Quali sono i documenti privacy da adottare per poter essere conforme al trattamento di dati personali?

 

I “documenti” privacy

Al fine di poter dare vita ad un’organizzazione compliant al Regolamento UE 679/2016 (c.d. “GDPR”) i titolari del trattamento devono innanzitutto individuare tutti i dati personali che vengono trattati e valutare i rischi connessi al loro trattamento, oltre a definire i ruoli che vengono ricoperti dai vari soggetti coinvolti. Solo al termine di queste indagini il titolare procede con la predisposizione e l’adozione di una documentazione privacy adeguata.

Vediamo, quindi, in generale, quali sono i principali documenti privacy di cui ci si deve munire.

 

L’informativa sul trattamento dei dati personali

L’art. 12 del GDPR prevede che il titolare del trattamento debba fornire agli interessati le informazioni relative al trattamento in forma concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro.

Queste informazioni vengono fornite tramite l’informativa[1], che dovrà necessariamente contenere:

  • i dati identificativi del titolare del trattamento e, ove presente, del DPO;
  • le finalità e le basi giuridiche del trattamento;
  • i destinatari (anche per categorie) dei dati personali;
  • l’indicazione dell’eventuale trasferimento dei dati personali a un paese estero;
  • il periodo di conservazione dei dati personali o, se non è possibile determinarlo, i criteri utilizzati per determinare tale periodo;
  • i diritti dell’interessato;
  • la natura del conferimento dei dati (facoltativa o obbligatoria);
  • l’esistenza di un eventuale processo decisionale automatizzato e le informazioni che riguardano quel processo.

 

La lettera di designazione

Il Codice Privacy prevede la figura del “designato”, ossia un soggetto che opera sotto l’autorità e responsabilità del titolare del trattamento, effettuando materialmente le operazioni di trattamento dei dati personali. Il GDPR, invece, non menziona tale figura e di conseguenza non impone alcun obbligo di nomina o designazione espressa. Tuttavia, ai sensi dell’art. 29 GDPR chiunque tratti dati personali deve ricevere istruzioni operative specifiche e la necessaria formazione. Questo avviene con un’apposita lettera di designazione.

 

I contratti con i responsabili del trattamento

Il GDPR prevede che il titolare del trattamento possa avvalersi di responsabili che trattino per suo conto dati personali. I trattamenti effettuati dal responsabile, su istruzione documentata del titolare, sono disciplinati da un apposito contratto o un altro atto giuridico, di cui il GDPR detta il contenuto[2].

 

Il registro dei trattamenti: finalità e contenuto

I titolari e i responsabili del trattamento sono tenuti a tenere il registro delle attività di trattamento in forma scritta anche elettronica.

In ambito privato, i soggetti obbligati alla tenuta sono:

  • imprese o organizzazioni[3] con almeno 250 dipendenti;
  • qualunque titolare o responsabile che effettui trattamenti che possano presentare un rischio per i diritti e le libertà dell’interessato;
  • qualunque titolare o responsabile che effettui trattamenti non occasionali;
  • qualunque titolare o responsabile che effettui trattamenti delle categorie particolari di dati o relativi a condanne penali e a reati.

 

Tuttavia, oltre ai casi per i quali è previsto un obbligo di tenuta del registro, anche alla luce del considerando 82 GDPR, il Garante per la protezione dei dati ne raccomanda la redazione a tutti i titolari e responsabili del trattamento. Questo in quanto si tratta di uno strumento che, fornendo una fotografia del tipo di trattamenti svolti, contribuisce ad attuare il principio di accountability[4] e, al contempo, ad agevolare l’attività di controllo del Garante.

L’art. 30 del Regolamento prevede che il registro debba contenere:

  1. il nome e i dati di contatto del titolare del trattamento (e, ove applicabile, del contitolare del trattamento, del rappresentante del titolare del trattamento e del DPO);
  2. le finalità del trattamento;
  3. la descrizione delle categorie di interessati e le categorie di dati personali;
  4. le categorie di destinatari a cui i dati personali sono stati o saranno comunicati;
  5. i trasferimenti verso un paese terzo o un’organizzazione internazionale;
  6. ove possibile, i termini ultimi previsti per la cancellazione delle diverse categorie di dati;
  7. ove possibile, una descrizione generale delle misure di sicurezza tecniche e organizzative adottate.

 

Registro delle violazioni

L’art. 4 del GDPR definisce la violazione dei dati personali (c.d. data breach) come “la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati“.

Il titolare del trattamento senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza, deve notificare la violazione al Garante tramite un’apposita procedura telematica, a meno che sia improbabile che la violazione dei dati personali comporti un rischio per i diritti e le libertà delle persone fisiche[5].

Qualora la violazione comporti un rischio elevato per i diritti delle persone, il titolare deve comunicarla a tutti gli interessati.

Il titolare del trattamento, a prescindere dalla notifica al Garante, deve documentare tutte le violazioni dei dati personali, ed è incoraggiato a tenere un apposito registro delle violazioni[6], che dovrà contenere le circostanze relative alla violazione (data e ora in cui è avvenuta), data e ora in cui la notifica è stata effettuata al Garante, le conseguenze e i provvedimenti adottati per porvi rimedio e, qualora la violazione sia stata ritardata o non sia stata notificata al Garante, i motivi di tale decisione.

 

Altri documenti privacy

Vi sono poi altri documenti privacy che possono essere adottati dal titolare del trattamento:

  • il Modello Organizzativo Privacy, ossia un documento in cui viene descritta l’organizzazione lato privacy del titolare e le varie attività intraprese per adeguarsi al GDPR;
  • la Procedura che disciplina l’utilizzo degli strumenti informatici;
  • la Procedura per agevolare l’esercizio dei diritti[7] da parte degli interessati e un registro che documenti le richieste ricevute;
  • l’Organigramma privacy;
  • la Valutazione d’Impatto (c.d. DPIA[8]), ossia una procedura prevista dall’art. 35 del GDPR che descrive un trattamento di dati per valutarne la necessità e la proporzionalità e i relativi rischi, allo scopo di approntare misure idonee ad affrontarli. Deve essere effettuata dal titolare prima di procedere al trattamento di dati personali qualora il trattamento possa comportare un rischio elevato per i diritti e le libertà delle persone interessate.

Informazioni

https://www.garanteprivacy.it/

https://edpb.europa.eu/edpb_it

Decreto Legislativo n. 196/2003

Decreto Legislativo n. 101/2018

Regolamento UE 679/2016

[1] Per un ulteriore approfondimento si veda: L’informativa sulla privacy ex art. 13 GDPR – DirittoConsenso.

[2] Si veda l’articolo: Gli “attori” della privacy – DirittoConsenso.

[3] Rientrano nella categoria delle “organizzazioni” di cui all’art. 30, par. 5 anche le associazioni, fondazioni e i comitati.

[4] In base al “principio di accountability”, introdotto dal GDPR, coloro che trattano dati devono adottare comportamenti proattivi e tali da dimostrare l’adozione di misure di sicurezza finalizzate ad assicurare l’applicazione del GDPR.

[5] Invece, il responsabile del trattamento che viene a conoscenza di una eventuale violazione è tenuto a informare in modo tempestivo il titolare.

[6] Come spiegato nelle Guidelines 9/2022 on personal data breach notification under GDPR adottate dall’EDPB: https://edpb.europa.eu/system/files/2022-10/edpb_guidelines_202209_personal_data_breach_notification_targetedupdate_en.pdf

[7] Per un approfondimento circa i diritti riconosciuti agli interessati dal GDPR si veda: I diritti presenti nel GDPR – DirittoConsenso.

[8] Data Protection Impact Assessment.