Il 19 maggio 2019 scade il termine di “grazia” per l’applicazione degli adempimenti previsti dal Regolamento UE 2016/679 (GDPR) sulla protezione dei dati e dal Codice della privacy, riformato dal D.Lgs. n. 101/2018. L’articolo 22, comma 13, del decreto legislativo stabilisce che per i primi 8 mesi dalla data di entrata in vigore del decreto medesimo, il Garante per la protezione dei dati personali tiene conto, ai fini dell'applicazione delle sanzioni amministrative e nei limiti in cui risulti compatibile con le disposizioni del Regolamento (UE) 2016/679, della fase di prima applicazione delle disposizioni sanzionatorie. Anche se un po’ tautologico, la prima applicazione è la prima applicazione e merita un trattamento leggero quanto alle sanzioni! Ebbene il periodo di prima applicazione scade a circa un anno dalla operatività piena del GDPR (dal 25 maggio 2018) e pone le imprese di fronte a una check list, che qui di seguito si dettaglia. Si noti che si tratta di adempimenti operativi fin da quel 25 maggio 2018 e, quindi, in sé stessi non sono una novità. Occorre sfruttare, comunque, la finestra lasciata dal D.Lgs. 101/2018 e premunirsi contro possibili verifiche ispettive. Registro dei trattamenti La norma di riferimento è l’articolo 30 GDPR. Le imprese devono compilare e tenere aggiornato il registro trattamenti. A seconda dei casi i registri potrebbero essere due: quello del titolare e quello del responsabile. Attenzione. Non bisogna commettere l’errore di coordinarsi tra titolari e responsabili e rispettare una necessaria simmetria (se c’è il registro dell’uno ci deve essere anche il registro dell’altro). Analisi dei rischi La principale norma di riferimento è l’articolo 32 GDPR. Le imprese devono compilare e tenere aggiornato il documento valutazione dei rischi; per poi passare all’esecuzione misure tecniche e organizzative inserite nel documento e all’ancora successivo controllo sullo stato di sicurezza fisica e dei sistemi informativi. Valutazione di impatto privacy La principale norma di riferimento è l’articolo 35 GDPR. Le imprese devono verificare obbligo di compilazione (il presupposto è il rischio elevato); chiedere parere DPO/RPD nella compilazione e aggiornamento del documento. Data breach Le principali norme di riferimento sono gli articoli 33 e 34 GDPR. Le imprese avranno cura di istituire una funzione deputata a raccogliere le notizie di violazioni dei trattamenti, di valutare le stesse e procedere, oltre che a minimizzare i rischi ed effetti negativi, anche a notificare al Garante e a comunicare l’accaduto agli interessati (salvi i casi di esonero). È necessario istituire e redigere il registro delle violazioni (nel quale segnare anche le violazioni non notificate all’autorità di controllo). Contitolarità La principale norma di riferimento è l’articolo 26 GDPR. Se ci sono joint venture in corso occorre stendere e sottoscrivere l’accordo di contitolarità, le cui misure organizzative e tecniche devono essere eseguite. Tra queste la principale è la previsione di una interfaccia unica nei confronti degli interessati. Responsabili esterni del trattamento La principale norma di riferimento è l’articolo 28 GDPR. Per l’applicazione di tale norma occorre sviluppare una serie di azioni, la prima delle quali è la mappatura della esternalizzazione dei trattamenti. Se abbiamo casi di outsourcing occorre passare alla compilazione di appositi contratti con responsabili esterni: da ciò deriva l’esecuzione delle misure normative, tecniche e organizzative previste nei contratti e la programmazione audit nei confronti del responsabile esterno. Da ricordare che anche per i contratti sottoscritti prima del 25 maggio 2018 occorre la verifica della congruità rispetto alle disposizioni dell’articolo 28, se del caso sottsocrivendo clausole aggiuntive/sostitutive. Subresponsabili Sempre nell’alveo dell’articolo 28 troviamo l’attività di mappatura della sub-esternalizzazione dei trattamenti, al fine della regolarizzazione mediante apposite previsioni nei contratti con responsabili esterni oppure mediante stesura e sottoscrizione nuovi contratti. Designati per specifici compiti La principale norma di riferimento è l’articolo 2-quaterdecies del Codice della privacy. Se occorrono figure apicali, al di sopra degli autorizzati e sotto il board, si possono (non è un obbligo) nominare designati per specifici compiti e funzioni. Le attività a tale proposito sono le seguenti: mappatura delle nomine esistenti; aggiornamento a nuovi compiti. Autorizzati al trattamento Le principali norme di riferimento sono gli articoli 29, 32 e 39 GDPR. I “vecchi” incaricati del trattamento si chiamano “autorizzati” al trattamento. A cura dell’impresa/titolare del trattamento troviamo le seguenti attività: - mappatura delle nomine esistenti; - verifiche e allineamento delle “vecchie” nomine di incaricato ai nuovi standard legali; - profilazione dei dipendenti come utenti del sistema informativo aziendale. Quanto ai dipendenti si ricorda l’obbligo di formazione, che può essere adeguato ai bisogni di apprendimento (corsi base; corsi per livelli apicali). Informazioni agli interessati Le principali norme di riferimento sono gli articoli 12, 13 e 14 GDPR. Le imprese devono verificare testi e modalità di messa a disposizione delle “informative”, per poi passare all’adeguamento ai nuovi contenuti previsti negli articoli citati del GDPR. Non è escluso, anzi è incentivato l’utilizzo di icone e infografiche abbinate al testo dell’informativa (di regola scritto, orale a richiesta dell’interessato). Consenso degli interessati Le principali norme di riferimento sono gli articoli 6, 7, 8 e 9 GDPR. A seconda delle ipotesi è richiesto un consenso inequivocabile o esplicito. Le imprese devono verificare i consensi già raccolti ed appurare se sono o no in linea con gli articoli citati ed eventualmente procedere ad una regolarizzazione. Una novità molto forte riguarda i minori di età, di età pari o superiore a 14 anni, che possono dare il loro consenso in relazione a servizi resi dalla società dell’informazione. DPO Le principali norme di riferimento sono gli articoli 77, 38 e 39 GDPR. Alle impese il compito di verificare l’obbligo (o anche solo l’opportunità) di nomina e la scelta di un DPO tra un professionista o un’organizzazione esterna oppure un dipendente, cui si deve far seguire la stesura e sottoscrizione di un contratto o di un atto di incarico.