Carla BoucaUna delle domande che ha sollevato i maggiori dubbi nelle organizzazioni che lavorano all’implementazione del GDPR dell’UE è stata quali siano le differenze tra il controllore1) di dati e il processore2) di dati secondo il GDPR.
“Nell’ambito del Regolamento Generale per la Protezione dei Dati dell’Unione Europea (o GDPR), qual è la nostra responsabilità nei confronti dei dati personali che i nostri clienti gestiscono nel campo di applicazione della loro attività commerciale? Voglio dire, i dati personali sono raccolti e trattati dai nostri clienti e noi li registriamo soltanto.” è qualcosa che viene comunemente chiesto nelle organizzazioni con cui ho lavorato.
Infatti, alcune organizzazioni non hanno alcun controllo sui dati dei loro clienti (li registrano soltanto). La domanda è: All’interno del GDPR dell’UE, quali sono le responsabilità di queste organizzazioni se registrano i dati personali? Sono coperte dai nuovi regolamenti europei?
Regolamento Generale Europeo sulla Protezione dei Dati (il GDPR dell’UE)
Questo nuovo regolamento (il GDPR dell’UE) è stato approvato il 14 aprile 2016 dal Parlamento Europeo e dal Consiglio Europeo. Sarà applicato direttamente in ogni paese, UE o non UE (che conservi i dati personali dei cittadini europei), consentendo una coerenza delle norme tra le nazioni sui diritti relativi alla privacy dei cittadini. Per saperne di più, leggi l’articolo: Cos’è il GDPR dell’UE e perchè è applicabile al mondo intero?
In primo luogo, tutte le organizzazioni raccolgono e / o conservano i dati personali dei propri dipendenti purché siano cittadini europei; pertanto, tutte le organizzazioni, all’interno o all’esterno dell’UE, sono responsabili dell’elaborazione di questi dati all’interno del GDPR dell’UE. D’altra parte, le organizzazioni possono registrare i dati personali dei propri clienti diretti o i dati personali che i propri clienti raccolgono da persone fisiche. All’interno del GDPR dell’UE, la responsabilità dell’organizzazione è diversa a seconda del fatto che questa raccolga i dati direttamente dagli interessati oppure no?
Controllori a confronto con i Processori
Secondo l’articolo 4 del GDPR dell’UE, i diversi ruoli sono identificati come segue:
- “Controllore”: ”è una persona fisica o giuridica, autorità pubblica, agenzia o altro organismo che, da solo o congiuntamente con altri, determina le finalità e i mezzi di trattamento dei dati personali”
- “Processore”: “è una persona fisica o giuridica, autorità pubblica, agenzia o altro organismo che elabora dati personali per conto del controllore”
Quindi, le organizzazioni che determinano i mezzi di trattamento dei dati personali sono controllori, indipendentemente dal fatto che raccolgano direttamente i dati dagli interessati. Ad esempio, una banca (controllore) raccoglie i dati dei propri clienti quando questi aprono un conto, ma è un’altra organizzazione (processore) che registra, digitalizza e cataloga tutte le informazioni prodotte sulla carta dalla banca. Queste aziende possono essere data center o società di gestione dei documenti. Entrambe le organizzazioni (controllori e processori) sono responsabili della gestione dei dati personali di questi clienti.
Quali sono le responsabilità dei controllori?
Secondo l’articolo 5 del GDPR dell’UE, il controllore è competente per, e deve essere in grado di dimostrare la conformità a, i principi relativi al trattamento dei dati personali. Questi sono: liceità, correttezza e trasparenza, minimizzazione dei dati, accuratezza, limitazioni e integrità della conservazione e riservatezza dei dati personali.
Secondo l’articolo 24 del GDPR dell’UE, “Tenuto conto della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, nonché dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche, il titolare del trattamento – o controllore – mette in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al presente regolamento. Dette misure sono riesaminate e aggiornate qualora necessario.”
Esempi di tali misure possono essere l’attribuzione di responsabilità per la protezione dei dati, una valutazione d’impatto sulla protezione dei dati e un piano di mitigazione dei rischi, l’implementazione della pseudonimizzazione (il trattamento dei dati personali in modo tale che i dati personali non possano più essere attribuiti a un interessato specifico senza l’utilizzo di informazioni aggiuntive) e della minimizzazione dei dati per soddisfare i requisiti del presente Regolamento e proteggere i diritti degli interessati.
Se esistono più organizzazioni che condividono la responsabilità per il trattamento dei dati personali, il GDPR dell’UE considera la possibilità dell’esistenza di contitolari del trattamento. Questi devono determinare le proprie responsabilità mediante un accordo e fornire il contenuto di questo accordo agli interessati, definendo i mezzi di comunicazione con i processori con un unico punto di contatto.
Quali sono le responsabilità dei processori?
Secondo l’articolo 28 del GDPR dell’Unione Europea, “Qualora un trattamento debba essere effettuato per conto del titolare del trattamento – o controllore -, quest’ultimo ricorre unicamente a responsabili del trattamento – o processori – che presentino garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del presente regolamento e garantisca la tutela dei diritti dell’interessato.“
Ciò significa che se una qualsiasi società all’interno o al di fuori dell’UE desidera rimanere in attività, sia essa controllore o processore, dovrà implementare i controlli necessari per assicurarsi di essere conforme con il GDPR dell’UE, poiché le sanzioni possono essere applicate sia ai controllori che ai processori. Ai sensi dell’articolo 83, sono inflitte ammende per “il grado di responsabilità del controllore o del processore tenendo conto delle misure tecniche e organizzative da essi messe in atto “.
L’implementazione della SO 27001 soddisfa i requisiti del GDPR dell’UE?
L’implementazione della ISO 27001 copre la maggior parte dei requisiti del GDPR dell’UE; tuttavia, alcuni controlli dovrebbero essere adattati per includere i dati personali all’interno del Sistema di Gestione della Sicurezza dell’Informazione. Per ulteriori informazioni, leggi l’articolo Does ISO 27001 implementation satisfy EU GDPR requirements?
Oltre a ciò che è previsto per l’implementazione della ISO 27001 affinché un’organizzazione, controllore o processore (entrambe dovranno svolgere queste attività), possa assicurare la conformità al GDPR dell’UE, dovranno essere incluse alcune misure quali:
- le procedure per garantire l’esercizio dei diritti degli interessati
- i meccanismi per il trasferimento transfrontaliero di dati
- il contenuto minimo della valutazione d’impatto sulla protezione dei dati
- le procedure da seguire in caso di violazione dei dati personali
Tutte queste misure possono essere integrate nel Sistema di Gestione della Sicurezza dell’Informazione, consentendo la garanzia di conformità legale e il miglioramento continuo, anche se il SGSI e il GDPR dell’UE sono allineati.
Le organizzazioni coperte dal GDPR dell’UE, che siano controllori o processori, hanno tempo fino al maggio 2018 per implementare una serie di misure che potrebbero causare un cambiamento drastico al loro modo di operare. Non sapere da dove iniziare può rendere l’intero processo troppo complesso. L’implementazione di un SGSI può essere il sostegno mancante di cui l’organizzazione che deve rispettare con il GDPR dell’UE ha bisogno.
Leggi questo libro bianco gratuito: Cos’è il GDPR dell’UE e in che modo la ISO 27001 può essere d’aiuto? per saperne di più sulla protezione della privacy.
1) Si utilizza qui e di seguito il termine non ufficiale di “Controllore” al posto di quello ufficiale di “Titolare del trattamento” riportato nel testo dell’UE, in quanto più intuitivo.
2) Si utilizza qui e di seguito il termine non ufficiale di “Processore” al posto di quello ufficiale di “Responsabile del trattamento” riportato nel testo dell’UE, in quanto più intuitivo.