Documenti privacy secondo il Regolamento Europeo 679/2016 GDPR

Il nuovo Regolamento Europeo sulla privacy il 679/2016 il GDPR comporta adempimenti che richiedono una documentazione completa, semplice e ben strutturata.

In questa pagina sono illustrati i documenti privacy necessari ad adempiere agli adempimenti previsti dal GDPR, dal Provvedimento del Garante sulla videosorveglianza e dal Provvedimento del Garante sull’amministratore di sistema.

Il Kit Documentale “Doumenti privacy” contiene la documentazione già sviluppata per adempiere alle disposizioni legislative.

Vantaggi dei Documenti Privacy:

  1. Sono riferiti puntualmente agli articoli del GDPR e ai Provvedimenti del Garante Italiano Privacy
  2. Vanno semplicemente compilati nelle parti vuote lasciate ai dati dell’Organizzazione
  3. Sono perfettamente modificabili in formato Word
  4. Favoriscono la comprensione e l’utilizzo pratico e snello, sono schematici e sinottici
  5. Sono adatti a qualunque attività di trattamento di dati personali: aziende, professionisti, commercianti ecc.

Struttura dei documenti privacy

Tutti i documenti necessari sono all’interno di una tabella che si chiama “Documenti privacy”. Al suo interno, i documenti sono raccolti in sottocartelle dedicate a precisi aspetti della privacy.

La cartella A  è dedicata ai trattamenti e alla sicurezza di questi. E’ la parte iniziale per chi vuole personalizzare la documentazione.

 

Il primo documento da personalizzare è il Registro dei trattamenti previsto all’art 30 del Regolamento europeo. Questo documento individua tutti i trattamenti dei dati personali che l’Organizzazione effettua.

Il Registro dei trattamenti da personalizzare riporta i trattamenti di dati personali più diffusi che sono quelli di:

  • dipendenti e dei collaboratori dell’Organizzazione
  • clienti e dei fornitori
  • visitatori e/o ispettori che entrano nei luoghi dell’Organizzazione
  • coloro che inviano il curriculum per effettuare un colloquio di lavoro
  • coloro che si iscrivono alla newsletter del sito oppure di coloro che rilasciano i propri recapiti per essere contattati

Ogni altro trattamento può essere aggiunto oppure eliminato in quanto la documentazione è in Word ed è perfettamente modificabile.

Il registro dei trattamenti

E’ un documento obbligatorio per le aziende che occupano più di 250 dipendenti, tuttavia è utilissimo. L’ho inserto nella documentazione in quanto permette di tracciare sinteticamente tutti i trattamenti e permette al titolare, in occasione di controlli da parte del Garante o da parte delle Forze dell’Ordine, di dimostrare di aver assunto le responsabilità relative alla privacy

Il registro dei trattamenti, definisce le finalità del trattamento, gli interessati i cui dati sono trattati all’interno della nostra Organizzazione, le categorie di dati personali trattati, i destinatari di quei dati personali, i termini ultimi per la cancellazione, gli eventuali contitolari del trattamento, i trasferimenti di dati all’estero e le relative garanzie.

L’articolo 30 del GDPR stabilisce che il registro dei trattamenti sia compilato e venga aggiornato in occasione di tutti i cambiamenti che si dovessero apportare alle attività di trattamento.

Politica per la Privacy

Tra i documenti privacy della cartella A, c’è la Privacy Policy e cioè la Politica Privacy.

La Politica  è già sviluppata attraverso l’enunciazione di principi ispiratori quali: il rispetto dei diritti dell’interessato, l’attenzione al corretto adempimento di tutti i requisiti legislativi e la scelta di trattare i dati personali con trasparenza nei confronti di coloro dei quali l’Organizzazione tratta i dati personali. L’Organizzazione se vuole può modificarla, personalizzarla o rielaborarla ex novo.

 

Documento di valutazione dei rischi

Secondo l’articolo 32 del regolamento europeo 679 (GDPR) è obbligatorio redigere il documento di valutazione dei rischi che incombono sulla sicurezza dei dati personali trattati. Attraverso questo documento, si individuado i rischi ai quali sono sottoposti i dati personali trattati. Nle documento già individuati i  rischi e  le misure tecniche ed organizzative per tenerli sotto controllo tali rischi. Il documento di valutazione dei rischi va tenuto aggiornato.

I rischi che sono già trattati all’interno della documentazione privacy sono tra quelli più diffusi e maggiormente significativi.

  • L’accesso non autorizzato
  • La rivelazione non autorizzata
  • La distruzione dei dati
  • La perdita dei dati
  • Il trafugamento dei dati per fini impropri

 

E’ necessario documentare anche nuovi rischi che dovessero essere individuati a seguito di una prima ricognizione. Anche per questi nuovi rischi devono essere applicate misure tecniche ed organizzative  affinché il rischio non sfoci in un evento negativo.

 

Misure tecniche e organizzative

I documenti privacy illustrati rispondono all’obbligo previsto dall’art.32 del GDPR di determinare e programmare le misure tecniche ed organizzative. Tali misure corrispondono alle azioni che l’Organizzazione decide di effettuare per proteggere i dati es: applicazione di antivirus o di password, costituzione di aree riservate negli uffici, formazione di coloro che sono autorizzati a trattare i dati ecc.

La documentazione già pronta include le misure tecniche e organizzative adatte ai rischi precedentemente individuati

Audit

I documenti di Audit verificano che stiano effettivamente funzionando tutte le misure tecniche ed organizzative applicate. Il titolare del trattamento deve procedere periodicamente all’audit dei dei trattamenti della propria Organizzazione. I documenti privacy presenti permettono di disporre dell’elenco delle misure da controllare e permettono di rilevare non conformità e azioni correttive.

La check list degli audit riporta i requisiti richiesti con accanto la possibilità di spunta in caso di conformità e in caso di non conformità.

Valutazione di impatto

L’articolo 35 del GDPR dispone che l’Organizzazione provveda a documentare la valutazione di impatto per quei trattamenti che possono presentare dei rischi elevati per i diritti e le libertà delle persone fisiche. Itrattamenti di cui stiamo parlando sono quelli che prevedono l’impiego di nuove tecnologie, operazioni di profilazione degli interessati, trattamenti che riguardano una grossa quantità di dati (larga scala):

Ai sensi dell’articolo 35 i titolari di trattamento devono:

  • Verificare obbligo di compilazione della valutazione di impatto
  • Chiedere parere al DPO
  • Compilare il documento di valutazione di impatto
  • Tenere aggiornato il documento di valutazione di impatto
  • Eseguire le misure tecniche/organizzative inserite nel documento
  • Verificare le misure tecniche/organizzative eseguite

I documenti privacy presenti in questo Kit Documentale illustrano i casi obbligatori della valutazione di impatto e forniscono la modulistica relativa alla valutazione dell’impatto.

DPO – Responsabile della protezione dei dati

Gli articoli 37,38 e 39 del GDPR riguardano il responsabile della protezione dei dati (DPO). Per questa figura, il titolare dei dati deve verificarne l’obbligo o l’opportunità della nomina. Costui sarà colui che si interfaccerà con gli interessti ed il Garante e terrà in sicurezza i dati personali trattati dal titolare. Il DPO può essere scelto tra professionisti esterni o tra i dipendenti dell’organizzazione. Nel Kit Documentale sono già pronti i documenti che dimostrano di aver valutato l’obbligo di nominare il DPO e i documenti di nomina del DPO con tutti gli obblighi e le prescrizioni a cui questi deve aderire.

  • Va sottoscritto un atto di nomina e fatta relativa comunicazione al garante
  • Il Responsabile della protezione dei dati deve eseguire le misure previste nella nomina e diventa un punto di riferimento per intrattenere il rapporto con gli interessati.

Consultazione preventiva del Garante

L’articolo 36 del GDPR prevede che il titolare del trattamento deve consultare il garante quando all’interno di un trattamento ci sono rischi che possono incidere significativamente sugli interessati, in particolare quando si effettuano trattamenti con le nuove tecnologie. I documenti privacy comprendono la modulistica da utilizzare per valutare l’obbligo di consultare il Garante e la modulistica da impiegare per procedere con l’eventuale consultazione

 

 

Il titolare del trattamento perciò deve valutare, grazie alle indicazioni contenute nei moduli, se si trova nella condizione di dover procedere con la consultazione preventiva del Garante. A tale consultazione il garante potrà rispondere indicando le sue prescrizioni. Nel Kit Documentale troviamo i moduli con i quali procedere con la consultazione.

Codici di condotta

Alcuni Enti istituzionali emanano Codici di Condotta per i loro associati. Il titolare deve aderirvi e provvedere ad eseguire le corrispondenti misure di mantenimento.

I documenti presenti nel Kit Documentale permetttono di aderire a precisi Codici di Condotta.

 

Nella cartella B del Kit Documentale ci sono i documenti privacy dedicati alle nomine. Queste sono soltanto da personalizzare.  Ci sono le nomine dei responsabili del trattamento che sono coloro ai quali si affida operazioni di trattamento esterne all’Organizzazione. Si immagini ai dati dei dipendenti di un’Organizzazione: oltre ad essere trattati dall’Organizzazione stessa, sono trattati anche dal consulente del lavoro che prepara le buste paga.

In questa cartella del Kit Documentale sono già presenti i documenti di nomina per tutti i responsabili esterni più comunemente presenti nelle attività lavorative.

Nelle nomine di ciascun responsabile, a seconda dei trattamenti praticati, ci sono gli obblighi e le disposizioni a cui questi deve attenersi con una vera e propria assunzione di responsabilità

Responsabile del trattamento

Bisogna mappare tutte le esternalizzazioni dei dati attraverso l’apposito registro delle esternalizzazioni:

 

Ai documenti di tali nomine, con word, vanno aggiunti semplicemente i dati dei responsabili.

In base all’art 28 del GDPR il titolare del trattamento deve effettuare verifiche sull’effettivo adempimento di quanto previsto in nomina e deve verificare che anche i dipendenti del responsabile (esterno, commercialista, avvocato ecc) abbiano sottoscritto le clausole di riservatezza. Tali clausole, nel Kit Documentale, vanno semplicemente compilate con i dati di coloro che sono autorizzati al trattamento.

Autorizzati al trattamento

L’art 29 del GDPR prevede che i dipendenti ed i collaboratori del titolare del trattamento siano nominati  “autorizzati al trattamento”, se trattano dati personali di clienti, fornitori, candidati, dipendenti ecc

Il titolare del trattamento deve provvedere a una mappatura degli autorizzati che trattano i dati personali nella propria organizzazione e deve determinare, nell’atto di nomina , il profilo operativo di ciascuno

I documenti privacy disponibili permettono di mappare gli Autorizzati e di definire per ciascuno le operazioni consentite quali ad esempio la consultazione del dato, la copia, il trasferimento a terzi, la cancellazione ecc.

 

Accordo di contitolarità

Nel Kit Documentale  troviamo la modulistica relativa all’Accordo di contitolarità previsto all’art.26 del GDPR. Quando i dati personali degli interessati sono trattati da più titolari, costoro devono sottoscrivere un accordo di contitolarità. La modulistica dell’Accordo di contitorarità definisce l’identità e le responsabilità di ciascun titolare. Ognuno deve attuare le misure tecniche ed organizzative previste nell’accordo. Gli interessati al trattamento devono però poter fare riferimento ad un unico ufficio oppure ad un’unica persona (che rappresenta entrambi i titolari) per informarsi e per esercitare i propri diritti.

 

 

 

La cartella C della documentazione è dedicata agli aspetti informatici.

Sicurezza informatica dei dati personali

Gli adempimenti per la sicurezza dei dati personali prevedono la compilazione dei seguenti moduli presenti all’interno del Kit Documentale. Sonotutti in word e permettono di:

  • Mappare rete pc, server e stampanti
  • Mappare archivi cartacei e aree riservate
  • Mappare software e database che trattano dati personali
  • Identificare gli autorizzati che accedono ai dati
  • Predisporre misure tecniche ed organizzative
  • E assegnare chiavi e password

Amministratore di sistema

Il provvedimento del garante del 27 novembre 2008 fa riferimento alla figura e alle funzioni dell’amministratore di sistema. Costui gestisce la rete aziendale e, di conseguenza, può accedere a tutti i dati personali presenti in rete es: clienti, fornitori, personale dipendente ecc.

Nel Kit Documentale c’è atto di nomina dell’Amministratore di Sistema da parte del titolare. La nomina già riporta tutti gli obblighi che costui assume nel confronti del titolare del trattamento va soltanto compilata con i dati dell’amministratore di sistema. L’altro modulo è la Relazione dell’amministratore di sistema. Ogni anno infatti, il titolare del trattamento compila la relazione per documentarne l’operato.

 

Formazione per gli autorizzati

La cartella D del Kit Documentale è dedicata alla Formazione. E’ già compilata la modulistica per registrare la formazione diretta al personale autorizzato. La scheda formazione contiene anche i titoli degli argomenti trattati.

L’art 39 prevede i corsi per gli “autorizzati”. Nel Kit Documentale ci sono i documenti già pronti per essere utilizzati: la scheda di formazione dell’autorizzato, il test di formazione (da somministrare a seguito della formazione effettuata), ed il correttore del test che riporta le risposte esatte.

Data Breach

La cartella E  contiene la documentazione per la data breach.

 

Data Breach sta ad indicare una violazione dei dati. Nella cartella E del Kit Documentale, troviamo tutta la modulistica necessaria per fronteggiare, conformemente a quanto previsto dal GDPR, questo tipo di episodi.

Per gli articoli 33 e 34, a seguito dell’episodio Data Breach, il titolare del trattamento deve effettuare la notifica tempestiva al Garante circa l’accaduto e deve comunicare agli interessati in che maniera egli sta provvedendo per proteggere la sicurezza dei dati violati. Il titolare inoltre deve aggiornare il registro delle violazioni dei dati.

Nel Kit Documentale c’è la Procedura di Data Breach che elenca in casi nei quali va inviata la notifica al garante e va fatta la comunicazione agli interessati. In Documenti Privacy c’è anche il Registro delle violazioni

In caso di data breach, a seguito della Notifica effettuata al Garante Privacy, il titolare del trattamento prescriverà delle misure da attuare per la messa in sicurezza dei dati.

Informative

Nella cartella successiva troviamo tutta la documentazione relativa alle Informative. Le Informative sono già state predisposte per ciascuna categoria di interessati.

Secondo gli articoli 12, 13 e 14 del GDPR, i contenuti delle vecchie informative vanno sostituiti dai contenuti del nuovo regolamento europeo.

Nel Kit Documetale disponibile sul sito www.albertofortunato.com troviamo l’informativa da fare firmare ai dipendenti, quella per i fornitori, l’informativa per i clienti, l’informativa per coloro che presentano il curriculum per candidarsi al lavoro e l’informativa di chi sottoscrive le newsletter.

Queste sono le informative più diffuse tra tra aziende, le attività commerciali, gli studi professionali ecc.

Consenso al trattamento dei dati personali

Gli articoli 6, 7 ,8 e 9 del GDPR sono dedicati al consenso al trattamento dei dati personali. La modulistica per la raccolta e la gestione del consenso è presente nelle stesse informative. Un modulo permette di raccogliere il consenso, l’altro modulo invece permette di revocarlo.

 

Videosorveglianza

Molte Organizzazioni impiegano le telecamere per motivi di sicurezza personale e sicurezza del patrimonio. La cartella G della documentazione contiene i documenti privacy che devono utilizzati.

 

Il trattamento della videosorveglianza, disciplinato dal provvedimento del garante dell’8 aprile 2010, prevede la stesura di un protocollo dedicato alla struttura ed al funzionamento della videosorveglianza e poi prevede la nomina dell’ incaricato interno o del responsabile della videosorveglianza. Questi documenti sono già pronti nel Kit Documentale “Documenti privacy”.

Diritti degli interessati

Tra i documenti privacy c’è cartella relativa ai diritti degli interessati che contiene la modulistica già pronta con la quale questi possono presentare istanza al titolare per esercitare i loro diritti

 

e troviamo

  • la richiesta d’accesso disciplinata dall’art.15
  • la richiesta di rettifica prevista dall’art.16
  • la richiesta di cancellazione che si può effettuare in base all’art.17
  • l’art.18 che prevede la richiesta di limitazione del trattamento
  • la richiesta di opposizione dell’articolo 21
  • e quella relativa alla portabilità dei propri dati personali prevista all’art.20