PILLOLE PRIVACY N° 13 – RISCHI E PRIORITÀ

Pillola 13

GESTIRE IL RISCHIO E STABILIRE LE PRIORITÀ.

Il raggiungimento della conformità alla normativa passa per una corretta gestione dei rischi connessi al trattamento dei dati personali, che devono essere inseriti nella più ampia mappatura dei rischi aziendali.

I rischi “privacy” devono essere conosciuti, valutati e controllati, e le scelte sulla loro gestione devono tenere presenti, oltre agli imprescindibili obblighi di legge, le priorità e gli obiettivi dell’organizzazione.

I rischi non sono statici, mutano nel tempo e variano in funzione di fattori, interni ed esterni, che possono essere legati a variazioni normative, di contesto o di processo.

È perciò assolutamente necessario considerare la gestione del rischio come un tema in costante “divenire” che deve essere presidiato con attenzione.

LA VALUTAZIONE DELLO STATO ATTUALE

Per valutare in modo adeguato i rischi “privacy” dell’organizzazione è fondamentale avere una chiara rappresentazione dei suoi processi, della tipologia di dati personali gestiti, delle operazioni di trattamento effettuate, del flusso dei dati e delle responsabilità assegnate alle diverse funzioni.

Il tempo richiesto da questa fase preliminare di analisi è strettamente legato alle dimensioni dell’organizzazione e al settore di mercato in cui essa opera; può richiedere giorni o settimane e deve riguardare l’intera struttura.

L’analisi tiene in considerazione l’esistenza di attività di trattamento di dati personali affidate a ditte esterne e prende in considerazione anche i trattamenti “interni”, cioè quelli che riguardano i dipendenti o i collaboratori.

L’attività può essere svolta internamente o con il supporto di professionisti appositamente ingaggiati.

La valutazione del rischio parte dall’analisi dello stato attuale e dalla fotografia dell’esistente, che permetterà di identificare le azioni da compiere per il raggiungimento della conformità normativa.

DALLO STATO ATTUALE ALLO STATO VOLUTO.

L’analisi degli scostamenti tra la stato attuale e lo stato desiderato permette di individuare gli interventi necessari per il raggiungimento della conformità normativa.

Aziende di dimensioni analoghe che operano nello stesso settore di mercato possono avere situazioni molto diverse in funzione della loro storia e dell’organizzazione dei processi interni.

Dopo aver individuato le attività da svolgere è necessario assegnare loro delle priorità.

L’assegnazione delle priorità è sicuramente condizionata dalle scadenze di legge, come anche dagli obiettivi di business dell’azienda ma deve tenere nel massimo conto i risultati della valutazione di rischio.

I rischi con indice di probabilità e danno più elevati devono essere affrontati per primi, perché sono quelli che possono avere l’impatto più grande sulla vita dell’organizzazione.

È bene stabilire un piano di azione con date certe, assegnando chiaramente ruoli e responsabilità di realizzazione per la conclusione delle attività.

Il risultato di un piano ben eseguito (sono richiesti revisioni e aggiornamenti periodici ed è necessario attribuire la responsabilità della conduzione del piano in modo chiaro) è la riduzione del rischio e l’avvicinamento progressivo allo stato desiderato di conformità.

 

PILLOLE PRIVACY N° 12 – STRUMENTI E METODI

PILLOLA 12

IL REGISTRO DEI TRATTAMENTI

TRASFERIMENTI DI DATI ALL’ESTERO

Il trasferimento di dati personali a un’entità o a una sede situata all’estero è ammesso in presenza di adeguate condizioni o garanzie.

Il Regolamento è ugualmente applicabile in tutti i paesi dell’Unione europea e, poiché le regole sono le stesse per tutti, il trasferimento all’interno di questi paesi è per definizione consentito.

Il discorso cambia quando i dati escono dai confini UE.

Diventa allora importante verificare se l’Autorità Garante ha emesso una decisione di adeguatezza per il paese destinatario dei dati; l’esistenza di una simile decisione attesta che le condizioni con le quali avvengono i trattamenti di dati personali all’interno di uno specifico stato sono state verificate e sono considerate congrue.

La situazione è diversa se tale decisione non esiste: in questi casi, spetta al titolare del trattamento verificare l’esistenza di forme di garanzia ammesse dalla legge (quali, ad esempio, la sottoscrizione di clausole contrattuali standard o l’esistenza di norme vincolanti d’impresa).

In assenza di garanzie adeguate di tutela dei diritti e delle libertà fondamentali degli individui, il trasferimento è vietato.

È compito del titolare del trattamento compiere le necessarie verifiche e agire nel rispetto della legge.

AFFIDAMENTO A TERZI DI TRATTAMENTI

È probabile che un’organizzazione decida di affidare, in tutto o in parte, operazioni di trattamento ad attori esterni; sia nel caso di esternalizzazioni complete di un servizio (pensiamo, ad esempio, all’elaborazione delle buste paga) sia nel caso di collaborazioni parziali (pensiamo, ad esempio, alla raccolta dei dati di possibili donatori affidata dalle ONLUS a società specializzate), il titolare del trattamento deve fare in modo che il coinvolgimento di terzi avvenga con regole chiare e responsabilità definite.

L’affidamento a terzi non può essere fatto a cuor leggero ma presuppone una serie di verifiche preliminari, a carico del Titolare, relativamente alla competenza e alla sicurezza offerta dal soggetto scelto.

Il terzo deve essere inoltre nominato, mediante atto formale, Responsabile del trattamento. La nomina riporta informazioni dettagliate sugli obblighi assunti e sul rapporto che lega le due parti e l’accordo è formalizzato mediante un contratto o un atto giuridico, che  contiene una descrizione dettagliata delle attività di trattamento che saranno svolte dal Responsabile esclusivamente dietro istruzione documentata del Titolare.

Il Responsabile dovrà garantire che le persone autorizzate a trattare i dati personali si siano impegnate alla riservatezza e dovrà impegnarsi a non affidare ad altri Responsabili specifiche attività di trattamento senza la preventiva autorizzazione del Titolare. Eventuali affidamenti a cascata dovranno essere formalizzati sulla base di contratto o atto giuridico che contenga gli stessi obblighi, in materia di protezione dati, sottoscritti dal terzo con il Titolare.

Il Responsabile ha l’obbligo di cancellare o restituire i dati in suo possesso al termine delle attività di trattamento effettuate per conto del Titolare e di assisterlo nel dare seguito alle richieste per l’esercizio dei diritti dell’interessato; tra le altre cose, deve garantire la sicurezza del trattamento e collaborare per la notifica di violazioni dei dati personali.

Il Responsabile, inoltre, può incorrere in sanzioni amministrative rilevanti in caso di violazioni degli obblighi previsti dalla normativa.

… (continua)

PILLOLE PRIVACY N° 11 – STRUMENTI E METODI

Pillola 11

IL REGISTRO DEI TRATTAMENTI

PROTEGGERE I DATI, CONSERVARLI E CANCELLARLI.

Le scelte in merito al livello di protezione necessario per rendere sicuro il trattamento dei dati personali sono molto importanti.

Il tema della sicurezza e della misure di protezione tecniche e organizzative è molto complesso e non può essere esaurito in poche righe.

Quello che ci interessa sottolineare è che la sicurezza del trattamento è fatta di tante componenti, la cui criticità e rilevanza strategica variano in funzione del modo di funzionare  dell’organizzazione e del contesto in cui opera.

Coloro che, per esempio, raggiungono i propri clienti attraverso un sito dedicato e svolgono il proprio business essenzialmente attraverso internet, dovranno porre particolare attenzione alle scelte relative alla infrastruttura di rete e all’architettura IT (hardware e software) necessarie a garantire un trattamento sicuro; coloro che , al contrario, utilizzano la tecnologia limitatamente ad alcuni ambiti e funzioni (pensiamo, per esempio, a una scuola) dovranno porre la massima attenzione soprattutto alla organizzazione del lavoro e alla instaurazione di comportamenti “virtuosi” di tutte le parti coinvolte nel trattamento.

Le scelte in merito alle migliori modalità di conservazione dei dati sono, anch’esse, fortemente dipendenti dal contesto in cui opera il titolare del trattamento.

È possibile, per esempio, separare i dati sanitari o altre informazioni sensibili dai dati comuni, utilizzando archivi diversi e protezioni specifiche (quali ad esempio crittografia o pseudonimizzazione) per ridurre i rischi legati a possibili violazioni dovute a intrusioni o comportamenti scorretti.

È invece richiesto dal Regolamento, e perciò obbligatorio, rispettare i termini di cancellazione dei dati personali dichiarati nelle informative.

Capita spesso che i dati, archiviati elettronicamente o in cartaceo, non siano cancellati. In alcuni casi, i titolari non sanno neanche quali siano esattamente i dati di cui sono in possesso e in quali archivi si trovino. Questo, con il Regolamento, non sarà più possibile.

… (continua)

PILLOLE PRIVACY N° 10 – STRUMENTI E METODI

PILLOLA 10

IL REGISTRO DEI TRATTAMENTI

Per molte aziende, la compilazione del Registro dei trattamenti non sarà un obbligo.

Tuttavia, consigliamo a ogni organizzazione, indipendentemente dalla dimensione e dal settore di mercato in cui opera, di predisporlo.

È un’ottima occasione per mettere ordine. Si ha in questo modo la possibilità di dotarsi di una mappa che contiene tutte le informazioni in merito alle caratteristiche delle operazioni effettuate e alle entità coinvolte nel processo.

La mappa così costruita, che dovrà essere aggiornata e mantenuta nel tempo per riflettere eventuali variazioni, permette, in qualunque momento, di avere un quadro chiaro in merito ai dati personali trattati dall’azienda e di avere a disposizione tutte le informazioni pertinenti in un unico documento; se consideriamo i dati personali un asset aziendale, al pari degli strumenti tecnologici che permettono di svolgere le attività di lavoro, il Registro dei trattamenti è, a pieno titolo, un “registro degli asset”.

In ogni caso, anche se decidessero di non compilare fisicamente il Registro, il Regolamento richiede alle organizzazioni di:

  • fare un censimento dei dati trattati, identificandoli in base alla categoria;
  • identificare le categorie di interessati al trattamento;
  • avere una chiara rappresentazione di come i dati sono elaborati, protetti, archiviati ed eliminati;
  • indicare il luogo di conservazione fisica degli archivi, verificando che gli eventuali trasferimenti di dati personali avvengano nel rispetto delle garanzie previste per legge.

Che il Titolare e l’eventuale Responsabile del trattamento siano a conoscenza di queste informazioni è dato per scontato; per questo, dovendo mettere mano all’impresa, la compilazione del Registro è veramente l’ultima delle incombenze!

Vedremo dunque, in modo molto sintetico, quali sono i passi necessari ad acquisire le informazioni che i soggetti che svolgono attività di trattamento devono obbligatoriamente possedere.

  • CLASSIFICAZIONE E INVENTARIO DEI DATI PERSONALI.

L’inventario dei dati personali oggetto di trattamento richiede una ricognizione puntuale delle informazioni in possesso dell’organizzazione.

È possibile effettuarlo intervistando, anche con l’utilizzo di appositi questionari, tutte le funzioni aziendali che effettuano operazioni di trattamento. È molto utile, in questa fase, farsi supportare dal responsabile IT o dai responsabili dei diversi ambiti applicativi, che hanno la visione dei flussi e dei processi che insistono sulle stesse basi di dati.

Non è sufficiente classificare i dati personali in base alla loro tipologia (dati comuni, dati relativi alla salute, dati biometrici) ma bisogna stabilire a chi si riferiscono (clienti, dipendenti, terzi esterni, imprese facenti parti dello stesso gruppo, associati), dove siano conservati (luogo fisico, sistemi IT e device) e dove siano fisicamente effettuate le operazioni di trattamento.

Per ciascuno di questi elementi – categorie di dati, categorie di interessati, luogo di conservazione, luogo di trattamento – sarà inoltre necessario verificare l’esistenza delle condizioni di legittimità del trattamento effettuato.

… (continua)