Elenco dei documenti obbligatori richiesti dal GDPR dell’UE

Il Regolamento Generale sulla Protezione dei Dati dell’UE (GDPR) ha già sollevato molte polemiche e una delle questioni principali è certamente quali siano i documenti richiesti. Ad esempio, spesso si vedono aziende che pensano che avere una politica sulla privacy e un modulo di consenso sul loro sito web sia sufficiente; tuttavia, questa è solo una piccola parte dei documenti che devono essere pienamente conformi a questo nuovo regolamento sulla privacy.

Per questo motivo, abbiamo creato un elenco di requisiti di documentazione del GDPR per aiutarti a trovare tutti i documenti obbligatori in un unico posto. Nota che i nomi dei documenti non sono prescritti dal GDPR, è quindi possibile utilizzare altri titoli; hai anche la possibilità di accorpare alcuni di questi documenti.

Documenti e registrazioni obbligatori richiesti dal GDPR dell’UE

Ecco i documenti che devi avere se vuoi essere pienamente conforme al GDPR:

• Politica sulla Protezione dei Dati Personali (Articolo 24): si tratta di un documento di alto livello per la gestione della privacy nella propria azienda, che definisce ciò che si desidera ottenere e in che modo. Vedi anche: Contenuti della Politica sulla Protezione dei Dati secondo il GDPR.
• Informativa sulla Privacy (Articoli 12, 13 e 14) – questo documento (che può anche essere pubblicato sul tuo sito web) spiega in parole semplici come tratterai i dati personali dei tuoi clienti, visitatori del sito web e altri.
• Informativa sulla Privacy per i Dipendenti (articoli 12, 13 e 14) – spiega in che modo la tua società tratterà i dati personali dei tuoi dipendenti (che potrebbero includere cartelle cliniche, casellari giudiziari, ecc.).
• Politica di Conservazione dei Dati (Articoli 5, 13, 17 e 30) – descrive il processo per decidere per quanto tempo un particolare tipo di dati personali sarà conservato e come sarà distrutto in modo sicuro.
• Programma di Conservazione dei Dati (Articolo 30) – elenca tutti i dati personali e descrive per quanto tempo ciascun tipo di dati sarà conservato.
• Modulo di Consenso dell’Interessato (Articoli 6, 7 e 9) – questo è il modo più comune per ottenere il consenso da parte di un interessato a trattare i suoi dati personali. Ulteriori informazioni in: È necessario il consenso? Sei basi giuridiche per il trattamento dei dati in conformità al GDPR.
• Modulo di Consenso del Titolare della Responsabilità Genitoriale (Articolo 8) – se l’interessato ha meno di 16 anni, un genitore deve fornire il consenso per il trattamento dei dati personali.
• Registro delle Valutazioni d’Impatto sulla Protezione dei Dati (Articolo 35) – qui è possibile registrare tutti i risultati della Valutazione dell’Impatto sulla Protezione dei Dati. Vedi il webinar: Seven steps of Data Protection Impact Assessment (DPIA) according to EU GDPR.
• Accordo con il Fornitore del Trattamento dei Dati (Articoli 28, 32 e 82) – questo documento è necessario per regolare la protezione dei dati con un processore⁽¹⁾ o qualsiasi altro fornitore.
• Procedura di Risposta e Comunicazione di una Violazione dei Dati (Articoli 4, 33 e 34) – descrive cosa fare prima, durante e dopo una violazione dei dati. Vedi anche: 5 fasi per gestire una violazione dei dati secondo il GDPR.
• Registro delle Violazioni dei Dati (Articolo 33) – qui è possibile registrare tutte le violazioni dei dati. (Si spera che sia molto breve.)
• Modulo di Comunicazione di una Violazione all’Autorità di Controllo (Articolo 33) – in caso di violazione dei dati, è necessario informare in modo formale l’Autorità di Controllo.
• Modulo di Comunicazione di una Violazione agli Interessati (articolo 34) – ancora una volta, in caso di violazione dei dati, si avrà lo spiacevole compito di informare gli interessati in modo formale.

Documenti necessari in determinate condizioni

Avrai bisogno dei seguenti documenti in caso si applichino le seguenti condizioni:

• Descrizione del Ruolo del Responsabile della Protezione dei Dati (Articoli 37, 38 e 39) – è necessario disporre di un Responsabile della Protezione dei Dati (Data Protection Officer DPO) se (a) il trattamento è effettuato da un’autorità o da un ente pubblico, a eccezione dei tribunali che agiscono nella loro capacità giudiziaria; oppure b) le attività principali consistono in operazioni di trattamento che richiedono un monitoraggio regolare e sistematico degli interessati su vasta scala; o c) le attività principali trattano su vasta scala categorie speciali di dati e dati personali relativi a condanne penali e reati. Scopri cosa deve fare il Responsabile della Protezione dei Dati in questo corso online gratuito: GDPR Data Protection Officer Course.
• Elenco delle Attività di Trattamento dei Dati (Articolo 30) – questo documento è obbligatorio se (a) la società ha più di 250 dipendenti; o (b) il trattamento effettuato dalla società rischia di comportare un rischio per i diritti e le libertà degli interessati; o (c) il trattamento non è occasionale; o (d) il trattamento include categorie speciali di dati; o (e) il trattamento include dati personali relativi a condanne penali e reati.
• Clausole Contrattuali Tipo per il Trasferimento di Dati Personali ai Controllori⁽²⁾ (Articolo 46) – obbligatorio se si trasferiscono dati personali a un controllore al di fuori dello Spazio Economico Europeo (SEE) e si sta facendo affidamento sulle clausole tipo come motivi legittimi per i trasferimenti transfrontalieri di dati.
• Clausole Contrattuali Tipo per il Trasferimento di Dati Personali ai Processori (Articolo 46) – obbligatorio se si trasferiscono dati personali a un processore al di fuori dello Spazio Economico Europeo (SEE) e si sta facendo affidamento sulle clausole tipo come motivi legittimi per i trasferimenti transfrontalieri di dati.

Documenti non obbligatori

Ecco i documenti che non sono richiesti dal GDPR. Tuttavia, potresti trovare questi documenti molto utili se vuoi mantenere la tua conformità senza preoccupazioni:

• Valutazione della Preparazione al GDPR dell’UE – utile se si vuole scoprire il divario tra ciò che si possiede e ciò che il GDPR richiede. Vedi anche: EU GDPR Readiness Assessment Tool.
• Piano di Progetto per la Conformità al GDPR dell’UE – utile se hai un’azienda di medie – grandi dimensioni e desideri sapere esattamente chi è responsabile della conformità e quali sono le scadenze. Scarica qui un Piano gratuito di Progetto del GDPR.
• Politica di Protezione dei Dati Personali dei Dipendenti (Articolo 24) – simile alla Politica di alto livello sulla Protezione dei Dati Personali, ma specificamente focalizzata sui dipendenti.
• Registro delle Informative sulla Privacy (Articoli 12, 13 e 14) – potrebbe essere molto utile se in molti luoghi sono stati pubblicati avvisi sulla privacy e si desidera avere il controllo su tutti questi avvisi.
• Linee guida per l’Elenco dei Dati e la Mappatura delle Attività di Trattamento (Articolo 30) – poiché probabilmente avrai bisogno di un Inventario delle Attività di Trattamento, queste linee guida ti aiuteranno a compilare tale documento.
• Modulo di Recesso dell’Interessato (Articolo 7) – documento utile quando un interessato desidera ritirare il proprio consenso.
• Modulo di Recesso del Titolare della Responsabilità Genitoriale (Articolo 8) – documento utile se hai a che fare con un soggetto con meno di 16 anni.
• Procedura di Richiesta di Accesso ai Dati da parte dell’Interessato (Articoli 7, 15, 16, 17, 18, 20, 21 e 22) – consente di definire chi fa cosa quando ricevi tale richiesta (cosa che probabilmente avverrà).
• Modulo per la Richiesta di Accesso ai Dati da parte dell’Interessato (Articolo 15) – semplifica l’accesso all’interessato e consente all’utente di gestire tali richieste in quanto consente di avere una più chiara visione di ciò che l’interessato desidera.
• Modulo di Comunicazione dei Dati all’Interessato (Articolo 15) – saprai esattamente quali informazioni inviare una volta ricevuta la richiesta di accesso ai dati da parte dell’interessato.
• Metodologia di Valutazione dell’Impatto sulla Protezione dei Dati – o DPIA (Articolo 35) – poiché questo è probabilmente il compito più complesso nel tuo progetto di conformità al GDPR, troverai le linee guida su come eseguire la Valutazione dell’Impatto sulla Protezione dei Dati (o DPIA – Data Protection Impact Assessment) piuttosto utile.
• Procedura di Trasferimento Transfrontaliero di Dati Personali (Articoli 1, 44, 45, 46, 47 e 49) – La troverai utile come linea guida se trasferisci dati personali al di fuori dell’area Economica Europea.
• Questionario di Conformità del Processore al GDPR (Articoli 28 e 32) – lo troverai molto utile quando eseguirai la due diligence su un processore.
• Documenti che regolano la sicurezza dei dati personali (Articolo 32) – ad es., Politica di Sicurezza IT, Politica di Controllo dell’Accesso, Procedure di Sicurezza per il Dipartimento di IT, Politica Bring Your Own Device (BYOD), Politica per Dispositivi Mobili e Telelavoro, Politica di Clear Desk e Clear Screen, Politica di Classificazione delle Informazioni, Politica di Anonimizzazione e Pseudonimizzazione, Politica sull’Uso della Cifratura, Piano di Disaster Recovery, Procedura di Audit Interno, Checklist per l’Audit Interno ISO 27001: questi sono documenti che troverai molto utili per proteggere i dati; il modo più semplice è utilizzare come guida uno standard di sicurezza delle informazioni come la ISO 27001.

Qui potrai scaricare un’anteprima gratuita del Kit Documentazione per il GDPR dell’UE, dove puoi vedere la struttura e parte del testo per ciascuno dei documenti sopra menzionati.

⁽¹⁾ Si utilizza qui e di seguito il termine non ufficiale “Processore” al posto di quello ufficiale “Responsabile del Trattamento” utilizzato nel testo dell’UE
⁽²⁾ Si utilizza qui e di seguito il termine non ufficiale “Controllore” al posto di quello ufficiale “Titolare del Trattamento” utilizzato nel testo dell’UE