GDPR: cos'è e cosa fare per adeguarsi
Sicuramente molti di voi, in quest’ultimo periodo, avranno già sentito parlare del GDPR entrato in vigore il 25 Maggio 2018. Per chi non conoscesse l’argomento, il GDPR ( RGPD, in inglese GDPR, General Data Protection Regulation- Regolamento UE 2016/679) è la nuova legge che disciplina il modo in cui le società gestiscono e proteggono i dati personali dei cittadini dell’Unione europea.
La norma interessa tutte le realtà che entrano in contatto con informazioni e dati personali di persone fisiche. Pertanto, hotel e strutture ricettive sono assolutamente interessate e obbligate a mettersi in regola con questa normativa.
Di seguito potrai visionare il GDPR della Gazzetta Ufficiale dell’Unione Europea, documento ufficiale:
SCARICA regolamento GDPR della Gazzetta Ufficiale dell'Unione Europea
Analisi preliminare
Prima di partire in qualunque direzione, occorre che l’azienda rifletta, si ponga alcune domande fondamentali e faccia delle analisi preliminari del suo contesto aziendale raccogliendo tutte le informazioni riguardanti non solo sé stessa (come titolare di un trattamento principale) ma, se esistenti, eventuali società controllate/controllanti o collegate.
In ogni caso, l’azienda italiana dovrà muoversi in autonomia, quindi dovrà comunque raccogliere tutte le informazioni che la riguardano, partendo da quelle relative a quanto posto in essere sino ad oggi per adeguarsi alla legislazione attuale (principalmente il Codice Privacy ed i provvedimenti del Garante Privacy) e procedendo poi a raccogliere, più in generale, le informazioni relative a tutte le attività svolte. Tra gli altri, l’azienda deve analizzare i settori di business in cui opera, i Paesi in cui operano i vari titolari e responsabili del trattamento, i servizi di supporto, gli “oggetti” aziendali disponibili (es. organigramma, funzionigramma), le certificazioni ottenute, le principali categorie di dati trattati, gli eventuali trattamenti terziarizzati e conseguenti nomine.
Il tutto per arrivare ad avere un quadro completo che consenta di schematizzare e mappare: organizzazione e ruoli, persone, cultura e competenze, processi e regole, documentazione che abbia impatti sul trattamento dei dati, contratti con i fornitori che trattano dati, nomine a responsabili e incaricati del trattamento (questi ultimi possono tranquillamente sopravvivere nonostante il RGPD non li contempli, ciò è stato confermato anche dal Garante Privacy), processi e procedure di gestione dei sistemi informativi, tecnologie e strumenti per la gestione della sicurezza informatica, sistemi di controllo, sistemi di internal audit.
Fatto ciò, l’azienda si potrà interrogare su come dovrà essere poi organizzato il progetto di adeguamento e, soprattutto, chiedersi se è in grado di gestire il progetto solo con proprie risorse interne o avvalersi di consulenza esterna.
Registro dei trattamenti di dati personali
Il primo adempimento che è opportuno porre in essere è senza dubbio l’adozione del Registro dei trattamenti di dati personali (Art.30 del GDPR). È possibile definirlo come un “documento” ma solo se lo si intende nel senso ampio del termine, come mezzo/strumento che provi l’esistenza di qualcosa. Il Registro dei trattamenti ha dei contenuti obbligatori previsti specificamente dal GDPR ma ciò non toglie che possa che comprendere anche altre informazioni non obbligatorie, per garantire il perfetto allineamento con i principali «oggetti» aziendali (mappa dei processi, organigramma aziendale, portafoglio fornitori, mappa degli applicativi). Il CNIL (il garante francese) ha pubblicato per esempio un modello di Registro dei trattamenti che comprende anche molte informazioni non obbligatorie.
Un esempio di Registro dei Trattamenti GDPR in italiano può essere scaricato al seguente link: http://www.defensis.it/risorse-eventi/registro_dei_trattamenti_gdpr_-_modello.html
Tutte le informazioni raccolte per popolare il Registro dei trattamenti, torneranno utili per quando poi, in una fase successiva, andranno identificati e valutati i principali gap da colmare per essere compliant al GDPR. Ovvero per definire e redigere, alla luce dei gap evidenziati, un piano di adeguamento complessivo (action plan), nonché la implementazione ed il conseguente monitoraggio degli interventi previsti seguendo lo schema qui di seguito illustrato:
- definizione, formalizzazione e implementazione della struttura organizzativa della data protection, sia a livello di macro-struttura sia a livello di micro-struttura (ruoli e responsabilità);
- sensibilizzazione e formazione dei soggetti chiamati a ricoprire un ruolo attivo nell’ambito del modello di funzionamento della data protection, ma anche della popolazione aziendale indirettamente coinvolta nella protezione dei dati personali;
- definizione, formalizzazione e implementazione di processi e regole connessi alla protezione dei dati personali, sia in modo diretto (es. gestione dei diritti degli interessati) sia in modo indiretto (es. gestione misure di sicurezza tecnico-organizzative);
- stesura ex novo della documentazione o modifica della documentazione esistente (es. informative, moduli di consenso, clausole contrattuali) e avvio della relativa adozione, anche verso l’esterno;
- definizione e implementazione di un sistema di controlli interni per la protezione dei dati personali (es. sistema di deleghe), ivi compresa la realizzazione di internal audit volti a evidenziare eventuali non conformità. A valle dell’intero processo di adeguamento deve essere quindi effettuato un controllo periodico in merito alla corretta adozione del modello di funzionamento della data protection ed elaborazione di eventuali azioni correttive, con conseguente aggiornamento del modello stesso.
DPIA, ovvero valutazione d’impatto sulla protezione dati
Un altra grande innovazione introdotta dal GDPR all'art.35, è la DPIA (Data Protection Impact assessment), un processo inteso a garantire e dimostrare la conformità al regolamento europeo e i rischi legati al trattamento dei dati. La valutazione di impatto sulla protezione dei dati, è obbligatoria solo quando un trattamento può presentare un rischio elevato per i diritti e le libertà ma è altamente consigliata per tutte le imprese; Infatti come facciamo ad essere certi di non rientrare nell’obbligo se non abbiamo esaminato con attenzione i trattamenti dei dati della nostra impresa?
Ad esempio anche un hotel di dimensioni medie, che apparentemente tratta prevalentemente i dati personali obbligatori ricavati dalle presenze dei propri clienti, potrebbe essere soggetto qualora avesse un sistema di videosorveglianza sempre operativo anche in aree aperte al pubblico come possono essere piazzali e il portone di fronte alla hall e contemporaneamente avesse attivato un software o anche solo un database di profilazione dei clienti a fini di marketing inserendo un mix di dati ricavati dalle prenotazioni, dalle rilevazioni obbligatorie, dalle scelte fatte dai clienti durante la permanenza e da questionari di rilevazione della soddisfazione del cliente, magari includendo abitudini alimentari derivanti da vincoli religiosi.
La responsabilità della DPIA spetta al titolare del trattamento dei dati, anche se la conduzione materiale della valutazione di impatto può essere affidata a un altro soggetto, interno o esterno all’organizzazione.
La DPIA è quindi uno strumento importante in termini di responsabilizzazione (accountability) in quanto aiuta il titolare del trattamento non soltanto a rispettare il GDPR, ma anche ad attestare di aver condotto misure idonee a garantire il rispetto del regolamento.
Per redigere la DPIA è disponibile un software, gratuito e liberamente scaricabile dal sito del garante della privacy francese www.cnil.fr, che offre un percorso guidato alla realizzazione della DPIA, secondo una sequenza conforme alle indicazioni fornite dal WP29 nelle Linee-guida sulla DPIA. Di seguito il link: https://www.cnil.fr/fr/outil-pia-telechargez-et-installez-le-logiciel-de-la-cnil
L' adeguamento al GDPR in 9 fasi
Ricapitolando è possibile schematizzare il processo di adeguamento al GDPR in queste fasi distinte:
Fase 1 – Valutazione della compliance: raccolta di tutte le informazioni sull’organizzazione aziendale, analisi e valutazione della documentazione in uso;
Fase 2 – Creazione del registro dei trattamenti: documento volto a tenere traccia dei trattamenti effettuati da parte del titolare e degli eventuali responsabili, e contenente, tra gli altri, le finalità del trattamento, una descrizione delle categorie di interessati e dei dati personali, i destinatari, gli eventuali trasferimenti verso Paesi terzi e una descrizione generale delle misure di sicurezza;
Fase 3 – Stesura/Modifica della documentazione (Privacy Policy, Moduli di consenso) affinché risultino completi ed aggiornati secondo le prescrizioni della nuova normativa;
Fase 4 – Individuazione dei ruoli e delle responsabilità dei soggetti che effettuano il trattamento;
Fase 5 – Definizione delle politiche di sicurezza e valutazione dei rischi (DPIA di cui abbiamo parlato in precedenza): valutazione e attuazione di tutte le misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al GDPR. Questa fase è espressione, soprattutto, del principio di responsabilizzazione del titolare (accountability);
Fase 6 – Processo di Data Breach: al fine di assicurarsi di aver adottato tutte le procedure idonee a scoprire eventuali violazioni, generare adeguata reportistica e indagarne le cause nonché gli effetti della violazione subita;
Fase 7 – Valutazione d’impatto sulla protezione dei dati personali: al fine di assicurare trasparenza nelle operazioni di trattamento dei dati personali e adeguata protezione agli stessi, implica che il titolare effettui precise e adeguate valutazioni d’impatto privacy. Attraverso tale istituto è possibile, quindi, valutare gli aspetti relativi alla protezione dei dati, prima che questi vengano trattati;
Fase 8 – Implementazione dei processi per l’esercizio dei diritti dell’interessato;
Fase 9 – Individuazione e nomina di un Data Protection Officer (DPO): figura la cui responsabilità principale è quella di osservare, valutare e organizzare la gestione del trattamento di dati personali (e dunque la loro protezione) all’interno di un’azienda, affinché questi siano trattati nel rispetto delle normative privacy europee e nazionali. N.B. Questa nuova figura di cui tanto si parla, il DPO o RPD in italiano, cioè il Responsabile della Protezione dei Dati è indispensabile solo per imprese con oltre 250 dipendenti che trattino dati che presentano un rischio elevato.
GDPR: cosa deve fare l’hotel?
Gli interventi da adottare cambiano a seconda del tipo e della quantità di dati che raccogli. Non tutte le strutture ricettive sono uguali, più informazioni e tecnologie utilizzi, più sarà complessa la loro gestione, ma di sicuro dovrai:
- Richiedere agli ospiti esplicitamente il consenso alla raccolta e all’utilizzo dei dati.( scarica fac simile modulo di consenso ) informando chiaramente i clienti su quali saranno i dati che verranno raccolti, per cosa verranno usati, da chi saranno utilizzati e per quanto tempo verranno archiviati
- se si utilizzano dei software specifici e comunque in relazione a tutti i software che trattano dati personali, è quella di verificare con il proprio fornitore la corrispondenza alla nuova normativa ed eventualmente chiedere un secondo parere ad un consulente
- Dare la possibilità alle persone di accedere ai propri dati per poterli modificare o rimuovere in qualsiasi momento
- Nel caso del salvataggio di dati digitali, assicurarsi che tali informazioni siano salvate all’interno di server sicuri e trasmessi tramite protocollo https
- Per la protezione dei dati è necessaria la distinzione a seconda di dove sono memorizzati:
- Server Locale (On premises). In questo caso il motore utilizzato per la gestione dei dati deve consentire la crittografia. Il server e i personal computer devono disporre di sistemi operativi aggiornati e aggiornabili. La connessione al mondo esterno deve essere protetta da firewall aggiornati
- Cloud (Saas, Software as service). La responsabilità della protezione è in carico al fornitore del servizio, che deve certificare la compliance al GDPR
- Per la protezione dei dati è necessaria la distinzione a seconda di dove sono memorizzati:
- Nominare un responsabile della protezione dei dati per sorvegliare la conformità GDPR
GDPR: La Guida del Garante della Privacy
Il Garante della Privacy ha realizzato una guida per il GDPR in Pdf, che affronta tutti i temi legati al nuovo regolamento europeo della privacy in maniera semplice e graficamente accattivante.
Tags: tag gdpr tag privacy tag normativa
Lascia un Commento