Per mantenere sicuri i dati dei consumatori, l'Unione Europea (UE) ha adottato una rigorosa legge sulla privacy e la sicurezza nota come Regolamento generale sulla protezione dei dati (Regolamento generale sulla protezione dei dati). Il Regolamento generale sulla protezione dei dati definisce e fa rispettare i diritti dei cittadini UE riguardo ai loro dati personali. Implementa standard di responsabilità, sicurezza e trasparenza nell'uso di tali dati.

Le aziende globali che operano nell'Unione Europea o gestiscono dati personali provenienti dall'UE devono comprendere come il Regolamento generale sulla protezione dei dati le influenzerà e come mantenere la conformità al Regolamento generale sulla protezione dei dati.

Un aspetto di questa conformità è l'implementazione di un accordo di elaborazione dei dati (DPA). Un Regolamento generale sulla protezione dei dati data treatment agreement specifica i dettagli, le regole, i diritti e gli obblighi associati alle attività di trattamento dei dati. Aiuta a garantire la conformità aziendale, la sicurezza dei dati e la protezione e la soddisfazione dei consumatori.

Questa guida offre un'analisi più approfondita del funzionamento degli accordi di differimento del trattamento (DPA) e degli elementi da includere in un DPA.

Cos'è una DPA secondo il Regolamento generale sulla protezione dei dati?

Un accordo di trattamento dei dati è un contratto firmato tra i titolari di trattamento e i responsabili dei dati che gestiranno i loro dati. È richiesta per la piena conformità al Regolamento generale sulla protezione dei dati.

Un DPA definisce la natura, lo scopo e la durata delle attività di trattamento dei dati che avranno luogo. Specifica inoltre il tipo di dati personali da trattare e le categorie di individui a cui appartengono tali dati. Definisce i diritti e gli obblighi del titolare del trattamento. Può specificare l'utilizzo di misure di sicurezza tecniche, come ad esempio un determinato livello di crittografia, che devono essere implementate.

Una DPA è legalmente vincolante, e il responsabile e il responsabile del trattamento devono rispettarla o rischiare sanzioni severe.

Il principale vantaggio di un DPA è che garantisce le qualifiche e l'affidabilità del processore dati. Le aziende devono sapere che i loro dati sono in buone mani e che sono privati e protetti da occhi indiscreti. Un DPA aiuta a fornire queste garanzie.

Il Regolamento generale sulla protezione dei dati e i suoi requisiti DPA avranno probabilmente un impatto significativo sulle operazioni commerciali in futuro. Le transazioni aziendali possono cambiare man mano che la raccolta dei dati personali diventa più limitata, la comunicazione sulla raccolta e l'archiviazione dei dati diventa essenziale e le relazioni con fornitori terzi richiedono contratti più rigorosi. Le singole aziende e i loro dipartimenti Risorse umane subiranno impatti estesi mentre adattano i loro processi per conformarsi ai requisiti del Regolamento generale sulla protezione dei dati.

Il lato positivo dei requisiti del Regolamento generale sulla protezione dei dati è che la fiducia può prosperare nel mondo degli affari man mano che le persone diventano più sicure nella privacy e nella protezione dei propri dati.

Quando è richiesto un accordo di trattamento dei dati?

Hai bisogno di un accordo per l'elaborazione dei dati? Puoi farlo se gestisci dati personali all'interno o provenienti dall'UE.

Secondo il Regolamento generale sulla protezione dei dati, un documento DPA è obbligatorio ogni volta che una persona o un'organizzazione fornisce dati personali a un fornitore di servizi terzi per un servizio collaborativo. Qualsiasi parte che agisce come processore dei dati deve firmare DPA con i titolari dei dati.

Ad esempio, nell'UE, un servizio che ospita un sito web deve firmare un DPA con l'azienda a cui appartiene il sito. Un'azienda che elabora dati personali per fornire un marketing mirante al consumo deve anche firmare un DPA.

Di seguito sono riportati diversi altri servizi e scenari aziendali comuni che richiedono DPA:

  • Gestione email esternalizzazione
  • Soluzioni tecniche di elaborazione dati per la contabilità finanziaria e delle buste paga
  • Servizi di backup dati, sia tramite server fisici che nel cloud
  • Raccolta o digitalizzazione dei dati tramite un fornitore di servizi esterno
  • Smaltimento di vecchi hardware contenenti dati riservati

In alcuni casi, il Regolamento generale sulla protezione dei dati può richiedere DPA per le aziende al di fuori dell'Europa. Questo requisito entra in gioco ogni volta che sono coinvolti dati UE. Ad esempio, un'azienda situata in Canada potrebbe essere soggetta al requisito DPA se gestisce dati riguardanti cittadini UE.

Quando non è richiesto un accordo di protezione dei dati?

Quando non è richiesto un DPA, la tabella include partnership, servizi di portale, agenzie di recupero crediti e gestione congiunta dei dati da parte di più aziende.

Diversi scenari specifici non richiedono DPA. Dispongono di protezioni integrate che rendono superflua la protezione DPA. Considera quanto segue per comprendere meglio gli obblighi della tua azienda in queste circostanze:

  1. Partnership con gruppi professionali che hanno requisiti di riservatezza: In molte professioni, le migliori pratiche prevedono che i fornitori di servizi abbiano accordi di riservatezza personalizzati e specifici per settore che coprono tutte le misure di sicurezza e i requisiti di privacy richiesti da un DPA. Alcune professioni che generalmente utilizzano questi accordi di riservatezza includono il diritto, la consulenza fiscale e la revisione finanziaria. Molti servizi sanitari sono tipicamente dotati anche di proprie rigorose garanzie di riservatezza.
  2. Servizi portale: I servizi che si limitano a collegare persone o entità sono solitamente esentati dai requisiti DPA. Questi servizi professionali di matchmaking sono così transitori che un DPA avrebbe pochi benefici. I recruiter rientrano, ad esempio, in questa categoria. Si limitano a collegare persone in cerca di lavoro con aziende che cercano nuovi membri talentuosi nel team. Questo scenario rende inutile un DPA con il recruiter.
  3. Collabora con agenzie di recupero crediti: Le agenzie di recupero crediti ottengono accesso a informazioni finanziarie personali e mediche. Poiché le agenzie di recupero crediti sono separate dai creditori originali e riscuotono il debito per il proprio guadagno, sono esentate dai requisiti DPA. Se lavorassero per conto dei creditori originari, le agenzie di recupero crediti dovrebbero firmare i DPA.
  4. Gestione congiunta dei dati da più aziende: In alcuni casi, le aziende lavorano come un gruppo per gestire una raccolta di dati. Questo scenario si verifica spesso quando le aziende hanno accesso congiunto ai dati di fornitori, prodotti o lead di vendita. Anche se le aziende possono essere concorrenti, utilizzano gli stessi dati per gli stessi scopi generali. La portata di questo utilizzo dei dati generalmente significa che un DPA non è obbligatorio.
  5. Studi clinici: I grandi studi clinici farmaceutici di solito non utilizzano i DPA a causa dei numerosi contributori che comportano. Medici, centri di ricerca e sponsor hanno tutti accesso ai dati del soggetto e li elaborano in modo diverso in base alle loro esigenze. I dati raccolti generalmente servono anche a vari scopi durante lo studio clinico. In queste circostanze, i DPA generalmente non si applicano.

Chi è il responsabile del trattamento dei dati?

Ogni accordo DPA (Data Protection Agreement) viene stipulato tra un titolare del trattamento e un responsabile del trattamento. Il titolare del trattamento è l'organizzazione o la persona fisica che determina come e perché trattare i dati personali. Se la tua azienda decide di inviare i dati a terzi per il backup sui suoi server, la tua azienda è il responsabile del trattamento dei dati.

La caratteristica distintiva di un data controller è la capacità decisionale. Il responsabile dei dati prende decisioni generali sulle ragioni della raccolta dei dati e sui modi in cui dovrebbe avvenire il trattamento dei dati personali.

Nella maggior parte degli scenari, un'azienda o un'organizzazione è il responsabile del trattamento dei dati. Il responsabile del trattamento dati è un'entità separata che stipula contratti con l'azienda. Un individuo come un imprenditore individuale o un lavoratore autonomo può anche essere un data controller se quella persona prende decisioni sulla raccolta e il trattamento dei dati personali.

Chi è il responsabile del trattamento dei dati?

Il responsabile del trattamento dei dati è la terza parte che elabora i dati per un responsabile del trattamento dei dati. Nello scenario sopra, se la tua azienda decide di inviare i tuoi dati per il backup, l'azienda che fornisce i servizi di backup è il responsabile del processore dati.

Il processore dati può assumere molte forme. Può trattarsi di un'azienda, di un individuo o di un'autorità pubblica. Il criterio rilevante è se quell'individuo o entità elabora i dati per conto di un responsabile dei dati.

Cosa include un documento DPA?

Gli articoli 28-36 del Regolamento generale sulla protezione dei dati specificano quali obblighi contrattuali siano obbligatori per il trattamento dati ai sensi delle regole DPA del Regolamento generale sulla protezione dei dati. Di seguito sono riportate alcune delle clausole DPA obbligatorie:

1. Un'analisi approfondita dei dettagli della gestione dei dati

La DPA dovrebbe fornire dettagli completi su come avverrà ogni aspetto dell'elaborazione dei dati. La DPA dovrebbe includere informazioni chiare su argomenti come:

  • Il tipo di dati personali da elaborare
  • L'oggetto dei dati
  • Le categorie dei soggetti interessati
  • Scopo e natura del trattamento
  • La durata prevista dell'elaborazione dei dati
  • La base giuridica per il trattamento dei dati personali
  • La restituzione o la cancellazione dei dati personali al termine del trattamento

2. I diritti e le responsabilità del responsabile dei dati e del responsabile dei dati

La DPA garantisce chiarezza su chi controlla la gestione dei dati.

Specificando i diritti e le responsabilità di entrambe le parti, l'accordo sulla protezione dei dati garantisce chiarezza su chi controlla il trattamento dei dati.

La DPA dovrebbe dichiarare esplicitamente che il responsabile del trattamento deve eseguire il trattamento secondo i desideri e le specifiche del responsabile del dati. Dovrebbe specificare che il controller, e non il processore, mantiene il pieno controllo sui dati e su cosa li accade.

La DPA dovrebbe ordinare al responsabile del trattamento dei dati solo secondo le istruzioni dirette del titolare dei dati, deviando da tali istruzioni solo quando le leggi UE o di uno degli Stati membri lo richiedono.

3. Misure di riservatezza richieste per il responsabile del trattamento dei dati

L'autorità garante della protezione dei dati dovrebbe specificare i protocolli che il responsabile del trattamento dei dati deve seguire per garantire la riservatezza dei dati personali.

Ad esempio, il responsabile del trattamento dei dati deve richiedere ai dipendenti a tempo indeterminato, ai dipendenti a tempo determinato e ai subappaltatori di firmare accordi di riservatezza prima di poter iniziare a trattare i dati personali. L'unico caso in cui un accordo di riservatezza diventa superfluo è quando un obbligo di legge impone già al responsabile del trattamento di garantire la riservatezza.

4. Protocolli tecnici e organizzativi richiesti per la sicurezza delle informazioni

La DPA dovrebbe delineare le misure di sicurezza che il processore dei dati deve implementare, incluse misure come queste quando appropriato:

  • Crittografia dei dati
  • Pseudonimizzazione dei dati del soggetto interessato
  • Protocolli per garantire la riservatezza, la disponibilità, la resilienza e la sicurezza dei dati di tutti i sistemi di elaborazione dei dati
  • Processi per il ripristino dell'accesso ai dati personali dopo un attacco o una violazione
  • Un programma regolare per testare e valutare l'efficacia di tutte le misure di sicurezza

Molti processori potrebbero desiderare ottenere certificazioni formali o redigere codici di condotta ufficiali che attestino i protocolli implementati. Misure come queste aiutano a garantire che il trattamento dei dati sia pienamente conforme al Regolamento generale sulla protezione dei dati.

5. Termini per eventuali contratti con subappaltatori

Il DPA dovrebbe anche delineare i requisiti che il processore dei dati deve imporre ai suoi subappaltatori. Ad esempio, il processore deve assicurarsi di rispettare queste regole e le migliori pratiche:

  • Impiego di subappaltatori solo con il consenso espresso e l'autorizzazione del responsabile del trattamento dei dati
  • Redigere e firmare contratti che impongono agli stessi requisiti di sicurezza dei dati al subappaltatore che il processore stesso deve rispettare
  • Garantire la conformità del subappaltatore ai requisiti di protezione dei dati
  • Informare il titolare del trattamento di qualsiasi modifica che coinvolga i subappaltatori e concedergli il tempo necessario per rispondere.

6. Obblighi di cooperazione per il fornitore di dati

Il responsabile del trattamento dei dati deve anche consentire al responsabile dei dati di effettuare audit di conformità durante l'elaborazione.

Il DPA dovrebbe specificare quando e come il responsabile del trattamento dei dati deve collaborare con il responsabile del trattamento dei dati. Ad esempio, il processore dei dati deve collaborare per aiutare a risolvere le richieste di accesso ai dati. Il processore deve inoltre collaborare nella protezione della privacy e dei diritti dei soggetti in dato, in particolare rispettando questi requisiti:

  • Garantire la sicurezza dei dati personali
  • Notificare tempestivamente le autorità e i soggetti interessati delle violazioni dei dati personali
  • Eseguire valutazioni d'impatto sulla protezione dei dati (DPIA) secondo necessità
  • Consultare le autorità competenti quando sorgono gravi rischi sui dati

Il responsabile del trattamento dei dati deve anche consentire al responsabile dei dati di effettuare audit di conformità durante l'elaborazione. Durante i controlli, il responsabile deve fornire tempestivamente al responsabile tutte le informazioni rilevanti per dimostrare di aver rispettato gli obblighi di conformità ai sensi dell'articolo 28 del Regolamento generale sulla protezione dei dati.

Le migliori pratiche prevedono inoltre che il processore tenga registrazioni delle sue attività di elaborazione per dimostrare la conformità al Regolamento generale sulla protezione dei dati.

Cosa succede dopo una violazione dei dati secondo un DPA?

Se si verifica una violazione dei dati, le aziende coinvolte devono adottare azioni specifiche e immediate. La tua azienda deve notificare all'autorità di supervisione competente entro 72 ore se la violazione comporta rischi gravi.

Se la violazione rappresenta un rischio molto elevato per le persone coinvolte, la tua azienda deve di solito notificare anche queste persone. Tuttavia, se la tua azienda dispone già di protocolli tecnici e organizzativi efficaci di mitigazione del risco, potrebbe non essere necessaria una notifica.

Ad esempio, immagina che un'azienda di carta di credito abbia subito una violazione dei dati a causa di un attacco ai server dove ha memorizzato i suoi dati. Le informazioni finanziarie personali dei suoi clienti sono state compromesse. I loro nomi, indirizzi di casa, informazioni di contatto aggiuntive, dettagli finanziari e i dettagli dei tipi di pagamenti effettuati sulle loro carte di credito sono tutti diventati pubblici.

L'azienda che ospita i server dovrebbe notificare le autorità della violazione entro 72 ore. Dovrebbe anche notificare l'azienda della carta di credito.

L'azienda probabilmente dovrà informare i consumatori, poiché la divulgazione delle loro informazioni personali identificative potrebbe metterli a rischio. La violazione potrebbe anche portare alla divulgazione delle informazioni sanitarie sensibili e protette dei consumatori se questi hanno effettuato pagamenti medici sulle loro carte di credito.

Quali sono le sanzioni per la mancata conformità al Regolamento generale sulla protezione dei dati? 

In caso di violazione dei dati, l'azienda dichiarata non conforme sarà soggetta a provvedimenti disciplinari. Una probabile infrazione riceve semplicemente un avvertimento. Gli incidenti di non conformità confermata possono essere soggetti a una o più di queste sanzioni:

  1. Un rimprovero formale
  2. Un divieto temporaneo o permanente sull'elaborazione dei dati
  3. Una multa fino a20 milioni di euro, ovvero il 4 percento del fatturato globale annuale totale dell'azienda

Assumi professionisti della sicurezza dei dati nel tuo team con G-P

Quando costruisci team internazionali focalizzati sulla sicurezza dei dati, lavora con G-P. I nostri team di professionisti possono aiutarti a comprendere le normative sugli accordi di trattamento dati applicabili alla tua azienda.

Avere responsabili della protezione dei dati e altri professionisti legali nel tuo team è essenziale per rimanere conforme alla DPA. Come Employer of Record globale (EOR)), G-P ti aiuta ad assumere e pagare l'internazionale talento di cui hai bisogno per avere successo. Prendiamo molto sul serio la privacy dei dati e possiamo aiutarti a rispettare la legislazione locale sul lavoro e proteggere le tue informazioni riservate mentre espandi la tua azienda a livello internazionale.

Da G-P, ti aiutiamo ad accelerare i tuoi processi di assunzione. Utilizzando la nostra piattaforma di occupazione globale full-stack, puoi assumere e inserire i tuoi nuovi membri team con pochi clic, risparmiando tempo e semplificando il tuo approccio alle sfide dell'internazionale azienda crescita.

Richiedi un preventivo oggi stesso oppure contattaci per saperne di più su come assumere professionisti della sicurezza dei dati tramite la nostra piattaforma.