11 MODI PER INIZIARE A PREPARARE LA VOSTRA AZIENDA ALLA SCADENZA GDPR

Siete pronti per il Regolamento Generale sulla Protezione dei Dati?

Ci sono cambiamenti significativi all’orizzonte – il Regolamento Generale sulla Protezione dei Dati (‘GDPR’) entra in vigore il 25 maggio 2018.

Il GDPR:

  • Espanderà l’ambito territoriale delle leggi sulla protezione dei dati;
  • Incrementerà le sanzioni per le trasgressioni fino a 20.000.000 di Euro o al 4% del fatturato mondiale, a seconda di quale sia la cifra più alta; e
  • Cambierà radicalmente il trattamento, la registrazione dei dati ed altre obbligazioni cui conformare la propria attività.

 

Di seguito 11 modi per iniziare a preparare la Vostra azienda:

  • 1. Mappare e fare un audit dei dati e dei trattamenti relativi alle risorse umane

    Iniziate a determinare quali dati del personale vengono trattati e perché, dove vengono inviati e con chi vengono condivisi. Questo Vi aiuterà a conformare le Vostre decisioni circa il titolo del trattamento di tali dati in futuro.

    Per fare ciò dovreste condurre un esercizio di mappatura dei dati, un processo che mostra come i dati vengono trasferiti da un sistema informativo ad un altro, ed un audit. Gli audit valutano le Vostre prassi in merito alla protezione dei dati verificando se avete adottato policy e procedure efficaci, se le stesse sono applicate e identificando dove possono essere apportate delle migliorie. 

  • 2. Assicurarsi che i Vostri fornitori siano in regola

    Il GDPR impone obbligazioni più onerose per assicurare che le giuste garanzie contrattuali siano poste in essere quando vengono incaricati i responsabili del trattamento, pertanto tali accordi dovrebbero essere rivisti e corretti come parte del processo di audit. Dovreste iniziare identificando i responsabili del trattamento, come i fornitori di servizi paghe, e rivedendo i termini contrattuali.

    Il Vostro audit dovrebbe verificare quale procedura di due-diligence è utilizzata per vagliare i fornitori prima dell’assegnazione dell’incarico e verificare che gli accordi scritti conclusi con loro soddisfino i requisiti previsti. Laddove condividiate dati con altri titolari dovreste anche esaminare i protocolli in essere.

  • 3. Stabilire un inventario transnazionale del flusso dei dati

    Catalogate i Vostri flussi di dati transnazionali in modo da considerare il Vostro approccio al trasferimento all’estero alla luce dei recenti sviluppi come il EU-US Privacy Shield (il quadro attuale per gli scambi di dati personali tra USA e UE, che ha sostituito i principi del Safe Harbour) e delle contestazioni alle clausole contrattuali standard (clausole contrattuali approvate dall’UE che possono essere poste in essere tra l’esportatore e l’importatore di dati assicurando la protezione dei dati). 

  • 4. Nominare un Responsabile della protezione dei dati (‘DPO’)

    Le società la cui attività principale consista in operazioni di trattamento che richiedono il monitoraggio regolare e sistematico di soggetti su larga scala devono nominare un DPO. Il DPO deve essere una persona con conoscenza approfondita di prassi e norme in materia di protezione dei dati, il cui compito è monitorare la conformità interna al GDPR. Questa persona deve essere indipendente e otterrà una serie di garanzie in merito alla conservazione del posto di lavoro, similmente ad un rappresentante sindacale o ad un membro delle rappresentanze sindacali aziendali.

    Anche se non Vi è richiesto di nominare un DPO, è consigliabile incaricare qualcuno all’interno della Vostra organizzazione per monitorare qualsiasi trattamento e assicurare che lo stesso sia conforme alle obbligazioni scaturenti dal GDPR, considerato il livello potenziale delle ammende nella nuova disciplina (in questo caso, però, sarebbe meglio non chiamarli ‘DPO’, poiché questo potrebbe parificare tali soggetti ai ‘DPO obbligatori’ quanto a diritti e protezioni). 

  • 5. Non affidatevi al consenso per giustificare il trattamento (ove possibile)

    Molti datori di lavoro attualmente si affidano al consenso del dipendente per giustificare le attività di trattamento sui dati del personali, includendo una clausola nel contratto di lavoro (o di collaborazione) al principio del rapporto. Questo rappresenterà un problema con l’entrata in vigore del GDPR che incorpora la visone di lungo corso dei regolatori europei per la quale il consenso al trattamento nel contesto di un rapporto contrattuale di lavoro non può essere considerato liberamente prestato.

    Con il GDPR il consenso deve essere attivamente e liberamente prestato per essere una valida base per il trattamento dei dati – il silenzio o l’inerzia non contano. Il GDPR stabilisce anche che dove il consenso è prestato con una dichiarazione scritta che ha a che fare anche con altri temi, la richiesta di consenso deve essere chiaramente distinguibile dagli altri temi e resa in una forma intellegibile e accessibile. Revocare il consenso deve essere facile quanto prestarlo e, se c’è un chiaro squilibrio tra le parti (come in un rapporto di lavoro), si presume che il consenso non sia stato prestato liberamente. È chiaro da tutti questi fattori che la firma di un contratto di lavoro che include una clausola generale di consenso non può assurgere ad un consenso liberamente prestato. Inoltre, tipicamente, nei contratti di lavoro non è inserita un’informativa sufficiente a soddisfare i requisiti di un corretto trattamento secondo le norme attualmente in vigore, a maggior ragione tale considerazione varrà con il GDPR.

    Un’altra ragione per lasciarsi alle spalle il consenso come titolo per il trattamento è che lo stesso determinerà certi diritti in favore del dipendente. Ad esempio, i dipendenti potranno ritirare il loro consenso in qualsiasi momento, impedendo a titolari e responsabili il trattamento dei loro dati.

    Fortunatamente il consenso è solo una di una serie di valide condizioni per il trattamento dei dati personali. Condurre un audit Vi permetterà di identificare i vari tipi di dati personali che necessitate di trattare nel corso del rapporto di lavoro e sarete in una posizione migliore per trovare un altro titolo valido per il trattamento. Per fare un esempio semplice, i dati bancari dei dipendenti sono necessari per pagare gli stipendi ma questo trattamento può essere giustificato sulla base della sua necessità piuttosto che sul consenso.

    Un altro esempio sarebbe il monitoraggio dell’uso da parte dei dipendenti dei sistemi informatici per ragioni legate alla sicurezza dei dati. Richiedere il consenso per fare ciò potrebbe causare problemi, poiché lo stesso potrebbe non essere prestato o revocato. Invece, potreste giustificare il trattamento su basi alternative, come i Vostri interessi legittimi (a seconda delle ragioni per il monitoraggio) o le Vostre obbligazioni legali per tutelare la sicurezza dei dati gestiti. Similmente, il trattamento di dati relativi alle performance dei dipendenti può essere giustificato  dalle finalità di interessi legittimi perseguite dal titolare.

    I datori di lavoro dovrebbero affidarsi in futuro con più decisione a questi titoli alternativi per il trattamento dei dati. Nelle rare occasioni in cui resta necessario ottenere il consenso per trattare i dati, i datori di lavoro dovrebbero considerare attentamente le specifiche informazioni che devono fornire all’interessato quando richiedono il consenso. Laddove è ottenuto il consenso, esso deve essere prestato attivamente, separatamente (dal consenso su altri temi) e liberamente – e il datore deve essere in grado di provare l’adempimento.

    Mentre i datori di lavoro potrebbero lasciarsi alle spalle l’ottenimento di una clausola generale ed onnicomprensiva sulla protezione dei dati nei contratti di lavoro, ci sono alcune clausole contrattuali connesse alla protezione dei dati che dovrebbero essere confermate – in particolare assicurandosi che i dipendenti siano consci delle loro specifiche responsabilità nel processare adeguatamente i dati personali e delle conseguenze di un eventuale fallimento.

    Altre policy (come “porta il tuo dispositivo” e le policy di sicurezza dei dati), regole di formazione e procedure disciplinari dovrebbero pure essere verificate per assicurarsi che affrontino il problema della responsabilità del dipendente. 

  • 6. Adattare le Vostre informative privacy e privacy policy

    Con il GDPR gli interessati avranno diritto di ricevere molte più informazioni circa i loro dati e come questi sono gestiti rispetto a quanto accade con la normativa attualmente in essere. Queste ‘informazioni sul corretto trattamento’ includono informazioni circa chi ha accesso ai dati, perché, quanto a lungo saranno conservati e i relativi diritti degli. Questo significa che dovrete enunciare tutti i diritti degli interessati – come il diritto a ritirare il consenso al trattamento e a depositare un ricorso presso il garante per la protezione dei dati nel paese coinvolto.

    L’informativa deve specificare la finalità e il titolo per trattare ogni categoria di dato personale, e quest’ultimo dovrebbe essere determinato in base ai risultati dell’audit intrapreso. Le informative esistenti per il Vostro personale dovranno essere considerevolmente revisionate.

  • 7. Prepararsi per le modifiche alle richieste di accesso degli interessati e pensare a come risponde

    Il limite di quaranta giorni per rispondere alle richieste di accesso degli interessati (DSARs) è ridotto a un mese. Se le richieste sono complesse o c’è una serie di richieste dalla stessa fonte, questo limite può essere esteso di altri due mesi. Un ‘importo ragionevole’ può essere addebitato al richiedente se la richiesta è manifestamente infondata o eccessiva.

    È consigliabile avere un procedimento che registri e tenga traccia delle DSARs. Potreste avere bisogno di introdurre tali procedimenti se non li avete già.

    Rispondere alle DSARs è spesso complesso e dovreste formare soggetti adeguati per gestirle, per applicare principi coerenti nel fare obiezioni e assicurare che i dati dei soggetti terzi siano gestiti adeguatamente. A seconda delle dimensioni della Vostra organizzazione potrebbe essere una persona o un team, tipicamente nelle Risorse Umane o nel dipartimento legale. Gli interessati avranno diritto ad accedere a più informazioni circa il modo in cui i loro dati sono trattati con il GDPR e pertanto Voi dovrete rivedere qualsiasi addestramento fornito ai soggetti che gestiscono tali richieste per assicurare di rimanere conforme. 

  • 8. Assicurarsi di essere pronti per la ‘Protezione dei dati sin dalla progettazione’

    Il GDPR richiede alle organizzazioni di porre in essere policy, procedure e sistemi al principio di ogni prodotto o processo di sviluppo per assicurare la conformità alla protezione dei dati (“privacy by design”). Le valutazioni d’impatto sulla protezione dei dati saranno richieste ove vi sia un alto rischio per i diritti e le libertà degli interessati così da stabilire se il trattamento dei dati proposto è ragionevole nelle circostanze specifiche. Alcune attività relative alle Risorse Umane potrebbero ricadere in quelle considerate ad alto rischio.

    Come regola generale, registrare come vengono bilanciati gli interessi confliggenti degli interessati con i diritti della Vostra azienda o con quelli di altri interessati è un tema centrale di conformità privacy. Sono raccomandate valutazioni d’impatto sulla protezione dei dati che registrino come siete arrivati a determinate decisioni.

  • 9. La gestione di una violazione dei dati personali

    Le organizzazioni dovranno notificare le violazioni dei dati personali rilevanti all’autorità di controllo entro 72 ore. Dovranno pertanto pensare con molta cautela alla prevenzione delle violazioni e assicurarsi che ogni violazione sia gestita nella maniera corretta. Questo richiede di aumentare la consapevolezza della gestione dei problemi relativi ai dati, formazione dello staff circa i comportamenti adeguati e assicurarsi che lo staff sappia cosa fare in caso di violazione. Sarà anche necessario porre in essere un addestramento congiunto nelle multinazionali, poiché una violazione può riguardare più di una giurisdizione. 

  • 10. Formazione

    Questo è già stato menzionato ma merita un paragrafo a parte – argomenti chiave sono la consapevolezza dei dati, la sicurezza e l’accesso degli interessati. L’intero personale dovrebbe essere formato in merito alla consapevolezza dei dati e Voi dovreste tener traccia di chi ha ricevuto la formazione. I soggetti con specifiche responsabilità di gestione dei dati personali dovrebbero ricevere una formazione più approfondita.

Conclusione

Anche se il GDPR non sarà in vigore sino al 25 maggio 2018 c’è così tanto da fare per le aziende che è importante iniziare la preparazione ora.

Qual è il prossimo passo?

Se desiderate la nostra assistenza per preparare la Vostra azienda, contattateci .