Il 9 luglio 2019 l’autorità britannica per la protezione dei dati (ICO) ha aggiornato il proprio codice di condotta per la condivisione dei dati (pubblicato per la prima volta nel 2011).
Lo stesso giorno, l’ICO ha anche annunciato l’intenzione di multare Marriott International di poco più di £ 99 milioni per violazioni del Regolamento generale sulla protezione dei dati (GDPR), sottolineando l’importanza della dovuta diligenza nel contesto della condivisione dei dati.
Il Codice, redatto ai sensi della sezione 121 del Data Protection Act (DPA) del Regno Unito, è disponibile al pubblico per la consultazione fino al 9 settembre 2019. Una volta finalizzato, il Codice diventerà un codice di condotta legale ai sensi del DPA. La non conformità al codice sarà probabilmente considerata non conformità alle leggi sulla protezione dei dati.
Ambito di applicazione e scopo
A differenza dell’impiego dei responsabili del trattamento, che è soggetto ai requisiti prescrittivi ai sensi dell’articolo 28 del GDPR, il GDPR rimane in silenzio sulla condivisione di dati personali tra le organizzazioni che sono titolari del trattamento (ad eccezione degli obblighi previsti dall’articolo 26 del GDPR per scenari di controllo congiunto). Nel complesso, il Codice mira a fornire una guida pratica su come condividere i dati personali tra i titolari del trattamento (vale a dire controllori separati / congiunti) in conformità con la legge sulla protezione dei dati e promuove raccomandazioni di buone prassi.
Il Codice riguarda principalmente la condivisione dei dati da parte di organizzazioni private soggette al GDPR.
Sono previsti accordi di condivisione dei dati ai sensi del GDPR?
Secondo l’ICO, è “buona prassi” stipulare un accordo di condivisione dei dati tra i titolari che condividono e ricevono dati. Un accordo di condivisione dei dati aiuta le parti a chiarire lo scopo della condivisione dei dati e copre ciò che accade ai dati in ogni fase. Fondamentalmente, tali accordi si presentano anche come uno strumento utile per i titolari per dimostrare in modo tangibile il loro quadro di responsabilità ai sensi del GDPR. In altre parole, sebbene il GDPR non prescriva l’uso di accordi di condivisione dei dati, è ovvio che l’aspettativa dei regolatori è che le parti coinvolte negli accordi di condivisione dei dati dispongano di una documentazione contrattuale per dimostrare le loro rispettive responsabilità.
Quali sono i punti che un accordo di condivisione dei dati dovrebbe affrontare?
Non esiste un formato definito per un accordo di condivisione dei dati, che può assumere una varietà di forme a seconda della scala e della complessità del trattamento. Tuttavia, l’ICO raccomanda che un accordo di condivisione dei dati copra una serie di punti, tra cui:
- Lo scopo dell’iniziativa di condivisione dei dati. Le organizzazioni coinvolte nella condivisione dei dati (spiegando se agiranno in qualità di controllori congiunti e aggiungendo i dettagli di contatto per il responsabile della protezione dei dati e altri membri chiave del personale, a seconda dei casi);
- I tipi di dati che le organizzazioni intendono condividere (compresi categoria speciale / dati sensibili);
- La base legale per la condivisione dei dati;
- Le procedure per il rispetto dei diritti individuali, incluso un unico punto di contatto in modo che le persone sappiano come esercitare tali diritti;
- I principali problemi pratici che possono sorgere durante la condivisione di dati personali; e
- Appendici o allegati che includono un riepilogo delle principali disposizioni legislative, un modello di modulo per la ricerca del consenso delle persone per la condivisione dei dati (ove applicabile) e un diagramma per mostrare come decidere se condividere i dati.
Per i contitolari, l’accordo di condivisione dei dati può anche servire ai fini della definizione delle responsabilità delle entità che condividono i dati come richiesto dall’articolo 26 del GDPR.
La versione finale del codice includerà esempi di liste di controllo per la condivisione dei dati e modelli di richiesta di condivisione dei dati e moduli di decisione.
Casi specifici di condivisione dei dati
L’ICO fornisce alcune informazioni su casi specifici di condivisione dei dati. In particolare, l’ICO sottolinea l’importanza della condivisione dei dati nel contesto di fusioni e acquisizioni, considerandolo una potenziale “priorità”. Le organizzazioni dovrebbero assicurarsi di considerare la condivisione dei dati come parte del loro processo di due diligence e aderire ai requisiti di governance e responsabilità del GDPR.
Allo stesso modo, la dovuta diligenza è essenziale per la conformità della protezione dei dati quando si condividono dati personali in banche dati ed elenchi (sia a scopo di lucro o meno), e questo esercizio dovrebbe essere intrapreso sia dal responsabile della condivisione che da quello del destinatario. Le organizzazioni dovrebbero effettuare indagini e verifiche appropriate in merito ai dati, compresa la loro fonte e rivedere una copia delle informazioni sulla privacy fornite al momento della raccolta dei dati.
Considerazioni finali prima della condivisione dei dati
L’ICO afferma che, quando prendono in considerazione la condivisione dei dati, le organizzazioni devono valutare la loro conformità generale alla legislazione sulla protezione dei dati. L’ICO incoraggia a intraprendere una valutazione dell’impatto sulla protezione dei dati (DPIA), che è considerata una buona pratica per tutti i grandi progetti che prevedono la divulgazione di dati personali o qualsiasi piano per la condivisione di dati di routine, anche se non esiste un indicatore specifico o un rischio probabilmente elevato.
Infine, l’ICO indica che le organizzazioni devono aderire ai principi chiave della legislazione sulla protezione dei dati quando condividono i dati, in particolare la responsabilità (documentando tutti gli aspetti della condivisione dei dati) e la minimizzazione dei dati (garantendo che sia ragionevole e proporzionato alla condivisione dei dati). In termini di sicurezza, l’ICO osserva che anche una volta che i dati saranno stati condivisi, le organizzazioni dovranno adottare misure ragionevoli per garantire che tali dati continuino a essere ben protetti.