GDPR e trattamento dei dati: come essere conformi

Sono mesi che sentite parlare del GDPR, dei suoi vincoli, dei suoi vantaggi e vi ricorderete delle lunghe procedure che avete dovuto mettere in atto per assicurarvi di essere conformi a questo nuovo regolamento per la protezione dei dati personali in Europa.

Tutte le aziende hanno subito l’influenza di questo regolamento, sia nel loro core business che nelle loro azioni di marketing e comunicazione. Anche se tutto ciò può essere sembrato complesso o addirittura particolarmente "doloroso", ha anche dato a tutti l'opportunità di rivedere le loro politiche di raccolta dei dati, di ripulire i loro database e di regolamentarli

Uno degli obiettivi principali del GDPR è quello di poter tracciare con precisione i flussi di dati e il modo in cui transitano da una struttura all'altra. La difficoltà risiede quindi nei casi particolarmente frequenti di sub-trattamento dei dati da parte di aziende terze.

Come responsabile del trattamento dei dati personali, dovete assicurarvi che i vostri sub responsabili che li gestiscono siano conformi al GDPR. Se non lo sono, sarete voi i responsabili in caso di eventuali controlli.

In qualità di sub responsabile del trattamento, è quindi fortemente consigliato prendere l'iniziativa ed informare il vostro cliente della vostra conformità al GDPR. Il cliente dovrà essere informato e d'accordo con la vostra nuova politica di gestione dei dati personali e dovrà essere presentata una clausola aggiuntiva al vostro contratto per convalidare questi cambiamenti.

Sorgeranno allora alcune domande:

• Come assicurarsi che i miei clienti abbiano compreso e convalidato i cambiamenti apportati alla mia politica di trattamento dei dati personali?
• Come posso gestire, automatizzare e controllare l'invio di clausole aggiuntive a tutto il mio portafoglio clienti?
• Dove e come memorizzo la prova del loro consenso?

Nel contesto dell'applicazione del GDPR, siete considerati un sub-responsabile se "elaborate dati personali per conto, su istruzioni e sotto l'autorità di un responsabile del trattamento".

Nel momento in cui siete responsabili della gestione, dell'archiviazione, dell'elaborazione di tutti o in  parte di alcuni dati personali per conto dei vostri clienti, siete un sub-responsabile. Questo riguarda, in modo non esaustivo, la grande maggioranza dei fornitori di servizi informatici e digitali come Yousign, agenzie di comunicazione, servizi di marketing o società di risorse umane, ma anche alcune associazioni o enti pubblici che possono essere tenuti a trattare dati personali per conto di altre strutture.

Come promemoria, nel contesto del trattamento di un flusso di dati specifico, il sub-responsabile e il responsabile del trattamento dei dati sono due entità giuridiche distinte.

Il responsabile del trattamento è "la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che, da solo o insieme ad altri, determina le finalità e i mezzi del trattamento dei dati personali". 

Il sub-responsabile è la persona fisica o giuridica che elaborerà i dati su richiesta e per conto del responsabile del trattamento.

Per esempio, avete un database di potenziali clienti che desiderate contattare tramite campagne di marketing mirate.  A questo scopo, si ricorre ai servizi di un'azienda di web marketing.

L'azienda di web marketing elaborerà i dati che le avete fornito, e avrà quindi lo status di sub responsabile del trattamento. Voi, d'altra parte, avrete lo status di responsabile del trattamento dei dati.

Ora immaginiamo che questa azienda di web marketing esternalizzi parte delle sue attività HR (buste paga, dichiarazioni sociali, ecc.). In questo contesto, l’azienda è responsabile del trattamento dei dati del suo personale. Il fornitore di servizi HR sarà quindi un sub-responsabile.

È quindi molto probabile che voi siate sia un sub-responsabile per i vostri clienti che un responsabile del trattamento per certe operazioni di trattamento dei dati, sia che voi stessi abbiate o meno dei sub-responsabile.

Il GDPR ha esteso le responsabilità del sub-responsabile per quanto riguarda i dati personali che tratta per conto del responsabile del trattamento. Anche se quest'ultimo è ancora in prima linea per quanto riguarda il controllo dei flussi di dati e la loro elaborazione, il sub-responsabile non è da meno.

La relazione che avete con il vostro cliente deve essere perfettamente trasparente. Si consiglia vivamente di contrattualizzare gli obblighi di ogni parte così come lo spettro generale della vostra missione. L'interesse è quello di avere un documento scritto che elenca le azioni che potete intraprendere sui dati trasmessi dal vostro cliente o gestiti per suo conto.

Dovete anche assicurarvi di avere l'accordo esplicito del vostro cliente se utilizzate anche un sub-responsabile che avrà accesso a tutti o parte dei dati che elaborate e per i quali il cliente è responsabile.

Ogni cambio di sub-responsabile e quindi di flusso di dati deve essere oggetto di notifica o, secondo i termini del contratto tra voi e il vostro cliente, di un nuovo accordo.

"Il sub-responsabile non può assumere un altro sub-responsabile senza il previo consenso scritto, specifico o generale, del responsabile del trattamento. Nel caso di un'autorizzazione generale scritta, il sub-responsabile deve informare il responsabile del trattamento di qualsiasi modifica prevista per quanto riguarda l'aggiunta o la sostituzione di altri sub-responsabile , dando così al responsabile del trattamento la possibilità di opporsi a tali modifiche."
Regolamento generale sulla protezione dei dati, articolo 28-2.

Tutti i vostri strumenti e servizi devono essere conformi al regolamento generale sulla protezione dei dati fin dal principio.

Dovete anche assicurarvi che solo i dati necessari per i vostri scopi siano immagazzinati ed elaborati, e solo da coloro che sono autorizzati a farlo.

Dovete essere in grado di assicurare al vostro cliente che i dati che vi affida sono protetti. Tutto il personale che tratta i dati dovrà quindi essere soggetto a un obbligo di riservatezza per quanto riguarda le informazioni.

Dovrete inoltre cancellare e/o trasferire questi dati al cliente al termine del vostro contratto e secondo le richieste del cliente, a meno che non sussista l’obbligo legale di conservarli. Questo è per esempio il caso dei processi di fatturazione o, come fa Yousign, dei dossier di prova legati a ogni firma elaborata nella sua applicazione.

Essendo incaricati del trattamento dei dati per conto del responsabile del trattamento, dovete essere in grado di assistere il vostro cliente e consigliarlo sull'uso corretto delle informazioni trattate. È anche vostra responsabilità avvisare il vostro cliente quando si presenta un rischio per i dati o il loro trattamento. 

Siete quindi obbligati ad avvertire il vostro cliente se una delle richieste che avanza nell'ambito della vostra missione viola una delle regole del GDPR.

Il GDPR richiede anche che il sub-responsabile faccia tutto il possibile affinché il responsabile del trattamento possa rispondere alle richieste delle persone che desiderano esercitare i loro diritti in materia di protezione dei dati personali (accesso, portabilità, cancellazione...) e che li avverta in caso di violazione della sicurezza.

Questo nuovo regolamento comporta nuove responsabilità sia per i responsabili dei dati che per i sub-responsabili, così come l'implementazione di nuovi processi per la raccolta, il trattamento e la protezione dei dati personali.

Come professionista o privato, avrai ricevuto negli ultimi mesi delle e-mail e delle notifiche che ti invitano a consultare e convalidare le nuove condizioni generali di protezione dei dati personali delle tue applicazioni, sub-responsabili , reti sociali, e-commerce...

Tutte le aziende che gestiscono i dati hanno dovuto conformarsi al processo.

Come sub-responsabile e per essere pienamente conforme al GDPR, dovete assicurarvi che tutti i vostri clienti abbiano ricevuto, consultato e convalidato queste nuove regole con cognizione di causa. Questo implica necessariamente dei cambiamenti più o meno importanti nei termini del contratto che avevate stipulato con il vostro cliente. È quindi necessario, per seguire scrupolosamente le regole, firmare una clausola aggiuntiva al contratto iniziale, nuovi termini e condizioni, o persino un nuovo contratto.

Una volta che questo documento è stato redatto, dovrete inviarlo a tutti i vostri clienti, seguire ciascuna delle procedure e assicurarvi che sia stato firmato da un decisore o da qualcuno con autorità di firma delegata.

La firma elettronica può rendere molto più facile l'attuazione di questa procedura. Un'applicazione come Yousign vi permetterà di gestire meglio l'invio di massa di clausole aggiuntive ai vostri clienti, di monitorare le procedure di firma e di identificare rapidamente quelle che pongono un problema, effettuando le modifiche direttamente sul documento con i vostri clienti.

Infine, la creazione e la conservazione per 10 anni di un dossier di prova, inerente a qualsiasi procedura, rappresenterà una prova inconfutabile del consenso dato dai vostri clienti su queste nuove condizioni generali.

--

Mentre molte organizzazioni oggi spuntano semplicemente una casella in cui si dichiara di aver compreso la loro nuova politica di protezione dei dati, la fattibilità di questo approccio potrebbe essere messa in discussione.

Il nuovo regolamento generale sulla protezione dei dati non richiederà, a lungo termine, la firma delle CGV che permetterà di assicurare l'effettiva comprensione e convalida delle stesse da parte dei clienti e degli utenti?

---

Questo documento è fornito esclusivamente a scopo informativo. Non ne garantiamo la completezza, né che sia aggiornato rispetto alle normative vigenti. Questo documento non è fornito in sostituzione di una consulenza legale.