My IBM Accedi Iscriviti

Lista di controllo per la conformità al GDPR

22 gennaio 2024

Tempo di lettura: 9 minuti

Il Regolamento generale sulla protezione dei dati (GDPR) è una legge dell'Unione Europea (UE) che disciplina il modo in cui le organizzazioni raccolgono e utilizzano i dati personali. Qualsiasi azienda che opera nell'UE o che gestisce i dati dei residenti nell'UE deve rispettare i requisiti del GDPR.

Tuttavia, la conformità al GDPR non è necessariamente una questione semplice. La legge delinea un insieme di diritti di privacy dei dati per gli utenti e una serie di principi per il trattamento dei dati personali. Le organizzazioni devono rispettare questi diritti e principi, ma il GDPR lascia spazio a ciascuna azienda per decidere come.

La posta in gioco è alta e il GDPR impone sanzioni significative in caso di non conformità. Le violazioni più gravi possono portare a multe fino a 20.000.000 EUR o al 4% del fatturato globale mondiale dell'organizzazione nell'anno precedente. Le autorità di regolamentazione del GDPR possono anche porre fine alle attività illecite di trattamento dei dati e costringere le organizzazioni ad apportare modifiche.

La lista di controllo seguente copre le principali normative GDPR. Il modo in cui un'organizzazione soddisfa queste normative dipenderà dalle sue circostanze uniche, inclusi i tipi di dati che raccoglie e il modo in cui utilizza tali dati.

Nozioni di base sul GDPR

Il GDPR si applica a qualsiasi organizzazione con sede nello Spazio Economico Europeo (SEE). Il SEE comprende tutti i 27 stati membri dell'Unione Europea più l'Islanda, il Liechtenstein e la Norvegia.

Il GDPR si applica anche alle organizzazioni al di fuori del SEE se:

  • L'azienda offre regolarmente beni o servizi ai residenti nel SEE, anche senza scambi di denaro.
  • L'azienda monitora regolarmente l'attività dei residenti nel SEE, ad esempio utilizzando i cookie di monitoraggio.
  • L'azienda tratta i dati per conto di un'azienda con sede nel SEE.

Il GDPR non si applica solo alle aziende che utilizzano i dati dei clienti per scopi commerciali. Si applica a quasi tutte le organizzazioni che trattano i dati dei residenti nel SEE per qualsiasi scopo. Le scuole, gli ospedali e le agenzie governative rientrano tutti sotto l'autorità del GDPR.

Le uniche attività di trattamento dei dati esenti dal GDPR sono quelle legate alla sicurezza nazionale o all'applicazione della legge e gli usi puramente personali dei dati.

Definizioni utili

Il GDPR utilizza una terminologia specifica. Per comprendere i requisiti di conformità, le organizzazioni devono comprendere il significato di questi termini in questo contesto.

Il GDPR definisce i dati personali come qualsiasi informazione relativa a un essere umano identificabile. Tutto, dagli indirizzi e-mail alle opinioni politiche, conta come dati personali.

Un interessato è l'essere umano che possiede i dati. In altre parole, è la persona a cui si riferiscono i dati. Supponiamo che un'azienda raccolga numeri di telefono per inviare messaggi di marketing via SMS. I proprietari di tali numeri di telefono sarebbero gli interessati.

Quando il GDPR fa riferimento agli interessati, si riferisce agli interessati residenti nel SEE. Per godere dei diritti alla privacy dei dati previsti dal GDPR, non è necessario che i soggetti siano cittadini dell'UE. Devono semplicemente essere residenti nel SEE.

Un titolare del trattamento dei dati è qualsiasi organizzazione, gruppo o persona che ottiene dati personali e determina come vengono utilizzati. Tornando all'esempio precedente, un'azienda che raccoglie numeri di telefono per scopi di marketing sarebbe un titolare del trattamento.

Il trattamento dei dati è qualsiasi azione eseguita sui dati, inclusa la raccolta, l'archiviazione o l'analisi. Un responsabile del trattamento dei dati è qualsiasi organizzazione o attore che compie tali azioni.

Un'azienda può essere sia titolare del trattamento che responsabile del trattamento, ad esempio un'azienda che raccoglie numeri di telefono e li utilizza per inviare messaggi di marketing. I responsabili del trattamento includono anche terze parti che elaborano i dati per conto dei titolari del trattamento, come un servizio di storage cloud che ospita un database di numeri di telefono per un'altra azienda.

Le autorità di controllo sono gli enti normativi che applicano i requisiti del GDPR. Ogni paese del SEE ha la propria autorità di controllo.

La lista di controllo per la conformità al GDPR

A livello generale, un'organizzazione è conforme al GDPR se:

  • Aderisce ai principi di trattamento dei dati
  • Tutela i diritti degli interessati
  • Applica adeguate misure di sicurezza dei dati
  • Segue le regole per il trasferimento e la condivisione dei dati

La seguente lista di controllo suddivide ulteriormente questi requisiti. Le misure pratiche che un'organizzazione adotta per soddisfare questi requisiti dipenderanno, tra gli altri fattori, dalla sua posizione, dalle risorse e dalle attività di trattamento dei dati.

Principi di trattamento dei dati

Il GDPR crea una serie di principi che le organizzazioni devono seguire durante il trattamento dei dati personali. I principi sono i seguenti.

L'organizzazione ha una base giuridica per il trattamento dei dati.

Il GDPR definisce le circostanze in cui le aziende possono trattare legalmente i dati personali. Un'organizzazione deve stabilire e documentare la propria base giuridica prima di raccogliere qualsiasi dato. L'organizzazione deve comunicare questa base agli utenti al momento della raccolta dei dati. Non può modificare la base a posteriori a meno che non abbia il consenso dell'utente per farlo.

Le possibili basi giuridiche includono:

  • L'organizzazione ha il consenso dell'interessato al trattamento dei suoi dati. Notare che il consenso dell'utente è valido solo se è informato, affermativo e liberamente concesso.
    • Il consenso informato significa che l'azienda spiega chiaramente quali dati sta raccogliendo e come li utilizzerà.
    • Il consenso affermativo significa che l'utente deve intraprendere alcune azioni intenzionali per mostrare il consenso, ad esempio firmando una dichiarazione o selezionando una casella. Il consenso non può essere l'opzione predefinita.
    • Il consenso liberamente concesso significa che l'azienda non cerca di influenzare o costringere l'interessato. Quest'ultimo deve essere in grado di revocare il proprio consenso in qualsiasi momento.
  • L'organizzazione deve trattare i dati per stipulare un contratto con l'interessato o per conto dell'interessato.
  • L'organizzazione ha l'obbligo legale di trattare i dati.
  • L'organizzazione deve trattare i dati per proteggere la vita dell'interessato o di un'altra persona.
  • L'organizzazione sta trattando i dati per motivi di interesse pubblico, come il giornalismo o la salute pubblica.
  • L'organizzazione è un'autorità pubblica che tratta i dati per svolgere una funzione ufficiale.
  • L'organizzazione sta trattando i dati per perseguire un interesse legittimo.
    • Un interesse legittimo è un beneficio che il titolare del trattamento o un'altra parte potrebbe ottenere trattando i dati. Alcuni esempi includono l'esecuzione di controlli sui precedenti dei dipendenti o il monitoraggio degli indirizzi IP su una rete aziendale per scopi di cybersecurity. Per rivendicare una base di interesse legittimo, l'organizzazione deve dimostrare che il trattamento è necessario e non viola i diritti degli interessati.

L'organizzazione raccoglie i dati per uno scopo specifico e li utilizza solo per tale scopo.

Secondo il principio di limitazione delle finalità del GDPR, i titolari del trattamento devono avere una finalità identificata e documentata per la raccolta dei dati. Il titolare del trattamento deve comunicare tale finalità agli utenti al momento della raccolta e può utilizzare i dati solo per tale finalità indicata.

L'organizzazione raccoglie solo la quantità minima di dati necessaria.

I titolari del trattamento possono raccogliere solo la quantità minima di dati necessaria per soddisfare la finalità dichiarata.

L'organizzazione mantiene i dati accurati e aggiornati.

I titolari del trattamento devono adottare misure ragionevoli per garantire che i dati personali in loro possesso siano accurati e aggiornati.

L'organizzazione elimina i dati quando non sono più necessari.

Il GDPR richiede rigorose politiche di conservazione ed eliminazione dei dati. Le aziende possono conservare i dati solo fino al raggiungimento della finalità specificata per la raccolta di tali dati e devono eliminarli quando non ne hanno più bisogno.

L'organizzazione prende ulteriori precauzioni durante il trattamento dei dati dei bambini o dei dati di categorie speciali.

I titolari del trattamento e i responsabili del trattamento devono applicare protezioni aggiuntive a determinate tipologie di dati personali.

I dati di categoria speciale includono dati altamente sensibili come la razza e la biometria di una persona. Le organizzazioni possono trattare i dati di categorie speciali solo in circostanze molto limitate, ad esempio per prevenire gravi minacce alla salute pubblica. Le aziende possono trattare i dati di categorie speciali anche con il consenso esplicito dell'interessato.

I dati sulle condanne penali possono essere controllati solo dalle autorità pubbliche. I responsabili del trattamento possono elaborare queste informazioni solo su indicazione di un'autorità pubblica.

I titolari del trattamento devono ottenere il consenso di un genitore prima di trattare i dati dei bambini. Devono adottare misure ragionevoli per verificare l'età degli interessati e le identità dei genitori. Se raccolgono dati da bambini, i titolari del trattamento devono presentare informative sulla privacy in un linguaggio adatto ai bambini.

Ogni stato del SEE stabilisce la propria definizione di "bambino" ai sensi del GDPR. Queste vanno da "chiunque abbia meno di 13 anni" a "chiunque abbia meno di 16 anni".

L'organizzazione documenta tutte le attività di trattamento dei dati.

Le organizzazioni con più di 250 dipendenti devono tenere un registro del trattamento dei dati. Le organizzazioni con meno di 250 dipendenti devono conservare i registri se trattano dati altamente sensibili, se trattano i dati regolarmente o se trattano i dati in un modo che rappresenta un rischio significativo per gli interessati.

I titolari del trattamento devono documentare aspetti quali i dati che raccolgono, ciò che fanno con tali dati, le mappe del flusso di dati e le misure di salvaguardia dei dati. I responsabili del trattamento devono documentare i titolari del trattamento per i quali lavorano, i tipi di trattamento che eseguono per ciascun titolare del trattamento e i controlli di sicurezza che utilizzano.

Il titolare del trattamento è in ultima analisi responsabile di garantire la conformità.

Ai sensi del GDPR, la responsabilità ultima della conformità spetta al titolare del trattamento dei dati. Ciò significa che il titolare del trattamento deve garantire ed essere in grado di dimostrare che i suoi responsabili del trattamento di terze parti soddisfano tutti i requisiti pertinenti del GDPR.

Diritti degli interessati

Il GDPR concede agli interessati determinati diritti sui propri dati. I titolari e i responsabili del trattamento devono onorare questi diritti.

L'organizzazione offre agli interessati semplici modalità per esercitare i propri diritti.

Le organizzazioni devono fornire agli interessati un mezzo semplice per far valere i propri diritti sui propri dati. Questi diritti includono:

  • Il diritto di accesso: gli interessati devono essere in grado di richiedere e ricevere copie dei loro dati, nonché informazioni rilevanti su come l'azienda utilizza i dati.
  • Il diritto di rettifica: gli interessati devono essere in grado di correggere o aggiornare i propri dati.
  • Il diritto di cancellazione: gli interessati devono essere in grado di richiedere l'eliminazione dei propri dati. 
  • Il diritto di limitare il trattamento: gli interessati devono essere in grado di limitare il modo in cui vengono utilizzati i propri dati se sospettano che i dati siano imprecisi, non più necessari o utilizzati in modo improprio.
  • Il diritto di opposizione: gli interessati devono potersi opporre al trattamento. Gli interessati che hanno precedentemente dato il loro consenso devono poterlo ritirare facilmente in qualsiasi momento.
  • Il diritto alla portabilità dei dati: gli interessati hanno il diritto di trasferire i propri dati e i titolari del trattamento e i responsabili del trattamento devono facilitare tali trasferimenti.

In generale, le organizzazioni devono rispondere a tutte le richieste di accesso ai dati degli interessati entro 30 giorni. Le aziende devono in genere soddisfare la richiesta di un interessato a meno che la società non possa dimostrare di avere un motivo legittimo e imperativo per non farlo.

Se un'organizzazione rifiuta una richiesta, deve spiegare il motivo. L'organizzazione deve inoltre comunicare all'interessato come presentare ricorso contro la decisione al responsabile della protezione dei dati dell'azienda o all'autorità di controllo competente.

L'organizzazione offre agli interessati un modo per contestare decisioni automatizzate.

Ai sensi del GDPR, gli interessati hanno il diritto di non essere vincolati da processi decisionali automatizzati che potrebbero avere un impatto significativo su di loro. Ciò include la profilazione, che il GDPR definisce come l'utilizzo dell'automazione per valutare alcuni aspetti di una persona, come la previsione delle sue prestazioni lavorative.

Se un'organizzazione utilizza decisioni automatizzate, deve fornire agli interessati un modo per contestare tali decisioni. Gli interessati possono anche richiedere che un dipendente umano riveda qualsiasi decisione automatizzata che li riguardi.

L'organizzazione è trasparente su come utilizza i dati personali.

I titolari del trattamento e i responsabili del trattamento devono informare in modo proattivo e chiaro gli interessati sulle attività di trattamento dei dati, compresi i dati che raccolgono, cosa ne fanno e come gli interessati possono esercitare i loro diritti sui dati.

Queste informazioni devono in genere essere comunicate tramite un'informativa sulla privacy presentata all'interessato durante la raccolta dei dati. Se l'azienda non raccoglie dati personali direttamente dagli interessati, le informative sulla privacy devono essere inviate ai soggetti entro un mese. Le aziende possono anche includere questi dettagli nelle informative sulla privacy accessibili al pubblico sui loro siti web.

Privacy dei dati e misure di protezione

Il GDPR richiede ai titolari e ai responsabili del trattamento di adottare misure per prevenire l'uso improprio dei dati personali e proteggere gli interessati da eventuali danni.

L'organizzazione ha implementato controlli di cybersecurity appropriati.

I titolari e i responsabili del trattamento devono implementare misure di sicurezza atte a tutelare la riservatezza e l'integrità dei dati personali. Il GDPR non richiede particolari controlli, ma stabilisce che le aziende devono adottare misure sia tecniche che organizzative.

Le misure tecniche includono soluzioni tecnologiche, come piattaforme di gestione delle identità e degli accessi (IAM), backup automatici e strumenti di sicurezza dei dati. Sebbene il GDPR non richieda esplicitamente la crittografia dei dati, si consiglia alle organizzazioni di utilizzare la pseudonimizzazione e l'anonimizzazione laddove possibile.

Le misure organizzative includono la formazione dei dipendenti, valutazioni continue dei rischi e altre politiche e processi di sicurezza. Le aziende devono inoltre seguire il principio della protezione dei dati fin dalla progettazione e per impostazione predefinita durante la creazione o l'implementazione di nuovi sistemi e prodotti.

L'organizzazione effettua valutazioni d'impatto della protezione dei dati (DPIA) come richiesto.

Se un'azienda prevede di trattare i dati in un modo che rappresenta un rischio elevato per i diritti degli interessati, deve prima condurre una valutazione d'impatto della protezione dei dati (DPIA). I tipi di trattamento che potrebbero attivare una DPIA includono, tra gli altri, la profilazione automatizzata e il trattamento su larga scala di categorie speciali di dati personali.

Una DPIA deve descrivere i dati utilizzati, il trattamento previsto e la finalità del trattamento. Deve identificare i rischi del trattamento e i modi per mitigarli. Se esiste un rischio significativo non mitigato, l'organizzazione deve consultare un'autorità di controllo prima di procedere.

Se necessario, l'organizzazione ha nominato un responsabile della protezione dei dati (DPO).

Un'organizzazione deve nominare un responsabile della protezione dei dati (DPO) se monitora gli interessati su larga scala o tratta dati di categoria speciale come attività principale. Anche tutte le autorità pubbliche devono nominare i DPO.

Il DPO ha la responsabilità di garantire che l'organizzazione rimanga conforme al GDPR. I compiti principali includono il coordinamento con le autorità per la protezione dei dati, la consulenza all'organizzazione sui requisiti del GDPR e la supervisione delle DPIA.

Il DPO deve essere un funzionario indipendente che risponde direttamente al livello dirigenziale più alto. L'organizzazione non può vendicarsi contro il DPO per aver svolto le sue funzioni.

L'organizzazione informa le autorità di controllo e gli interessati quando si verificano violazioni dei dati.

Le organizzazioni devono segnalare la maggior parte delle violazioni di dati personali all'autorità di controllo pertinente entro 72 ore. Se la violazione rappresenta un rischio per gli interessati, l'organizzazione deve anche informarli. Le organizzazioni devono informare direttamente gli interessati a meno che la comunicazione diretta non sia irragionevole, nel qual caso un avviso pubblico è accettabile.

I responsabili del trattamento che subiscono una violazione devono informare i titolari del trattamento pertinenti senza ingiustificato ritardo.

Se si trova al di fuori del SEE, l'organizzazione ha nominato un rappresentante nel SEE.

Qualsiasi azienda al di fuori del SEE che tratta regolarmente i dati dei residenti del SEE o tratta dati particolarmente sensibili deve nominare un rappresentante all'interno del SEE. Il rappresentante si coordina con le autorità governative per conto dell'azienda e funge da punto di contatto per le questioni di conformità al GDPR.

Trasferimenti e condivisione dei dati

Il GDPR stabilisce le regole su come le organizzazioni condividono i dati personali con altre aziende all'interno e all'esterno del SEE.

L'organizzazione utilizza accordi formali sul trattamento dei dati per regolare i rapporti con i responsabili del trattamento.

Un titolare del trattamento può condividere i dati personali con responsabili del trattamento e altre terze parti, ma questi rapporti devono essere regolati da accordi formali sul trattamento dei dati. Tali accordi devono delineare i diritti e le responsabilità di tutte le parti in relazione al GDPR.

I responsabili del trattamento di terze parti possono trattare i dati solo secondo le indicazioni del titolare del trattamento. Non possono utilizzare i dati del titolare del trattamento per i propri scopi. Un responsabile del trattamento deve ottenere l'approvazione del titolare del trattamento prima di condividere i dati con un sub-responsabile.

L'organizzazione effettua solo trasferimenti di dati approvati al di fuori del SEE.

Un titolare del trattamento può condividere i dati con una terza parte situata al di fuori del SEE solo se il trasferimento dei dati soddisfa almeno uno dei seguenti criteri:

  • La Commissione europea ha ritenuto adeguate le leggi sulla privacy dei dati del paese in cui si trova la terza parte.
  • La Commissione europea ha ritenuto che la terza parte disponga di politiche e controlli adeguati in materia di protezione dei dati.
  • Il titolare del trattamento ha adottato tutte le misure necessarie per garantire la sicurezza e la riservatezza dei dati trasferiti.

Esplora le soluzioni per la conformità al GDPR

La conformità al GDPR è un processo continuo e i requisiti di un'organizzazione possono cambiare man mano che raccoglie nuovi dati e intraprende nuovi tipi di attività di trattamento.

Le soluzioni per la sicurezza e la conformità dei dati come IBM Security Guardium possono aiutare a semplificare il processo di raggiungimento e mantenimento della conformità al GDPR. Guardium è in grado di rilevare automaticamente i dati regolati dal GDPR, applicare regole di conformità per tali dati, monitorare l'utilizzo dei dati e consentire alle organizzazioni di rispondere alle minacce alla sicurezza dei dati.

 

Autore

Matt Kosinski

Writer