Obblighi del responsabile e del controllore ai sensi del GDPR: un cheat-sheet

Continuando la nostra serie di blog sul regolamento sulla protezione dei dati generali imminente (GDPR), stiamo andando a spendere qualche minuto che descrivono i vari obblighi le mette GDPR sui responsabili del trattamento e dei responsabili, allora vi lascio con un cheat-sheet con qualche rapido punti di azione per aiutarti a identificare quali attività, in particolare, potresti aver bisogno di assicurarti di avere in atto per la conformità.

Ma prima, alcune definizioni.

Il GDPR definisce un titolare del trattamento all'articolo 4, paragrafo 6, come:

“ la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali”

Considerato che un responsabile del trattamento (articolo 4, paragrafo 7) è:

“la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento”

Per fare un esempio più concreto: se sei un rivenditore online di widget e Jane Doe si iscrive alla tua mailing list sperando di saperne di più sui tuoi widget (o magari di nasconderti fino a quando non avrai una vendita), probabilmente raccogliere il suo indirizzo e-mail, e forse altre informazioni di contatto, quando si iscrive. Congratulazioni! Sei appena diventato un titolare del trattamento dei dati personali di Jane Doe. Ha accettato di ricevere messaggi di marketing da te e tu, in qualità di titolare del trattamento, puoi determinare quando e come inviare tali e-mail.

Ora supponiamo che in realtà non invii le tue e-mail di marketing, forse assumi un provider di servizi di posta elettronica (ESP) per aiutarti a creare i tuoi contenuti, pianificare le e-mail e tracciare e segnalare la consegna. L'ESP non avrebbe il diritto di fare ciò che voleva con i dati di Jane, avrebbe solo il diritto di aiutarti a redigere le tue campagne, inviare le tue e-mail, ecc., Su tua richiesta. L'ESP, in questo caso, è il responsabile del trattamento.

Lungo la strada, decidi di fare uno sforzo di marketing in co-branding con il tuo stretto Partner A (che in questo caso va bene, perché quando Jane si è iscritta, hai ottenuto il suo consenso a condividere i suoi dati con il Partner A per questo scopo). Durante il processo di negoziazione, hai deciso di utilizzare l'ESP del Partner A anziché il tuo per inviare la campagna. Quindi invii la tua lista di iscritti (inclusi i dati di Jane) al tuo partner, che la carica nel suo ESP. Le email vengono inviate.

In virtù della condivisione dei dati di Jane con il Partner A per attività di marketing congiunte, hai nominato il Partner A contitolare del trattamento dei dati di Jane. Il partner A continuerà a utilizzare i dati di Jane al di fuori dell'ambito della tua relazione con Jane. L'ESP del Partner A è ancora un elaboratore di dati e dovrà aderire ai requisiti sia tuoi che del Partner A, ma hai anche appena introdotto alcune complessità nel tuo rapporto con Jane di cui il GDPR ti richiederà di tenere traccia.

Ai sensi del GDPR, in quanto proprietari dei loro dati, agli interessati vengono concessi diritti, come: (Si noti che questo non è un elenco completo.)

• Articolo 15 (diritto di accesso): Jane potrebbe scriverti e chiederti una copia dei dati personali che hai raccolto da lei. Lei, in qualità di titolare del trattamento, sarebbe tenuto a soddisfare tale richiesta entro 30 giorni dal ricevimento della sua richiesta;
• Articolo 16 (diritto di rettifica): se Jane ritiene che i dati che hai su di lei siano inaccurati o incompleti, potrebbe chiederti di aggiornarli (come cambiare il suo indirizzo email, o cambiare l'ortografia del suo nome nel tuo database);
• Articolo 17 (diritto alla cancellazione): Jane potrebbe chiederti di cancellare del tutto i suoi dati. Forse sta ritirando il suo consenso a ricevere messaggi futuri da te, o forse pensa che le campagne che le stai indirizzando stiano andando nella direzione sbagliata e vuole ricominciare da capo;
• Articolo 18 (diritto alla limitazione del trattamento): forse hai iniziato a monitorare le aperture e i clic di Jane (monitoraggio basato sul comportamento), ma Jane non pensa di aver acconsentito a consentirti di farlo (secondo il GDPR, monitoraggio basato sul comportamento richiederà il consenso. Non puoi semplicemente presumere di poterlo fare). Jane può chiederti di interrompere il monitoraggio delle sue aperture e dei suoi clic finché voi due non avrete risolto a cosa ha effettivamente acconsentito;
• Articolo 20 (diritto alla portabilità dei dati): In alcuni casi, Jane ha il diritto di chiederti di comprimere i suoi dati e trasferirli a uno dei tuoi concorrenti. (Sì! Davvero. Questo ha lo scopo di aiutare Jane a spostare i suoi dati, ad esempio, da un operatore di telefonia mobile a un altro, o per spostare facilmente la sua presenza sui social media da un'app all'altra. Se stai elaborando i suoi dati attraverso "la performance di un contratto” o “basato sul consenso”, questa disposizione potrebbe applicarsi a te.

Se Jane decide di esercitare i suoi diritti e chiede di cancellare i suoi dati, nel paradigma del singolo controller-processor, è abbastanza semplice. Elimini i suoi dati dal tuo sistema e chiedi al tuo processore (il tuo ESP) di eliminarli anche dal loro.

Tuttavia, nel modello del contitolare, ai sensi dell'articolo 17, paragrafo 2, non solo dovrai eliminarlo dall'infrastruttura tua e del tuo responsabile, ma dovrai anche:

"prendere misure ragionevoli, comprese misure tecniche, per informare i responsabili del trattamento che stanno trattando i dati personali che l'interessato ha chiesto la cancellazione"

In altre parole, dovrai tenere un registro molto accurato di dove hai inviato i dati di Jane e avviare richieste di cancellazione dei dati per conto di Jane a tutti gli altri contitolari che potrebbero avere i suoi dati. Questi controllori congiunti dovranno quindi anche contattare tutti i processori che utilizzano ed eliminare anche i dati di Jane da quei sistemi.

E questo è solo l'inizio dei tuoi obblighi come responsabili del trattamento e controllori delle informazioni di Jane. Vedi sotto per un rapido elenco di ciò che sarà richiesto ai sensi del GDPR, insieme a dove puoi trovare maggiori dettagli nel GDPR.

La sicurezza dei dati
Obblighi del titolare:Implementare misure tecniche e organizzative appropriate per proteggere la sicurezza dei dati.

• Crittografia, pseudonimizzazione dei dati se del caso
• Capacità di garantire riservatezza, integrità e resilienza dei dati
• Processo per testare, valutare e valutare regolarmente la sicurezza
• Documenta i tuoi sforzi.

Obblighi del Responsabile:Implementare misure tecniche e organizzative appropriate per proteggere la sicurezza dei dati.

• Crittografia, pseudonimizzazione dei dati se del caso
• Capacità di garantire riservatezza, integrità e resilienza dei dati
• Processo per testare, valutare e valutare regolarmente la sicurezza
• Documenta i tuoi sforzi.

Articolo GDPR:Arte. 32 Sicurezza del trattamento

Notifica di violazione
Obblighi del titolare:

• Informare l'autorità di controllo entro 72 ore dalla violazione se è probabile un rischio elevato per gli interessati
• Informativa all'interessato, se del caso

Obblighi del Responsabile:

• Informare il controllore senza indebito ritardo dopo aver appreso di una violazione

Articoli GDPR:Arte. 33 Notifica di una violazione dei dati
Arte. 34 Comunicazione di una violazione dei dati all'interessato

Principi del trattamento dei dati
Obblighi del titolare:

• Garantire che i dati siano trattati in modo lecito e in modo trasparente per l'interessato
• Garantire i dati raccolti ed elaborati per scopi specifici e non in modo incompatibile con gli scopi originari.
• Garantire che i dati raccolti siano accurati e aggiornati
• Assicurati di essere in grado di dimostrare la conformità

Articoli GDPR:Arte. 5 Principi relativi al trattamento dei dati personali
Arte. 6 Liceità del trattamento

Informativa sulla Privacy
Obblighi del titolare:

• Deve essere disponibile per l'interessato.
• Descrivi quali dati verranno raccolti e per quali finalità.
• Dettagliare eventuali destinatari che riceveranno i dati, incluso se saranno trasferiti al di fuori del SEE e come i dati saranno protetti con il trasferimento successivo.
• Se esistono interessi legittimi nella raccolta e/o nell'elaborazione dei dati.
• Descrivere i periodi di conservazione e/o conservazione dei dati o i criteri utilizzati per determinare i periodi di conservazione.
• Descrivere i diritti dell'interessato e come l'interessato può esercitare i propri diritti.
• Dettagli su eventuali usi del processo decisionale automatizzato.

Articoli GDPR:Arte. 12 Informazione, comunicazione e modalità trasparenti per l'esercizio dei diritti dell'interessato
Arte. 13 Informazioni da fornire in caso di raccolta di dati personali presso l'interessato
Arte. 14 Informazioni da fornire qualora i dati personali non siano stati ottenuti presso l'interessato

Requisiti contrattuali con il Responsabile
Obblighi del titolare:

• Impiega solo processori in grado di soddisfare le normative GDPR.
• Impiegare solo processori in grado di proteggere adeguatamente i dati dell'interessato.
• Descrivere l'oggetto, la durata e la natura dell'attività di trattamento.
• Descrivere la natura e le finalità del trattamento.
• Descrivere le tipologie di dati personali oggetto di trattamento.
• Descrivere le categorie di interessati oggetto di trattamento.

Obblighi del Responsabile:

• Elaborare i dati solo su istruzioni documentate dal controller
• Garantire che tutte le persone autorizzate al trattamento dei dati si siano impegnate in accordi di riservatezza
• Assistere il titolare nella gestione delle richieste relative ai diritti di accesso degli interessati
• Assistere il titolare con gli obblighi in materia di sicurezza e le richieste delle autorità di vigilanza.
• Essere disponibile e in grado di assistere il titolare con gli obblighi di conformità
• Eliminare o restituire tutti i dati su richiesta o requisito del titolare
• Delineare eventuali trasferimenti di dati al di fuori del SEE e descrivere le garanzie che proteggeranno i dati
• Contribuire agli audit condotti dal controllore o da altra autorità richiesta
• Garantire che qualsiasi incarico di sub-responsabili soddisfi gli stessi obblighi richiesti dal titolare.
• Coinvolgere i sub-responsabili solo previa approvazione del titolare.

Articoli GDPR:Arte. 24 Responsabilità del Titolare
Arte. 28 Processore
Arte. 29 Trattamento sotto l'autorità del titolare o del responsabile

Adotta pratiche di protezione dei dati
Obblighi del titolare:

• Essere in grado di dimostrare i principi di minimizzazione dei dati e di protezione dei dati fin dalla progettazione e/o di default vengono utilizzati, se del caso
• Condurre valutazioni dell'impatto sulla privacy su qualsiasi attività di trattamento che potrebbe rappresentare un rischio per l'interessato

Articoli GDPR:Arte. 5 Principi relativi al trattamento dei dati personali
Arte. 25 Protezione dei dati per progettazione e impostazione predefinita
Arte. 35 Valutazione dell'impatto sulla protezione dei dati

Conserva i registri delle attività di elaborazione
Obblighi del titolare:

• Nome/informazioni di contatto del titolare del trattamento e del DPO, o rappresentante UE
• Documentare le categorie di interessati, le categorie di dati personali e i destinatari dei dati
• Documentare la base legale per qualsiasi trasferimento di dati al di fuori del SEE e descrivere le garanzie che proteggeranno i dati
• Tempi di conservazione dei dati
• Base legale del documento per le attività di trattamento dei dati

Obblighi del Responsabile:

• Nome/informazioni di contatto del titolare del trattamento e del DPO
• Categorie di trattamento svolte per conto del titolare

Articolo GDPR:Arte. 30 registri delle attività di trattamento

Questo è molto da accettare e può sembrare un sacco di lavoro. Ma a lungo termine, manterrà te e i tuoi partner in conformità con la legge europea e proteggerà i diritti dei tuoi interessati. Cerchi ulteriori informazioni sul GDPR? Puoi trovare maggiori informazioni nella categoria GDPR sul nostro blog e nel nostro webinar on-demand: The Path to GDPR.