Come noto e segnalato in precedenza dal nostro Studio, a partire dal 1° marzo è entrato in vigore un secondo articolato complesso di emendamenti alla legislazione della Federazione Russa sulla privacy nell’ambito di una vasta riforma in materia.
Sulla scorta dei nuovi chiarimenti di Roskomnadzor (anche “Garante della privacy”) formulati durante un recente webinar indirizzato agli operatori (titolari del trattamento) e dedicato ai citati emendamenti (di seguito “Webinar”), nonché della prassi del Garante della privacy formatasi negli ultimi mesi, riportiamo una lista dei più importanti e urgenti adempimenti necessari ai fini di assicurare un accettabile livello di compliance alla normativa vigente in materia di privacy.
Depositare la notifica sull’invio transfrontaliero dei dati personali (qualora non sia stato fatto anteriormente al 1° marzo u.s. durante il periodo transitorio)
Come segnalato precedentemente, nell’ambito della seconda “tranche” degli emendamenti apportati alla Legge federale “Sui dati personali” (di seguito “Legge”) sono entrate in vigore anche nuove regole in materia di trasferimento transfrontaliero dei dati dalla Russia verso l’estero.
Le nuove regole prevedono, inter alia, l’obbligo del titolare del trattamento di presentare al Garante della privacy la Notifica sull’invio transfrontaliero dei dati personali (da non confondere con l’obbligo – tuttora vigente – di provvedere alla Notifica sull’intenzione di effettuare il trattamento dei dati personali, di cui si dirà più in dettaglio nel punto successivo).
I dati contenuti in tale notifica vanno aggiornati di volta in volta laddove i parametri dei flussi di dati oggetto di trasferimento transfrontaliero dovessero subire cambiamenti.
Ri-depositare la Notifica sull’intenzione di effettuare il trattamento dei dati personali
Come noto, la Legge stabilisce che i titolari del trattamento, anteriormente all’avvio di operazioni aventi ad oggetto dati personali, sono tenuti a presentare al Garante della privacy un’apposita Notifica sull’intenzione di effettuare il trattamento dei dati personali, la quale determina l’iscrizione del titolare del trattamento presso il Registro degli operatori dei dati personali (consultabile online).
Durante il Webinar, il Garante ha confermato che a seguito delle modifiche apportate alla Legge, i dati precedentemente presentati attraverso la Notifica sull’intenzione di effettuare il trattamento dei dati personali sono da aggiornare, in quanto con l’introduzione del nuovo modello relativo a tale notifica è cambiato sia il volume dei dati che il titolare del trattamento è tenuto a comunicare al regolatore, sia l’approccio alla loro sistematizzazione (in base alla finalità del trattamento, e non più in base al sistema informativo contenente i dati personali).
Emendare il documento che regola la privacy policy dell’operatore sui dati personali
Il Garante della privacy è dotato del potere di monitorare l’operato dei titolari del trattamento, nello specifico verificando i siti di questi ultimi. Tra le violazioni che vengono più frequentemente rilevate segnaliamo la non conformità della struttura della policy sul trattamento dei dati personali pubblicata sul sito web.
Conseguentemente, è necessario adeguare tale documento ai fini di allinearlo ai requisiti della legislazione vigente, nello specifico sistematizzando le informazioni in esso contenute in base alla finalità del trattamento dei dati personali.
Accertarsi che i programmi metrici non violino la legge
Nell’ambito della propria attività di controllo il Garante della privacy presta particolare attenzione anche all’elaborazione dati sui siti web tramite programmi metrici tipo Google Analytics e Yandex.Metrica. Il regolatore, nelle proprie comunicazioni segnala che l’utilizzo dei programmi metrici in assenza di un adeguato meccanismo per ottenere dall’interessato il consenso a tale particolare forma di trattamento dei dati personali costituisce una violazione della legge sulla privacy.
Aggiornare, se del caso, i consensi al trattamento dei dati personali
Ribadiamo che secondo la nuova disciplina, il consenso al trattamento dei dati personali deve essere non solo specifico, informato e consapevole, ma anche – come previsto dalle norme di riforma – circostanziato e inequivocabile.
Redigere il registro delle attività di trattamento dei dati personali
Ancorché il registro delle attività di trattamento dei dati personali (conosciuto con l’acronimo di RoPA nell’ordinamento europeo) non sia espressamente menzionato nella Legge tra i documenti obbligatori nell’ambito del trattamento dati personali, la sua stesura è senz’altro consigliabile per consentire al titolare di ottenere un quadro completo relativo al trattamento dei dati personali, il che non solo facilita la preparazione della documentazione relativa a tale trattamento, ma potrà permettere altresì di rispettare i tempi assai brevi per la preparazione e deposito dei resoconti presso gli enti preposti in caso di non auspicabile “fuga” di dati.
Specifichiamo che la lista sopra riportata costituisce un mero elenco esemplificativo e non esaustivo delle più urgenti misure che è necessario porre in essere per assicurare pieno adeguamento alla citata riforma in materia dei dati personali.
Con l’occasione confermiamo la disponibilità del nostro Studio a fornire tutta la più opportuna assistenza ai fini di assicurare piena compliance rispetto all’attuale legislazione russa e alla prassi applicativa in materia di privacy.