOCUMENTOCREA IL TUO DOCUMENTO