Risposta di OCLC al Regolamento generale sulla protezione dei dati

Ultima revisione: 21 giugno 2019

Nel maggio 2018, è entrato in vigore il Regolamento generale sulla protezione dei dati (GDPR) per l'Unione europea (UE). OCLC è impegnata a supportare i nostri partner e clienti rivedendo in modo proattivo le pratiche e i prodotti con un'ottica mirata sul GDPR e adottando regolarmente le iniziative appropriate. Inoltre, abbiamo avviato progetti GDPR formali e altre attività specificamente focalizzate sui nostri prodotti per aiutare le biblioteche a soddisfare gli obblighi GDPR.

La responsabilità della conformità con il GDPR coinvolge diverse attività da parte dei titolari del trattamento dei dati (in questo caso, i clienti di OCLC in generale) e i responsabili del trattamento dei dati (OCLC). Le informazioni riportate di seguito hanno lo scopo di fornire informazioni sulla risposta di OCLC al GDPR e sul ruolo di un cliente nel processo di conformità.  

Nota: le informazioni riportate di seguito non costituiscono una consulenza legale. In caso di domande specifiche sugli effetti che produce il GDPR nei rapporti dell'istituzione con OCLC, contattare il responsabile della protezione dei dati OCLC all'indirizzo dpo@oclc.org.

Articoli

Risposta di OCLC agli articoli

Articolo 1: Oggetto e finalità

L'Articolo 1 mette in evidenza gli obiettivi del GDPR, che comprendono la protezione e la libera circolazione dei dati personali.

OCLC rispetta i diritti e le libertà fondamentali delle persone e ha posto in essere protezioni per il trattamento dei dati personali, compresi i dati personali dei membri dello staff e degli utenti della biblioteca. OCLC analizza i trasferimenti di dati sia all'interno dell'UE che al di fuori dell'UE.

Articolo 2: Ambito di applicazione materiale

Il trattamento dei dati personali, in tutto o in parte, con mezzi automatizzati può rientrare nell'ambito di applicazione del GDPR ai sensi dell'Articolo 2.

OCLC tratta i dati personali che possono rientrare nell'ambito del trattamento descritto nell'Articolo 2. I prodotti di OCLC sono utilizzati dalle biblioteche per gestire le proprie attività. OCLC riceve i dati personali dei membri dello staff e degli utenti dalle biblioteche.

Articolo 3: Ambito di applicazione territoriale

L'Articolo 3 descrive le situazioni nelle quali si applica il GDPR. L'applicazione riguarda le società con sede nell'UE e al di fuori dell'UE nel contesto delle attività delle istituzioni dell'UE. Inoltre, il GDPR può essere applicato alle società che non hanno sede nell'UE quando offrono beni o servizi alle persone nell'UE o ne monitorano il comportamento.

Il GDPR si applica a OCLC. OCLC ha sedi nell'UE, compresa la sede principale per l'UE nei Paesi Bassi. OCLC ha attività extra UE a sostegno di istituzioni UE che sono anch'esse soggette al GDPR.

Articolo 4: Definizioni

L'Articolo 4 definisce 26 termini, tra cui dati personali, trattamento, titolare e responsabile.

In generale, tra OCLC e una biblioteca, ai sensi del GDPR la biblioteca è il titolare per quanto riguarda la gestione dei dati personali dei membri dello staff e degli utenti. OCLC è quindi un responsabile del trattamento per la biblioteca quando si forniscono prodotti.

Articolo 5: Principi applicabili al trattamento di dati personali

L'Articolo 5 definisce i principi applicabili al trattamento di dati, tra cui liceità, esattezza, trasparenza, limitazione delle finalità, minimizzazione dei dati, accuratezza, limitazione della conservazione, integrità e riservatezza e responsabilizzazione.

In generale, la biblioteca sarà nella posizione di prendere queste decisioni nei rapporti con i propri utenti e i membri dello staff. Ad esempio, la biblioteca può decidere quali dati raccogliere dai propri utenti al fine di offrire servizi di biblioteca, la base giuridica del trattamento dei dati e come fornire agli utenti un avviso sulla privacy per essere trasparente nell'uso dei dati da parte della biblioteca.

In molti casi, tuttavia, i prodotti OCLC possono essere in grado di aiutare una biblioteca ad adempiere ai propri obblighi in relazione a questi principi. Ad esempio, il prodotto OCLC applicabile potrebbe consentire la visualizzazione di un avviso sulla privacy redatto dalla biblioteca.

Articolo 6: Liceità del trattamento

L'Articolo 6 fornisce le varie basi giuridiche del trattamento dei dati personali, quali il consenso dell'interessato o la necessità per le finalità degli interessi legittimi del titolare del trattamento.

In qualità di titolare del trattamento, la biblioteca stabilisce le basi giuridiche per il trattamento dei dati personali dei propri utenti e membri dello staff. Il trattamento di OCLC, in qualità di responsabile del trattamento per la biblioteca, verrebbe attuato secondo le indicazioni della biblioteca così come descritto nel contratto in vigore tra la biblioteca e OCLC.

Articoli 7 e 8: Condizioni per il consenso; Condizioni applicabili al consenso dei minori in relazione ai servizi della società dell'informazione

L'Articolo 7 descrive ciò che è richiesto per il consenso quando questa è la base giuridica del trattamento.

L'Articolo 8 espande i requisiti del consenso di cui all'Articolo 7 per quanto riguarda i minori.

In qualità di titolare del trattamento, la biblioteca è responsabile del rispetto degli Articoli 7 e 8, a seconda dei casi, quando il consenso è la base giuridica per il trattamento dei dati degli utenti o dei membri dello staff.

Articolo 9: Trattamento di categorie particolari di dati

L'Articolo 9 descrive i dati personali che non possono essere legalmente trattati salvo eccezioni applicabili.

Mentre le biblioteche stabiliscono l'eventuale trattamento di categorie speciali di dati personali, OCLC sconsiglia ai clienti la raccolta e l'archiviazione di tali dati nei prodotti OCLC. La raccolta e l'archiviazione di questi dati non sono necessarie per l'uso dei prodotti OCLC.

Articolo 10: Trattamento di dati personali relativi a condanne penali e reati

L'Articolo 10 contempla il trattamento dei dati personali relativi a condanne penali e reati.

Analogamente alle categorie speciali di dati personali descritte nell'Articolo 9, questi dati personali non sono necessari per l'uso dei prodotti di OCLC. OCLC sconsiglia la raccolta e l'archiviazione di questi dati nei prodotti OCLC.

Articoli 11 e 12: Trattamento che non richiede identificazione; Informazioni, comunicazioni e modalità trasparenti per l'esercizio dei diritti dell'interessato

L'Articolo 11 contiene le leggi relative all'identificazione degli interessati da parte del titolare del trattamento, anche in relazione agli interessati che esercitano i diritti conferiti dal GDPR.

L'Articolo 12 contiene leggi sul titolare del trattamento fornendo informazioni agli interessati, comprese le scadenze per rispondere alle richieste degli interessati.

In qualità di titolare del trattamento, è responsabilità della biblioteca rispettare gli Articoli 11 e 12 nei propri rapporti con gli utenti e i membri dello staff.

OCLC riceve richieste dagli interessati, richiede informazioni quando necessario convalidare l'identità e valuta qual è il ruolo di OCLC nei confronti dell'interessato.

Nel caso in qui OCLC sia un titolare del trattamento, ha posto in essere processi per la gestione delle richieste conformi ai requisiti dell'Articolo 12.

Se OCLC determina che è un responsabile del trattamento, invita l'interessato a rivolgere la richiesta al titolare del trattamento.

Articoli 13 e 14: Dati personali raccolti presso l'interessato: informazioni da fornire; Dati personali non ottenuti presso l'interessato: informazioni da fornire

Gli Articoli 13 e 14 prevedono i requisiti specifici da fornire agli interessati.

Quando agisce in qualità di titolare del trattamento nei confronti degli interessati, OCLC fornisce un avviso appropriato. Ad esempio, OCLC pubblica un avviso sulla privacy sul sito OCLC.org.

Per quanto riguarda gli utenti e i membri dello staff della biblioteca, quest'ultima è il titolare del trattamento e deve fornire avvisi sulla privacy che soddisfano i requisiti degli Articoli 13 o 14, a seconda dei casi. Oltre al trattamento eseguito da OCLC in qualità di responsabile del trattamento per conto di una biblioteca, gli avvisi di una biblioteca descrivono probabilmente altri trattamenti eseguiti dalla biblioteca e da altri responsabili del trattamento per conto della biblioteca.

Articoli 15 - 23: Diritto di accesso dell'interessato; Diritto di rettifica; Diritto alla cancellazione ("Diritto all'oblio"); Diritto alla limitazione di trattamento; Obbligo di notifica in caso di rettifica o cancellazione; Diritto alla portabilità dei dati; Diritto di opposizione; Processo decisionale automatizzato compresa la profilazione; Limitazioni

Gli Articoli da 15 a 23 sono leggi associate a vari diritti degli interessati.

In qualità di titolare del trattamento, è responsabilità della biblioteca rispettare gli Articoli da 15 a 23, a seconda dei casi, nei propri rapporti con gli utenti e i membri dello staff.

OCLC riceve richieste dagli interessati, richiede informazioni quando necessario convalidare l'identità e valuta qual è il ruolo di OCLC nei confronti dell'interessato.

Nel caso in qui OCLC sia un titolare del trattamento, ha posto in essere processi per la gestione delle richieste.

Se OCLC determina che è un responsabile del trattamento, invita l'interessato a rivolgere la richiesta al titolare del trattamento.

Articolo 24: Responsabilità del titolare del trattamento

L'Articolo 24 elenca le responsabilità del titolare del trattamento, compresa l'istituzione di misure tecniche e organizzative adeguate e di politiche di protezione dei dati.

In qualità di titolare del trattamento in relazione ai dati dei propri utenti e membri dello staff, la biblioteca è responsabile del rispetto dell'Articolo 24.

Articolo 25: Protezione dei dati fin dalla progettazione e protezione dei dati per impostazione predefinita

L'Articolo 25 impone ai titolari del trattamento di implementare la protezione dei dati fin dalla progettazione e per impostazione predefinita.

In qualità di titolare del trattamento in relazione ai dati dei propri utenti e dei membri dello staff, la biblioteca è responsabile del rispetto dell'Articolo 25. OCLC ha avviato progetti GDPR formali e altre attività specificamente focalizzate sui nostri prodotti per aiutare le biblioteche a soddisfare questi obblighi. Ad esempio, OCLC ha completato un progetto destinato a consentire alle biblioteche di visualizzare avvisi sulla privacy per determinati prodotti. OCLC è impegnata a proseguire la valutazione dei nostri prodotti e a stabilire se e come migliorarli in relazione alla protezione dei dati sulla base di considerazioni fin dalla progettazione e per impostazione predefinita.

Articolo 26: Contitolari del trattamento

L'Articolo 26 disciplina gli accordi tra contitolari del trattamento.

In generale OCLC non è un contitolare del trattamento con le biblioteche. Le biblioteche sono i titolari del trattamento mentre OCLC è un responsabile del trattamento.

Articolo 27: Rappresentanti di titolari o responsabili del trattamento non stabiliti nell'Unione

L'Articolo 27 riguarda l'ambito territoriale del GDPR quando il titolare del trattamento o il responsabile del trattamento non è stabilito nell'UE. Se non è stabilito nell'UE, il titolare del trattamento o il responsabile del trattamento deve nominare un rappresentante situato fisicamente nell'UE.

OCLC ha diverse istituzioni nell'UE e la nostra sede europea si trova nei Paesi Bassi.

Articolo 28: Responsabile del trattamento

L'Articolo 28 stabilisce gli obblighi sia dei titolari del trattamento che dei responsabili del trattamento. L'Articolo 28 si concentra in particolare sulla stipula di contratti per disciplinare il trattamento da parte del responsabile del trattamento e sulla stipula di contratti da parte di tale responsabile del trattamento quando coinvolge altri responsabili del trattamento.

In qualità di responsabile del trattamento per le biblioteche, OCLC ha sviluppato contratti di trattamento dei dati per le biblioteche da attuare per soddisfare i requisiti dell'Articolo 28. Questi contratti sono disponibili in più lingue. Inoltre, OCLC ha sviluppato contratti da far sottoscrivere ai sub-responsabili del trattamento che vengono incaricati da OCLC.

OCLC prosegue il proprio impegno per identificare le biblioteche che ritiene siano soggette al GDPR e fare in modo che tali biblioteche attuino i contratti di trattamento dei dati. Tuttavia, va osservato che l'obbligo di attuazione di questo contratto si applica direttamente alle biblioteche soggette al GDPR. Se una biblioteca è soggetta al GDPR e non ha stipulato un contratto con OCLC, il rappresentante della biblioteca deve contattarci immediatamente per ricevere una copia del contratto di trattamento dei dati da firmare.

Articolo 29: Trattamento nel quadro dell'autorità del titolare del trattamento o del responsabile del trattamento

L'Articolo 29 disciplina il trattamento da parte dei responsabili del trattamento. I responsabili del trattamento devono trattare i dati personali solamente in base alle istruzioni fornite dal titolare del trattamento.

I contratti dell'Articolo 28, sopra descritti, forniscono le istruzioni della biblioteca, in qualità di responsabile del trattamento, a OCLC per il trattamento dei dati personali.

Articolo 30: Registri delle attività di trattamento

L'Articolo 30 costituisce un requisito per la conservazione della documentazione in relazione al trattamento dei dati personali. I titolari del trattamento e i responsabili del trattamento devono conservare i registri e fornire su richiesta tali documenti alle autorità di controllo.

OCLC ha creato e mantiene una documentazione delle attività di trattamento.

Articolo 31: Cooperazione con l'autorità di controllo

L'Articolo 31 impone ai titolari del trattamento e ai responsabili del trattamento di collaborare con le autorità di controllo nello svolgimento dei loro compiti.

OCLC collaborerà con le autorità di controllo quando richiesto.

Articolo 32: Sicurezza del trattamento

L'Articolo 32 contiene obblighi per i titolari del trattamento e i responsabili del trattamento di attuare misure tecniche e organizzative appropriate per garantire un adeguato livello di sicurezza.

OCLC ha implementato misure tecniche e organizzative. Queste sono descritte nei contratti richiesti dall'Articolo 28. Ulteriori informazioni sulla sicurezza di OCLC sono disponibili anche sul nostro sito web.

Articoli 33 e 34: Notifica di una violazione dei dati personali all'autorità di controllo; Comunicazione di una violazione dei dati personali all'interessato

Gli Articoli 33 e 34 contengono gli obblighi dei titolari del trattamento e dei responsabili del trattamento in relazione a una notifica di violazione dei dati personali.

In qualità di responsabile del trattamento, OCLC segnalerà a una biblioteca una violazione dei dati personali ai sensi dell'Articolo 33. Ciò dovrebbe avvenire senza indebito ritardo dopo essere venuti a conoscenza di una violazione dei dati personali. OCLC esamina rapidamente gli incidenti e mantiene un database di informazioni di contatto della biblioteca per garantire che eventuali notifiche richieste possano essere fatte senza indebito ritardo. Per quanto riguarda l'indisponibilità, OCLC invita inoltre le biblioteche a rivedere il nostro dashboard Stato del sistema sul nostro sito web.

Le biblioteche, in quanto titolari del trattamento, dovrebbero stabilire se notificare le autorità di controllo e gli interessati.

Articoli 35 e 36: Valutazione d'impatto sulla protezione dei dati; Consultazione preventiva

Gli Articoli 35 e 36 contengono, in determinate circostanze, gli obblighi per i titolari del trattamento di condurre valutazioni d'impatto sulla protezione dei dati e di consultare le autorità di controllo.

Questi obblighi riguardano i titolari del trattamento, che pertanto si applicano alle biblioteche. OCLC è in genere un responsabile del trattamento per le biblioteche.

Nei casi in cui OCLC sia tenuta a completare valutazioni d'impatto sulla protezione dei dati nel quadro del GDPR, OCLC ha posto in essere processi per il loro completamento.

Articolo 37: Designazione del responsabile della protezione dei dati

L'Articolo 37 descrive i casi in cui i titolari del trattamento e i responsabili del trattamento devono nominare i responsabili della protezione dei dati, compresa la possibilità per un gruppo di imprese di nominare un unico responsabile della protezione dei dati. Il responsabile della protezione dei dati deve essere nominato sulla base delle qualità professionali, comprendenti le conoscenze specializzate sulla legislazione e sulle pratiche di protezione dei dati.

OCLC ha nominato un responsabile della protezione dei dati per le sue varie affiliate come un gruppo di imprese. L'attuale responsabile detiene tre certificazioni dell'International Association of Privacy Professionals, incluse entrambe le certificazioni "GDPR Ready" (CIPP/E e CIPM).

Articoli 38 e 39: Posizione del responsabile della protezione dei dati; Compiti del responsabile della protezione dei dati

Gli Articoli 38 e 39 descrivono quando il responsabile della protezione dei dati deve essere coinvolto in questioni, l'indipendenza del responsabile della protezione dei dati e i compiti del responsabile della protezione dei dati.

Il responsabile della protezione dei dati di OCLC è incaricato di adempiere ai compiti previsti dall'Articolo 39. Inoltre, OCLC ha istituito un team di supporto per la privacy per aiutare il responsabile della protezione dei dati nell'adempimento di tali compiti e aiutare a risolvere i problemi locali, secondo quanto necessario. OCLC è impegnata a garantire l'indipendenza del proprio responsabile della protezione dei dati. Se viene identificato un possibile conflitto, il consulente legale e l'addetto alla protezione dei dati di OCLC discuteranno del possibile conflitto e collaboreranno per garantire il mantenimento dell'indipendenza.

Articoli 40 - 43: Codici di condotta; Controllo dei codici di condotta approvati; Certificazione; Organismi di certificazione

Questi Articoli riguardano la promozione di associazioni e altri organismi per la creazione e l'adozione di codici di condotta relativi al GDPR.

OCLC non è attualmente impegnata in iniziative per la creazione di codici di condotta.

Articoli 44 - 49: Principio generale per il trasferimento; Trasferimenti sulla base di una decisione di adeguatezza; Trasferimento soggetto a garanzie adeguate; Norme vincolanti d'impresa; Trasferimento o comunicazione non autorizzati dal diritto dell'Unione; Deroghe in specifiche situazioni

Gli Articoli da 44 a 49 disciplinano vari requisiti associati ai trasferimenti dei dati personali.

La sede principale di OCLC è negli Stati Uniti. Ha uffici in molte località, tra cui data center nei Paesi Bassi, negli Stati Uniti, in Australia e in Canada. Possono verificarsi trasferimenti di dati personali dall'UE.

Per quanto riguarda i trasferimenti che richiedono salvaguardie adeguate, questi trasferimenti sono conformi alle clausole standard sulla protezione dei dati di cui all'Articolo 46. OCLC attua clausole standard di protezione dei dati con le biblioteche quando sottoscrive contratti dell'Articolo 28.

Articoli 50 - 78: Cooperazione internazionale per la protezione dei dati personali; Autorità di controllo; Indipendenza; Condizioni generali per i membri dell'autorità di controllo; Norme sull'istituzione dell'autorità di controllo; Competenza; Competenza dell'autorità di controllo capofila; Compiti; Poteri; Relazioni sull'attività; Cooperazione tra l'autorità di controllo capofila e le altre autorità di controllo interessate; Assistenza reciproca; Operazioni congiunte delle autorità di controllo; Meccanismo di coerenza; Parere del comitato europeo per la protezione dei dati; Composizione delle controversie da parte del comitato; Procedura di urgenza; Scambio di informazioni; Comitato europeo per la protezione dei dati; Indipendenza; Compiti del comitato; Relazioni; Procedura; Presidente; Compiti del presidente; Segreteria; Riservatezza; Diritto di proporre reclamo all'autorità di controllo; Diritto a un ricorso giurisdizionale effettivo nei confronti di un'autorità di controllo

Gli Articoli da 50 a 78 contengono le norme relative agli stati membri, alle loro autorità di controllo e al Consiglio europeo per la protezione dei dati.

Articolo 79: Diritto a un ricorso giudiziario efficace contro un titolare del trattamento o un responsabile del trattamento

L'Articolo 79 descrive i diritti degli interessati di cercare rimedi. Può includere procedimenti giudiziari contro titolari del trattamento o responsabili del trattamento dove costoro hanno una sede.

OCLC è un responsabile del trattamento per le biblioteche e può essere soggetta all'Articolo 79 per quanto riguarda i membri dello staff e gli utenti di una biblioteca. OCLC ha sedi all'interno dell'UE dove potrebbero essere avviati procedimenti giudiziari.

Articoli 80 e 81: Rappresentanza degli interessati; Sospensione delle azioni

Questi Articoli del GDPR si riferiscono alle modalità di presentazione dei reclami da parte degli interessati e a come i tribunali possono sospendere le azioni giudiziarie.

Articolo 82: Diritto al risarcimento e responsabilità

L'articolo 82 descrive le modalità con cui gli interessati possono chiedere un risarcimento ai titolari del trattamento e ai responsabili del trattamento.

Ai sensi dell'Articolo 82, i membri dello staff e gli utenti della biblioteca possono ottenere un risarcimento diretto da OCLC in qualità di responsabile del trattamento per la biblioteca. L'Articolo 82 e i contratti tra OCLC e una biblioteca assegnano inoltre le responsabilità tra OCLC e ciascuna biblioteca.

Articoli 83 e 84: Condizioni generali per infliggere sanzioni amministrative pecuniarie; Sanzioni

Gli Articoli 83 e 84 contengono disposizioni che consentono alle autorità di controllo e agli stati membri di valutare sanzioni amministrative pecuniarie e altre sanzioni.

Se OCLC in qualità di responsabile del trattamento per le biblioteche viola le disposizioni del GDPR applicabili ai responsabili del trattamento, OCLC può essere soggetta a multe o altre sanzioni pecuniarie.

Articoli 85 - 90: Trattamento e libertà di espressione e informazione; Trattamento e accesso pubblico ai documenti ufficiali; Trattamento del numero di identificazione nazionale; Trattamento dei dati nell'ambito del rapporto di lavoro; Garanzie e deroghe al trattamento a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o fini statistici; Obblighi di segretezza

Gli Articoli da 85 a 90 contengono vari requisiti e diritti degli stati membri, come la riconciliazione del GDPR con i diritti di libertà di espressione e consentire agli stati membri di creare norme più specifiche nel contesto del trattamento dei dati nell'ambito dei rapporti di lavoro.

Articolo 91: Norme di protezione dei dati vigenti presso chiese e associazioni religiose

L'Articolo 91 contiene leggi che si applicano alle chiese e alle associazioni religiose.

L'Articolo 91 non è applicabile a OCLC, in quanto non è una chiesa o un'associazione religiosa.

Articoli 92 - 99: Esercizio della delega; Procedura di comitato; Abrogazione della direttiva 95/46/CE; Rapporto con la direttiva 2002/58/CE; Rapporto con accordi precedentemente conclusi; Relazioni della Commissione; Riesame di altri atti legislativi dell'Unione in materia di protezione dei dati; Entrata in vigore e applicazione

Questi articoli riguardano il funzionamento e l'efficacia del GDPR.

Il GDPR è entrato in vigore il 25 maggio 2018.