Risposta a cura del DPO dell' Ordine degli Architetti PPC della Provincia di Milano
Gli adempimenti sono i seguenti:
- nei casi previsti dall'articolo 37 del GDPR, designare un DPO (NB: solitamente non è necessario prevederlo per uno studio di architettura); in tutti gli altri casi, si consiglia di individuare un "referente privacy" (anche se non obbligatorio; può essere un consulente esterno); questo è il primo passaggio perché tutte le altre attività vanno coordinate con questa figura;
- riesaminare l'applicazione territoriale (articolo 3 del GDPR) per evitare di considerare trattamenti esclusi dal GDPR; in particolare il GDPR è applicabile anche alle sedi estere delle organizzazioni con sede nell’Unione europea e alle organizzazioni estere che vendono prodotti e servizi a persone nell'Unione;
- predisporre il registro dei trattamenti; da evitare, soprattutto all’inizio, di riportare troppi dettagli;
- condurre una valutazione del rischio relativo alla privacy;
- per i trattamenti più "rischiosi", condurre una “Valutazione d’impatto” o, in inglese, “Data privacy impact assessment”, da cui gli acronimi DPIA o PIA;
- predisporre le informative (per uno studio di architettura è solitamente necessario prevederle per i dipendenti e collaboratori, per le persone fisiche che rappresentano i clienti e i fornitori e per i cookies del sito web);
- raccogliere i consensi necessari, ricordando che la sua richiesta deve essere chiara e "separata" dalle altre materie (solitamente, uno studio di architettura non tratta dati per cui è richiesto il consenso, se non intende inviare a email o indirizzi personali materiale promozionale o pubblicitario);
- verificare che gli interessati possano revocare il consenso "con la stessa facilità con cui è accordato" (si suggerisce di aprire una casella email dedicata);
- stabilire un processo affinché gli interessati possano inviare le proprie richieste e sia fornita loro risposta entro un mese (si suggerisce di aprire una casella email dedicata e incaricare una persona affinché la monitori regolarmente);
- riesaminare tutti i contratti con i fornitori a cui si trasmettono dati personali e, se necessario, aggiornarli con quanto stabilito dall’articolo 28 del GDPR (impropriamente, questo adempimento è noto come “nomina dei responsabili”) prestando particolare attenzione ai trasferimenti extra-UE;
- riesaminare e, se necessario, aggiornare gli accordi con i con-titolari, prestando attenzione ai trasferimenti extra-UE;
- documentare, per esempio in un mansionario, quali trattamenti sono autorizzati a svolgere le aree aziendali, anche considerando quanto riportato nel Registro dei trattamenti (spesso, in uno studio di architettura, tutti devono trattare tutti i dati, con l’eccezione dei dati del personale e dei collaboratori che possono essere trattati solo da particolari persone);
- stabilire un processo di assegnazione, modifica e riesame periodico delle autorizzazioni per accedere ai dati personali (questo andrebbe concordato con la persona o l’azienda che gestisce i sistemi informatici);
- predisporre un regolamento privacy (che può anche essere esteso alla sicurezza delle informazioni) per tutto il personale e i collaboratori autorizzati a trattare i dati personali, con misure "generali" (p.e. proteggere i propri dispositivi informatici con password, tenere segreta la password);
- stabilire un processo di gestione degli incidenti con impatto sui dati personali (a chi devono essere comunicati, chi deve trattarli, chi deve decidere se informarne gli interessati);
- prevedere la cancellazione dei dati quando è terminato il periodo di conservazione (solitamente, 10 anni dopo la conclusione dei rapporti), ricordando che questo è sicuramente l'adempimento tecnologico più oneroso da realizzare con la tecnologia attuale;
- stabilire un processo di audit interni per la privacy.
Aggiornato al 26/03/2020