/ News / Approfondimenti / Interventi e commenti
Approfondimento a cura di PrivacyinChiaro - www.privacyinchiaro.it
Il Regolamento UE 679/2016 (brevemente GDPR), applicabile dal prossimo 25 maggio 2018, impone alle imprese un vero e proprio salto di paradigma in merito a tutto quello che ruota intorno al trattamento dei dati personali.
È abbastanza scontato ribadire che i dati personali rimangono di proprietà degli individui a cui si riferiscono anche quando questi li affidano a un’impresa. Tuttavia, il valore dei dati personali è importantissimo per le aziende e un loro utilizzo scorretto può mettere a rischio i diritti fondamentali degli individui.
Di truffe e vantaggi illeciti sulla concorrenza sono piene le cronache; recentemente, il Garante italiano ha evidenziato come la grande quantità di dati personali circolanti in rete possa comportare anche rischi di manipolazione e di discriminazione degli individui.
Le prescrizioni del GDPR aiutano a scongiurare questi rischi e garantiscono nel contempo la libera circolazione dei dati degli individui nel territorio dell’Unione europea ai fini di una sempre maggiore integrazione economica e sociale.
La normativa si applica a ogni tipo di organizzazione che operi o intenda operare nel mercato europeo, quindi anche alle imprese che non risiedono in UE e che svolgono operazioni di trattamento legate all’offerta di beni e servizi, anche a titolo gratuito, a interessati che si trovano in UE o che effettuano il monitoraggio di loro comportamenti che hanno luogo in UE.
Quali sono, nella pratica, i passi per la conformità alla normativa europea?
Ogni organizzazione deve in primo luogo assicurarsi che tutte le operazioni effettuate sui dati personali rispettino i principi di legittimità del trattamento, conducendo un’attenta analisi dei propri processi; la valutazione dei probabili scostamenti rispetto alle prescrizioni normative comporterà la necessità di adeguare i processi esistenti o di implementarne di nuovi. Il lavoro da fare può essere molto o poco e la sua quantificazione dipende anche dal livello di conformità rispetto alla normativa vigente; il Codice Privacy italiano e le successive modifiche, integrazioni e chiarimenti forniti dal Garante sono infatti già un ottimo punto di partenza e un’ipotetica azienda italiana X che fosse pienamente conforme alle prescrizioni vigenti avrebbe indubbiamente meno strada da fare.
Lasciamo che sia questa ipotesi di piena conformità a guidarci e vediamo quali sono i compiti che aspettano l’azienda X, rimanendo però consapevoli del fatto che sarà ben difficile incontrare nella realtà situazioni ideali come quella da cui partiamo in questa analisi.
Si tratta di una delle più grandi novità, che richiede un grande cambiamento culturale da parte di tutti gli attori coinvolti.
Il Regolamento non prevede ricette per il raggiungimento della conformità, ma assegna ai soggetti che effettuano trattamenti di dati personali un’ampia libertà di decisione in merito all’individuazione delle misure tecniche e organizzative più adeguate per la tutela dei diritti e delle libertà degli interessati.
La responsabilizzazione comporta conoscenza, capacità di giudizio e di analisi e competenza nella valutazione dei rischi e nella scelta dei mezzi e degli strumenti migliori per gestirli; implica la necessità di scegliere risorse, fornitori e partner commerciali che agiscono a norma di legge, di informare gli interessati in modo comprensibile e trasparente, di istruire il personale e di vigilare affinché il cambiamento culturale metta radici solide e durature.
Agire in base al principio di responsabilità significa essere pronti a rispondere delle decisioni prese e documentare in modo trasparente le valutazioni che hanno condotto a tali decisioni: nessuna scusa è ammessa, e questo deve essere ben chiaro a tutti.
Tutte le comunicazioni verso gli interessati – informative e moduli di consenso verso i clienti, gli associati o i dipendenti – devono essere riviste, e non solo per inserire i corretti riferimenti alla nuova legge.
È necessario inserire nel documento di informativa nuove indicazioni (solo per citarne alcune: il tempo di conservazione dei dati personali, la fonte dei dati se non sono stati forniti direttamente dall’interessato, l’utilizzo di algoritmi di profilazione, i destinatari o le categorie di destinatari dei dati) ed è altrettanto necessario fare grande attenzione alle modalità di raccolta del consenso al trattamento. Il consenso deve essere libero, specifico, informato e inequivocabile e, soprattutto, il Titolare deve in ogni momento poter dimostrare di averlo ricevuto; sarà quindi opportuno organizzare la registrazione e la conservazione dei consensi ricevuti o ritirati dagli interessati attraverso procedure specifiche che permettano di averne immediata evidenza.
Per rispondere prontamente alle richieste degli interessati, le aziende dovranno devono implementare un processo per la gestione delle richieste e per tracciarne la storia, in modo che sia possibile darne evidenza, assicurandosi che esse vadano a buon fine; cancellazioni, modifiche, revoca del consenso devono essere recepiti prontamente e in molti casi sarà necessario intervenire a livello tecnico o organizzativo per assicurarsi che questo avvenga. Discorso a parte merita il tema della portabilità dei dati personali: le aziende impattate da questo tipo di richieste dovranno affrontare una bella sfida e dedicare risorse alla sua risoluzione.
L’azienda X, se ha più di 250 dipendenti OPPURE se effettua trattamenti che includono dati personali relativi a condanne penali e a reati o dati genetici o biometrici OVVERO se, su base non occasionale, effettua trattamenti di particolari categorie di dati personali (tutti quelli atti a rivelare l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, l’appartenenza sindacale, ovvero informazioni relative alla salute o alla vita sessuale o all’orientamento sessuale della persona) dovrà compilare in forma scritta, anche elettronica, il Registro delle attività di trattamento svolte.
Il Registro dei Trattamenti è obbligatorio per Titolari e Responsabili del Trattamento e, se dal caso, per i rispettivi rappresentanti nel territorio dell’Unione europea.
Il Registro dei Trattamenti è una vera e propria mappa e deve contenere tutte le informazioni in merito alle operazioni effettuate sui dati personali, alle caratteristiche dei dati personali oggetto di trattamento e alle entità coinvolte nel trattamento dei dati personali: la tenuta del Registro, aggiornato periodicamente, è il primo passo verso la conformità e un’ottima occasione per fare ordine.
Raccogliere le informazioni e concentrarle in un unico documento è il modo migliore per avere una chiara rappresentazione di come i dati personali sono elaborati, protetti, archiviati ed eliminati e per disporre di un patrimonio sempre aggiornato di conoscenza condivisa; questo permetterà di intervenire in modo mirato soltanto dove ce ne sia un effettivo bisogno e di apportare migliorie ai processi, ottimizzando tempo e risorse.
Trattare dati personali è un’attività pericolosa e deve essere inserita nel quadro dei rischi aziendali. Le metodologie usualmente utilizzate dalle imprese per l’analisi e la mitigazione di pericoli di altra natura devono essere applicate ai rischi connessi al trattamento di dati personali e diventare uno strumento consueto di gestione.
A Titolare e Responsabile del trattamento, le due figure chiave della protezione dei dati personali, si affiancano due nuove figure: quella del Contitolare del trattamento, nel caso in cui più entità decidano congiuntamente mezzi e finalità delle operazioni di trattamento, e quella del Responsabile della Protezione dei dati personali. Di quest’ultima figura parleremo più ampiamente nell’apposito paragrafo.
Per garantire la sicurezza del trattamento, l’azienda X deve verificare che le misure di sicurezza tecniche e organizzative adottate siano adeguate allo specifico livello di rischio. Dette misure comprendono tecniche di pseudonimizzazione e di cifratura e hanno l’obiettivo primario di garantire l’integrità, la riservatezza, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento, consentendo di ripristinare rapidamente l’accesso ai dati personali in caso di incidente. Apposite procedure permettono inoltre di verificare periodicamente l’efficacia delle misure implementate.
Tutti i nuovi prodotti o servizi dovranno essere sviluppati incorporando la protezione dei dati personali fin dalla fase di progettazione (privacy by design); le informazioni personali utilizzate dovranno, per definizione, essere esclusivamente quelle necessarie a perseguire le finalità di trattamento (minimizzazione).
Si fa un gran parlare di questa figura professionale, delle caratteristiche che deve possedere e delle modalità di selezione del professionista (o del gruppo di professionisti) a cui affidare questo delicato e importante incarico.
La nomina del DPO (Data Protection Officer), prevista dalla legge in caso di trattamento effettuato da un soggetto pubblico (con esclusione delle autorità giurisdizionali), è obbligatoria anche quando il trattamento include il monitoraggio regolare e sistematico degli interessati su larga scala e quando le operazioni effettuate includono il trattamento su larga scala di categorie particolari di dati personali. Quindi, chi tratta su larga scala dati genetici o biometrici che consentono l’identificazione univoca delle persone fisiche o tratta dati atti a rivelare informazioni in merito a origine razziale o etnica, opinioni politiche, convinzioni religiose o filosofiche, appartenenza sindacale, salute, vita o orientamento sessuale delle persone, deve nominare un DPO.
Il DPO può essere un dipendente dell’azienda o un consulente esterno incaricato sulla base di un apposito contratto; grazie alle proprie competenze professionali e munito dei poteri (gerarchici o funzionali) commisurati all’incarico, mette in atto le direttive in merito al trattamento dei dati personali, vigilando sul rispetto delle leggi, fornendo indicazioni circa le attività necessarie e controllando il loro corretto svolgimento.
Il DPO riferisce direttamente al vertice gerarchico dell’organizzazione, rappresenta l’azienda per tutti i temi inerenti il trattamento dei dati personali, riceve le risorse umane e finanziarie necessarie per l’esecuzione dei compiti affidati e dispone dell’autonomia necessaria per esercitare la propria discrezionalità, agendo in assenza di conflitti d’interesse; ricopre quindi un ruolo manageriale, caratterizzato dalla capacità di svolgere il proprio mandato senza ricevere alcuna istruzione. Interagisce con le strutture aziendali ed è il punto di ingresso delle richieste degli interessati e dell’Autorità garante, con la quale collabora e interagisce per tutte le tematiche legate al trattamento dei dati personali.
Nel passato, la responsabilità della protezione dei dati personali all’interno delle aziende è stata spesso assegnata a specifiche funzioni (legale, IT, personale); il nuovo Regolamento europeo impone oggi una visione d’insieme e un approccio globale.
Le interdipendenze e le relazioni tra le diverse funzioni aziendali in tema di protezione dei dati personali sono così tante che è impensabile immaginare di raggiungere la conformità affrontando la protezione dei dati personali come un semplice esercizio burocratico da assegnare a una direzione piuttosto che a un’altra.
Il DPO è il garante di questa visione d’insieme e ha l’obiettivo di garantire il funzionamento aziendale e di supportare il raggiungimento degli obiettivi di business in armonia con la normativa.
Qualcuno ha obiettato che è impensabile reperire sul mercato figure professionali che possiedano competenze specifiche approfondite nei numerosi aspetti toccati dal codice, e, come è stato chiarito dalle apposite Linee Guida del comitato consultivo europeo, il ruolo può essere svolto anche da un team di persone in possesso di competenze diversificate.
Ci sono tuttavia qualità professionali che, a nostro avviso, il DPO deve possedere e che sono fondamentali per un efficace esercizio del ruolo: oltre alla conoscenza della normativa europea e dei suoi aggiornamenti, il professionista deve avere una profonda padronanza del funzionamento dell’azienda e delle relazioni tra le sue diverse funzioni; deve saper interagire efficacemente con il vertice e con i dipendenti dell’azienda; deve parlare lo stesso linguaggio dell’ Autorità Garante; deve capire quando è il caso di avvalersi di un supporto esperto (legale, informatico, organizzativo) per affrontare e risolvere problemi che richiedono una competenza specialistica approfondita; deve saper prendere decisioni, saper gestire i rischi e, soprattutto, dev’essere in grado di comprendere le diverse lingue che si parlano all’interno di un’azienda. Anche se non è possibile avere una conoscenza approfondita di tutto, un vocabolario condiviso con le unità di business e di staff è assolutamente necessario possederlo.
Secondo il principio di responsabilizzazione, saranno comunque le aziende a dover valutare le conoscenze e le competenze necessarie e a compiere la scelta migliore in funzione delle proprie esigenze. Certamente esperienze, qualifiche e certificazioni specifiche potranno rappresentare argomenti qualificanti agli occhi dei Titolari, a cui spetterà sempre l’ultima parola sulla scelta del DPO.
Per ulteriori informazioni www.privacyinchiaro.it.
AiFOS - Associazione Italiana Formatori ed Operatori della Sicurezza sul Lavoro
25123 Brescia, c/o CSMT Università degli Studi di Brescia - Via Branze, 45
Tel 030.6595031 - Fax 030.6595040 | C.F. 97341160154 - P. Iva 03042120984
Privacy - Cookies Policy - Gestione segnalazioni-whistleblowing
Il sito utilizza cookie tecnici, ci preme tuttavia informarti che, dietro tuo esplicito consenso espresso attraverso cliccando sul pulsante "Accetto", potranno essere installati cookie analitici o cookie collegati a plugin di terze parti che potrebbero essere attivi sul sito.