Articolo 30 del GDPR: Quali sono i requisiti?

Articolo 30 GDPR
Categorie:

Creazione di un registro delle attività di trattamento

Le aziende utilizzano diverse cifre chiave per analizzare il loro sviluppo in aree come il marketing, le vendite, il successo dei clienti, le risorse umane, la finanza o l'IT. La creazione di un registro delle attività di trattamento può razionalizzare e collegare tutti questi sforzi. Tutte le organizzazioni sono tenute a fornire nella loro politica sulla privacy informazioni sulle finalità per cui trattano i dati personali dei loro clienti e di altri soggetti interessati. Il registro delle attività di trattamento fornisce un'eccellente panoramica delle attività dei singoli reparti, dei processi della vostra organizzazione e del trattamento dei dati personali.

L'articolo 30 obbliga ogni azienda che agisce come responsabile del trattamento dei dati nell'ambito del GDPR a tenere un "registro delle attività di trattamento" (RPA) in forma scritta (anche elettronica). L'RPA fornisce una panoramica completa del trattamento dei dati personali nell'azienda. I responsabili del trattamento devono anche tenere un registro dei processi che eseguono per conto dei loro clienti. Il DPA illustra il come e il perché del trattamento dei dati. Il DPA deve essere presentato all'autorità di vigilanza su richiesta.

 

Articolo 30 del GDPR: Cosa si intende esattamente per "attività di trattamento"?

Il termine "attività di trattamento" non è sufficientemente definito nel GDPR. Di conseguenza, può risultare poco chiaro cosa sia soggetto a documentazione e a quale livello di dettaglio. In generale, il GDPR richiede che vengano documentate le singole fasi del processo in cui vengono trattati i dati personali di dipendenti, clienti o altri soggetti interessati. Lo stesso vale per la base giuridica e le finalità di qualsiasi trattamento dei dati.

Articolo 30 GDPR: Il registro delle attività di trattamento  

L'articolo 30 del GDPR definisce il contenuto del registro delle attività di trattamento. Oltre al nome e ai dati di contatto dell'azienda e dell'eventuale responsabile della protezione dei dati, per ogni trattamento di dati personali devono essere documentate le seguenti informazioni:

  • Finalità del trattamento - Perché e per quale scopo utilizzate i dati personali?
  • Categorie di soggetti interessati - dipendenti, clienti, ecc.
  • Categorie di dati personali - dati di contatto, finanziari, sanitari, ecc.
  • Categorie di destinatari - A chi vengono comunicati i dati?
  • Informazioni sui destinatari al di fuori dell'UE/SEE
  • Periodi di cancellazione
  • Descrizione delle misure di sicurezza tecniche e organizzative / misure di protezione

È necessaria una base giuridica per tutti i trattamenti dei dati. È assolutamente utile registrarla nella vostra DPA. In caso di trattamento dei dati basato sull'articolo 6, paragrafo 1, lettera f), del GDPR, è necessario documentare anche i rispettivi interessi legittimi perseguiti dal responsabile del trattamento o da una terza parte.  

Articolo 30 GDPR: Esempi di attività di trattamento

Esempi di trattamento dei dati dei dipendenti possono essere i seguenti:

L'uso di software o dispositivi speciali con cui vengono raccolti, elaborati o utilizzati i dati dei dipendenti (ad esempio, sistemi per l'e-recruiting, la contabilità delle retribuzioni, la registrazione degli orari, i file digitali del personale, i controlli elettronici degli accessi, la videosorveglianza).

 

Articolo 30 del GDPR: Che impatto ha sulla mia azienda?

L'articolo 30 del GDPR stabilisce che tutte le aziende con più di 250 dipendenti devono tenere un registro delle attività di trattamento. Il registro deve essere presentato all'autorità di controllo per la revisione su richiesta.  

Prima che un'azienda inizi a creare una DPA, deve innanzitutto analizzare quali categorie di dati personali tratta, dove sono conservati i dati e come i dati fluiscono all'interno e all'esterno dell'azienda. Questo costituisce anche la base per la conformità ad altri requisiti del GDPR, come l'articolo 6 (stabilire una base giuridica per il trattamento), l'articolo 7 (condizioni e requisiti per ottenere il consenso) e l'articolo 13 (obblighi di informazione).

 

Articolo 30 GDPR: Esistono modelli di VVT?

Esistono molti modelli di VVT disponibili online. Software specializzati come 2B Advice PrIME contengono cataloghi o modelli che vi aiutano ad adempiere all'obbligo di documentazione, creando sondaggi online di facile risposta che possono essere inoltrati ai responsabili specialistici competenti.

Ad esempio, un questionario sulla VVT potrebbe porre queste domande:

- Perché trattate i dati personali?

- Di chi sono i dati che trattate?

- Quali tipi o categorie di dati trattate?

- Per quanto tempo conservate i dati / quando li cancellate?

- Quali misure adottate per proteggere questi dati?

- Con quali terze parti o fornitori condividete questi dati?

A queste domande dovrebbero rispondere tutti i reparti interni e le unità aziendali che trattano i dati dei dipendenti o dei clienti.

 

Lista di controllo Articolo 30 GDPR: Come affrontare la sfida

Prima che un'azienda possa iniziare a creare una DPA, deve innanzitutto analizzare quali categorie di dati personali tratta, dove sono conservati e come i dati fluiscono all'interno e all'esterno dell'azienda. Questo costituisce anche la base per la conformità ad altri requisiti del GDPR, come l'articolo 6 (stabilire una base giuridica per il trattamento), l'articolo 7 (condizioni e requisiti per ottenere il consenso) e l'articolo 13 (obblighi di informazione).

1. sviluppare un questionario standard per la valutazione d'impatto sulla protezione dei dati

2. definire linee guida e procedure uniformi per requisiti importanti come gli obblighi di cancellazione o le misure tecniche e organizzative

3. stabilire soglie di rischio per identificare le aree da migliorare

4. verificare se tutti i trattamenti dei dati hanno una base giuridica valida

5. aggiornare di conseguenza la propria informativa sulla privacy

6. effettuare regolarmente la manutenzione del VVT elettronico

Questi sono alcuni dei primi passi per mettere un'azienda sulla strada della conformità alla protezione dei dati. Altri fattori possono essere gli audit dei fornitori di servizi o l'implementazione della formazione dei dipendenti per ridurre al minimo il rischio di violazione dei dati.

Articolo 30 del GDPR: Quali sono le sanzioni per le violazioni?

Le autorità di vigilanza sono autorizzate a imporre ammende significative ai responsabili del trattamento o agli incaricati del trattamento. Le multe possono essere comminate per una serie di reati, ad esempio per la mancata conformità all'articolo 30 del GDPR. In questo caso, possono essere comminate multe fino a 10.000.000 di euro o fino al due per cento del fatturato globale dell'anno precedente, se superiore.

Il nuovo regolamento californiano CPRA può essere confrontato con l'articolo 30 del GDPR?

Una delle disposizioni di più ampia portata del CPRA, la 1798.185(a)(15), è simile all'articolo 30 del GDPR in quanto richiede alle aziende di condurre audit annuali sulla cybersecurity e valutazioni "periodiche" del rischio se il "trattamento dei dati personali dei consumatori da parte dell'azienda presenta un rischio significativo per la privacy o la sicurezza dei consumatori". Per determinare se il trattamento presenta "un rischio significativo", il CPRA individua due fattori da considerare. In primo luogo, le dimensioni e la complessità dell'organizzazione; in secondo luogo, la natura e la portata delle attività di trattamento.

La differenza principale è che il CPRA richiede anche che un'azienda presenti regolarmente una valutazione del rischio alla California Privacy Protection Agency (CPPA) in relazione al trattamento dei dati personali.

Riflessioni finali: Cosa fare in seguito in merito all'articolo 30 del GDPR?

Se avete sede in Europa, vi state espandendo in Europa, state acquisendo un'azienda in Europa o vi state fondendo con un'azienda in Europa e volete passare dalla creazione e dalla manutenzione del vostro DPA da Excel o da altri modelli a un sistema di gestione integrato e conforme alla protezione dei dati, 2B Advice può supportarvi. Il nostro robusto software 2B Advice PrIME è stato sviluppato in Germania, nel cuore della cultura della protezione dei dati. 2B Advice PrIME è stato progettato per soddisfare i requisiti più severi del GDPR e delle autorità di vigilanza europee.

Fissate una consulenza oggi stesso.

Fonti:
ico.org.uk
iapp.org
leginfo.legislature.ca.gov/faces/codes_displaySection.xhtml?lawCode=CIV&sectionNum=1798.185.

Tag:
Condividi questo post :
it_ITItalian