Per garantire la sicurezza dei dati dei consumatori, l’Unione europea (UE) ha implementato una rigorosa legge sulla privacy e la sicurezza nota come Regolamento generale sulla protezione dei dati (GDPR). Il GDPR definisce e applica i diritti dei cittadini dell’UE in merito ai loro dati personali. Implementa standard di responsabilità, sicurezza e trasparenza nell’uso di tali dati.
Le aziende globali che operano nell’Unione europea o gestiscono i dati personali provenienti dall’UE devono comprendere in che modo il GDPR li influenzerà e come mantenere la conformità al GDPR.
Un aspetto di tale conformità è l’implementazione di un accordo sul trattamento dei dati (Data Processing Agreement, DPA). Un accordo sul trattamento dei dati del GDPR specifica i dettagli, le regole, i diritti e gli obblighi associati alle attività di trattamento dei dati. Aiuta a garantire la conformità aziendale, a proteggere i dati e a mantenere i consumatori protetti e soddisfatti.
Questa guida fornisce uno sguardo più da vicino al funzionamento delle DPA e a cosa includere in una DPA.
Che cos’è un DPA ai sensi del GDPR?
Un accordo sul trattamento dei dati è un contratto firmato tra i titolari del trattamento dei dati e i responsabili del trattamento dei dati che gestiranno i loro dati. È necessario per la piena conformità al GDPR.
Un DPA stabilisce la natura, lo scopo e la durata delle attività di trattamento che avranno luogo. Specifica inoltre il tipo di dati personali da trattare e le categorie di individui a cui appartengono i dati. Definisce i diritti e gli obblighi che il titolare del trattamento avrà. Può specificare l’uso di misure di sicurezza tecniche, come un certo livello di crittografia, che devono essere in atto.
Un DPA è giuridicamente vincolante e il titolare e il responsabile del trattamento dei dati devono rispettarlo o rischiare sanzioni severe.
Il vantaggio principale di una DPA è che garantisce le qualifiche e l’affidabilità del responsabile del trattamento dei dati. Le aziende devono sapere che i loro dati sono in buone mani e che sono privati e protetti da occhi indiscreti. Un DPA aiuta a fornire tali garanzie.
È probabile che il GDPR e i suoi requisiti DPA abbiano un impatto significativo sulle operazioni aziendali in futuro. Le transazioni commerciali possono cambiare man mano che la raccolta dei dati personali diventa più limitata, la comunicazione sulla raccolta e l’archiviazione dei dati diventa essenziale e le relazioni con i fornitori terzi richiedono contratti più rigorosi. Le singole aziende e i loro dipartimenti delle Risorse Umane subiranno un impatto ampio man mano che adattano i loro processi per rispettare i requisiti del GDPR.
Il vantaggio dei requisiti del GDPR è che la fiducia può prosperare nel business man mano che le persone diventano più sicure della privacy e della protezione dei loro dati.
Quando è necessario un accordo sul trattamento dei dati?
Hai bisogno di un accordo sul trattamento dei dati? Puoi gestire i dati personali all’interno o dall’UE.
Ai sensi del GDPR, un documento DPA è obbligatorio ogni volta che una persona o un’organizzazione fornisce dati personali a un fornitore di servizi terzo per un servizio collaborativo. Qualsiasi parte che agisca in qualità di responsabile del trattamento dei dati deve firmare le DPA con i titolari del trattamento dei dati.
Ad esempio, nell’UE, un servizio che ospita un sito web deve firmare un DPA con l’azienda a cui appartiene il sito web. Anche un’azienda che tratta dati personali per fornire marketing mirato per i consumatori deve firmare un DPA.
Di seguito sono riportati diversi altri servizi e scenari aziendali comuni che richiedono DPA:
- Esternalizzazione della gestione delle e-mail
- Soluzioni di elaborazione dei dati tecnici per la contabilità finanziaria e delle buste paga
- Servizi di backup dei dati, tramite server fisici o nel cloud
- Raccolta o digitalizzazione dei dati tramite un fornitore di servizi esterno
- Smaltimento del vecchio hardware contenente dati sensibili
In alcuni casi, il GDPR può richiedere DPA per le aziende al di fuori dell’Europa. Questo requisito entra in vigore ogni volta che vengono coinvolti dati UE. Ad esempio, una società con sede in Canada potrebbe essere soggetta al requisito DPA se gestisce dati riguardanti i cittadini dell’UE.
Quando non è necessaria una DPA?
Diversi scenari specifici non richiedono DPA. Hanno protezioni integrate che rendono superflua la protezione DPA. Considerate quanto segue in modo da comprendere meglio gli obblighi della vostra azienda in queste circostanze:
- Partnership con gruppi professionali che hanno requisiti di riservatezza: in molte professioni, le best practice prevedono che i fornitori di servizi dispongano di accordi di riservatezza specifici del settore e personalizzati che coprano tutte le misure di sicurezza e i requisiti di privacy che un DPA richiederebbe. Alcune professioni che generalmente utilizzano questi accordi di riservatezza includono diritto, consulenza fiscale e revisione finanziaria. Molti servizi sanitari in genere sono dotati anche di rigorose garanzie di riservatezza.
- Servizi del portale: i servizi che collegano semplicemente persone o entità sono generalmente esenti dai requisiti DPA. Questi servizi professionali di matchmaking sono così transitori che una DPA avrebbe scarso beneficio. I reclutatori rientrano in questa categoria, ad esempio. Connettono semplicemente le persone che cercano lavoro con le aziende che cercano nuovi membri di talento del team. Questo scenario rende inutile una DPA con il reclutatore.
- Collaborare con le agenzie di recupero crediti: le agenzie di recupero crediti hanno accesso alle informazioni finanziarie personali e alle informazioni mediche. Poiché le agenzie di recupero crediti sono separate dai creditori originali e riscuotono il debito a proprio vantaggio, sono esenti dai requisiti DPA. Se lavorassero per conto dei creditori originali, le agenzie di riscossione avrebbero dovuto firmare le DPA.
- Gestione congiunta dei dati di più aziende: in alcuni casi, le aziende lavorano come gruppo per gestire una raccolta di dati. Questo scenario si verifica spesso quando le aziende hanno accesso congiunto ai dati di fornitori, prodotti o lead di vendita. Sebbene le aziende possano essere concorrenti, utilizzano gli stessi dati per gli stessi scopi generali. La scala di questo utilizzo dei dati generalmente significa che un DPA non è obbligatorio.
- Sperimentazioni cliniche: Le sperimentazioni cliniche farmaceutiche su larga scala di solito non utilizzano DPA a causa dei numerosi contributi che comportano. I medici, i centri di ricerca e gli sponsor hanno tutti accesso ai dati dei soggetti e li elaborano in modo diverso in base alle loro esigenze. I dati raccolti servono anche a vari scopi per tutta la durata della sperimentazione clinica. In queste circostanze, le DPA generalmente non si applicano.
Chi è il titolare del trattamento dei dati?
Ogni accordo DPA avviene tra un titolare del trattamento e un responsabile del trattamento. Il titolare del trattamento dei dati è l’organizzazione o l’individuo che determina come e perché trattare i dati personali. Se la vostra azienda decide di inviare dati a terzi per il backup sui suoi server, la vostra azienda è il titolare del trattamento dei dati.
La caratteristica distintiva di un titolare del trattamento dei dati è il potere decisionale. Il titolare del trattamento dei dati prende decisioni generali sui motivi della raccolta dei dati e sulle modalità con cui deve avvenire il trattamento dei dati personali.
Nella maggior parte degli scenari, un’azienda o un’organizzazione è il titolare del trattamento dei dati. Il responsabile del trattamento dei dati è un’entità separata che stipula contratti con la società. Un individuo come un unico proprietario o un lavoratore autonomo può anche essere un titolare del trattamento dei dati se tale persona prende decisioni sulla raccolta e il trattamento dei dati personali.
Chi è il responsabile del trattamento dei dati?
Il responsabile del trattamento dei dati è la terza parte che elabora i dati per un titolare del trattamento dei dati. Nello scenario sopra riportato, se l'azienda decide di inviare i dati per il backup, l'azienda che fornisce i servizi di backup è il responsabile del trattamento dei dati.
Il responsabile del trattamento dei dati può assumere molte forme. Può essere un’azienda, una persona o un’autorità pubblica. Il criterio pertinente è se tale individuo o entità tratta o meno i dati per conto di un titolare del trattamento dei dati.
Cosa include un documento DPA?
Gli articoli 28-36 del GDPR specificano quali obblighi contrattuali sono obbligatori per il responsabile del trattamento dei dati ai sensi delle norme DPA del GDPR. Di seguito sono riportate alcune delle clausole DPA richieste:
1. Un’analisi approfondita dei dettagli della gestione dei dati
La DPA deve fornire dettagli completi su come avverrà ogni aspetto del trattamento dei dati. La DPA deve includere informazioni chiare su argomenti come:
- Il tipo di dati personali da trattare
- L’oggetto dei dati
- Le categorie degli interessati
- Lo scopo e la natura del trattamento
- La durata prevista del trattamento dei dati
- La base giuridica per il trattamento dei dati personali
- Restituzione o cancellazione dei dati personali al termine del trattamento
2. Diritti e responsabilità del titolare del trattamento e del responsabile del trattamento
Nello specificare i diritti e le responsabilità di entrambe le parti, il DPA assicura chiarezza su chi controlla il trattamento dei dati.
Il DPA deve dichiarare esplicitamente che il responsabile del trattamento deve eseguire il trattamento secondo i desideri e le specifiche del titolare del trattamento. Deve specificare che il controllore, non il responsabile del trattamento, mantiene il controllo completo sui dati e su ciò che gli accade.
Il DPA deve indicare al responsabile del trattamento dei dati di trattare i dati solo secondo le istruzioni dirette del titolare del trattamento dei dati, deviando da tali istruzioni solo quando richiesto dalle leggi dell’UE o da una delle leggi degli Stati membri.
3. Misure di riservatezza richieste per il responsabile del trattamento
Il DPA deve specificare i protocolli che il responsabile del trattamento dei dati deve seguire per garantire la riservatezza dei dati personali.
Ad esempio, il responsabile del trattamento dei dati deve richiedere ai dipendenti a tempo indeterminato, ai dipendenti temporanei e ai subappaltatori di firmare accordi di riservatezza prima che possano iniziare a trattare i dati personali. L’unica volta in cui un accordo di riservatezza diventa inutile è quando un obbligo legale richiede già al responsabile del trattamento di garantire la riservatezza.
4. Protocolli tecnici e organizzativi richiesti per la sicurezza delle informazioni
Il DPA deve delineare le misure di sicurezza che il responsabile del trattamento dei dati deve implementare, comprese misure come queste, ove appropriato:
- Crittografia dei dati
- Pseudonimizzazione degli interessati
- Protocolli per garantire la riservatezza, la disponibilità, la resilienza e la sicurezza dei dati di tutti i sistemi di trattamento dei dati
- Processi per ripristinare l’accesso ai dati personali dopo un attacco o una violazione
- Un programma regolare per testare e valutare l’efficacia di tutte le misure di sicurezza
Molti responsabili del trattamento potrebbero voler ottenere certificazioni formali o redigere codici di condotta ufficiali che attestino i protocolli implementati. Misure come queste contribuiscono a garantire che il loro trattamento dei dati sia pienamente conforme al GDPR.
5. Termini per eventuali contratti con subappaltatori
Il DPA deve inoltre delineare i requisiti che il responsabile del trattamento dei dati deve imporre ai propri subappaltatori. Ad esempio, il responsabile del trattamento deve assicurarsi di rispettare queste regole e best practice:
- Assunzione di subappaltatori solo con l’espresso consenso e autorizzazione del titolare del trattamento
- Redazione e sottoscrizione di contratti che impongano al subappaltatore gli stessi requisiti di sicurezza dei dati che il responsabile stesso deve seguire
- Garantire la conformità del subappaltatore ai requisiti di protezione dei dati
- Informare il titolare del trattamento di eventuali modifiche che coinvolgono subappaltatori e dare al titolare del trattamento il tempo di rispondere
6. Obblighi di cooperazione per il responsabile del trattamento
Il DPA deve specificare quando e come il responsabile del trattamento deve collaborare con il titolare del trattamento dei dati. Ad esempio, il responsabile del trattamento dei dati deve collaborare per aiutare a risolvere le richieste di accesso ai dati. Il responsabile del trattamento deve anche collaborare per proteggere la privacy e i diritti degli interessati, in particolare soddisfacendo questi requisiti:
- Garantire la sicurezza dei dati personali
- Notificare tempestivamente alle autorità e agli interessati le violazioni dei dati personali
- Esecuzione delle valutazioni d’impatto sulla protezione dei dati (DPIA) secondo necessità
- Consultare le autorità competenti in caso di gravi rischi per i dati
Il responsabile del trattamento dei dati deve anche consentire al titolare del trattamento dei dati di eseguire verifiche di conformità durante il trattamento. Durante le verifiche, il responsabile del trattamento deve fornire tempestivamente al titolare del trattamento tutte le informazioni pertinenti per dimostrare di aver adempiuto ai propri obblighi di conformità ai sensi dell’Articolo 28 del GDPR.
Le migliori pratiche sono anche per il responsabile del trattamento conservare i registri delle sue attività di trattamento per dimostrare la conformità al GDPR.
Cosa succede dopo una violazione dei dati ai sensi di un DPA?
In caso di violazione dei dati, le aziende coinvolte devono intraprendere azioni specifiche e immediate. La vostra azienda deve informare l’autorità di controllo competente entro 72 ore se la violazione comporta gravi rischi.
Se la violazione comporta un rischio molto elevato per le persone interessate, la vostra azienda deve di solito informare anche tali persone. Tuttavia, se la vostra azienda dispone già di protocolli di mitigazione del rischio tecnici e organizzativi efficaci, potrebbe non essere necessaria una notifica.
Ad esempio, immaginate che una società di carte di credito abbia subito una violazione dei dati a causa di un attacco ai server in cui ha archiviato i suoi dati. Le informazioni finanziarie personali dei suoi clienti sono state compromesse. I loro nomi, indirizzi di casa, informazioni di contatto aggiuntive, dettagli finanziari e i dettagli dei tipi di pagamenti effettuati sulle loro carte di credito sono diventati tutti pubblici.
L'azienda che ospita i server deve informare le autorità della violazione entro 72 ore. Dovrebbe anche informare la società della carta di credito.
L’azienda dovrebbe probabilmente informare i consumatori, poiché la divulgazione delle loro informazioni di identificazione personale potrebbe metterli a rischio. La violazione potrebbe anche portare alla divulgazione delle informazioni sanitarie sensibili e protette dei consumatori se avessero effettuato pagamenti medici sulle loro carte di credito.
Quali sono le sanzioni per la non conformità al GDPR?
In caso di violazione dei dati, la società ritenuta non conforme sarà soggetta ad azioni disciplinari. Una probabile infrazione riceve semplicemente un avvertimento. Gli incidenti di non conformità confermati possono diventare soggetti a una o più di queste sanzioni:
- Un rimprovero formale
- Divieto temporaneo o permanente al trattamento dei dati
- Una multa fino a milioni di euro20 o il 4 percento del fatturato globale annuo totale della società
Assumi professionisti della sicurezza dei dati nel tuo team con Globalization Partners
Quando stai costruendo team internazionali incentrati sulla sicurezza dei dati, collabora con Globalization Partners. I nostri team di professionisti possono aiutarti a comprendere le normative sugli accordi sul trattamento dei dati che si applicano alla tua azienda.
Avere funzionari per la protezione dei dati e altri professionisti legali nel tuo team è essenziale per rimanere conforme alla DPA. In qualità di Employer of Record (EOR) globale, Globalization Partners ti aiuta ad assumere e pagare i talenti internazionali di cui hai bisogno per il successo. Prendiamo molto sul serio la privacy dei dati e possiamo aiutarvi a rispettare le leggi locali sul lavoro e a proteggere le vostre informazioni riservate mentre ridimensionate la vostra azienda a livello internazionale.
In Globalization Partners, ti aiutiamo ad accelerare i processi di assunzione. Utilizzando la nostra Global Employment Platform completa, puoi assumere e inserire i nuovi membri del tuo team con pochi clic, risparmiando tempo e semplificando il tuo approccio alle difficoltà della crescita aziendale internazionale.
Richiedi subito una proposta o contattaci per saperne di più sull’assunzione di professionisti della sicurezza dei dati attraverso la nostra piattaforma.