LE SANZIONI DEL GARANTE A TIM – ALCUNI SPUNTI – 6

VERIFICHE E IMPEGNO COSTANTE DELL’INTERA ORGANIZZAZIONE

Con il trascorrere del tempo, è necessario sottoporre i processi interni a verifiche per controllare che le misure tecniche e organizzative in essere per tutelare i diritti e le libertà degli interessati svolgano il loro ruolo in maniera soddisfacente.

Le esigenze cambiano, il business cambia, la realtà pone continuamente nuove sfide; il livello di protezione dei dati personali deve essere adeguato ai tempi, alle innovazioni tecnologiche, alle mutate necessità.

I controlli possono essere stabiliti su base periodica o possono essere effettuati su base specifica, per esempio a seguito di un evento o di una criticità emersa); possono essere svolti in proprio dall’organizzazione o avvenire con l’ausilio di un professionista specializzato.

È molto importante che l’intera organizzazione, nel tempo, acquisisca consapevolezza sull’importanza del tema e sia parte attiva nel miglioramento continuo che bisogna profondere per proteggere dati e trattamenti.

Le aziende hanno un ruolo delicato e molto importante da svolgere: favorire un cambiamento culturale in un mondo che considera i dati personali principalmente come una fonte di arricchimento. Intendiamoci, non c’è niente di male, purché il tutto avvenga all’interno delle regole che l’unione europea ha deciso di darsi.

FINE

LE SANZIONI DEL GARANTE A TIM – ALCUNI SPUNTI – 5

LE PROCEDURE

Un modello di business B2C, proprio per il fatto di rivolgersi a una platea diffusa di individui, richiede quindi una grande attenzione al governo dei processi; gli errori sono sempre dietro l’angolo, anche in un’organizzazione perfettamente strutturata, e bisogna cercare di ridurli a monte.

A cosa servono le procedure? A descrivere come deve comportarsi l’organizzazione – o una parte di essa – in determinate circostanze, che possono essere le più diverse.

Una procedura può ad esempio servire per spiegare come si effettua la lavorazione di un prodotto, come si contattano i clienti, come si selezionano i fornitori; tutti coloro che, all’interno di un’organizzazione, sono interessati a quel particolare ambito (produzione del prodotto, contatto con la clientela, selezione dei fornitori) hanno a disposizione un documento che descrive i passi da compiere, le funzioni coinvolte, le relativa responsabilità e le modalità di gestione di eventuali criticità.

Adottare una procedura significa diffonderla all’interno della propria organizzazione per assicurarsi che, indipendentemente dal fatto che una determinata attività sia effettuata da un individuo o da un altro, le operazioni si svolgano con le stesse modalità e seguano le regole che l’impresa si è data.

Indipendentemente dal modello di business adottato, quindi, le procedure sono un alleato prezioso del vertice aziendale perché permettono di raggiungere risultati pre-determinati in un determinato ambito di attività.

Anche la protezione dei dati personali richiede l’adozione di procedure specifiche.

Al di là dei documenti che l’organizzazione, su base volontaria, può decidere di predisporre per un miglior governo di alcuni processi chiave – pensiamo per esempio a una azienda sanitaria e alla possibile decisione di dedicare procedure specifiche ad alcuni trattamenti di dati personali particolarmente rischiosi – esistono procedure di carattere più generale che devono essere considerate obbligatorie e che qualunque tipo di organizzazione deve adottare se vuole essere conforme.

È il Regolamento europeo a dettare le regole da rispettate per la gestione delle richieste che gli interessati sottopongono al titolare del trattamento e per la notifica all’autorità di controllo e, se necessario, agli interessati, di eventuali violazioni di dati personali, stabilendo i tempi massimi entro i quali l’organizzazione coinvolta deve procedere.

È perciò necessario predisporre procedure adeguate al governo di questi due importanti aspetti del Regolamento europeo: la gestione delle richieste degli interessati e la gestione delle violazioni di dati personali.

Le indicazioni per il governo dei relativi processi potranno essere estremamente sintetiche o dettagliate e il loro contenuto rifletterà le specifiche dimensioni e complessità del sistema che si deve tenere sotto controllo; in ogni caso, esse dovranno identificare e assegnare in modo certo le responsabilità assegnate alle funzioni aziendali coinvolte. Dovranno inoltre:

  • definire un sistema di tracciatura degli eventi (una richiesta ricevuta da parte di un interessato o un sospetto di violazione);
  • illustrare le modalità di classificazione degli eventi medesimi;
  • identificare i passi necessari a chiudere gli eventi nei tempi e con le modalità previste dalla normativa.

Se opportuno, le procedure dovranno essere condivise con eventuali soggetti terzi ai quali l’organizzazione ha delegato parte dei propri trattamenti; la mancata implementazione di procedure adeguate al governo dei processi (ad esempio “la gestione delle istanze di esercizio dei diritti degli interessati”) è stato uno dei principali punti di debolezza del sistema di gestione dei dati personali oggetto di verifica.

Il contenuto di questi documenti deve essere coerente con le procedure pre-esistenti e con le politiche socetarie e non deve essere in contrasto con le prassi operative effettivamente seguite nello svolgimento delle attività.

A proposito di violazioni di dati personali, entriamo per un attimo nei dettagli del provvedimento.

Pare incredibile che il DPO – la funzione deputata a offrire supporto e consulenza al titolare per ogni tema relativo alla protezione dei dati personali – abbia ricevuto informazione su un data breach a distanza di mesi dall’evento! La normativa impone al titolare del trattamento di assicurarsi che il responsabile della protezione dei dati sia coinvolto in ogni questione riguardante la protezione dei dati personali, tempestivamente e adeguatamente.

Non c’è alcun dubbio che un data breach sia una “questione” importante che merita di essere portata all’attenzione del DPO; e non c’è dubbio che l’avverbio tempestivamente stia ad indicare un intervallo di tempo estremamente breve, considerando che la notifica della violazione all’autorità di controllo deve avvenire entro le 72 ore successive alla constatazione del fatto.

Minuti o ore, quindi: di sicuro non mesi! Ma se le procedure non ci sono o non sono adeguate, se le responsabilità non sono declinate in modo chiaro, è facile che qualcosa si inceppi. Non necessariamente per cattiva volontà di chi opera, più probabilmente per una mancata capacità dell’organizzazione di comunicare al suo interno le priorità e i comportamenti da adottare.

Un altro pilastro molto importante della protezione dei dati deve trovare un’opportuna collocazione nell’alveo dei documenti di cui stiamo parlando.

SI tratta del principio di privacy by design e by default, che il titolare deve obbligatoriamente rispettare per integrare in tutti i trattamenti le garanzie necessarie a tutelare “a monte” i diritti degli interessati; nella pratica, si tratta di adottare specifiche misure tecniche e organizzative (qui entrano in gioco le procedure) che entrano in gioco sia nel momento di determinare i mezzi del trattamento (prima) sia all’atto del trattamento (durante). 

In poche parole, i processi di trattamento e le applicazioni informatiche che li abilitano devono essere strutturati in modo tale da garantire “intrinsecamente e nativamente”, per così dire, il rispetto della normativa sulla protezione dei dati personali.

Questo vale per la quantità e la qualità dei dati raccolti (che devono essere solo quelli strettamente necessari alla finalità di trattamento), per la loro conservazione temporale, per la loro sicurezza e protezione e per l’accessibilità, affinché solo il personale autorizzato possa entrarvi in contatto.

Il principio di privacy by design & by default deve essere soddisfatto non solo per quanto riguarda i trattamenti e gli strumenti correnti ma anche da quelli futuri. Nuovi prodotti e nuovi servizi devono quindi essere progettati fin dalle primissime fasi nel rispetto dei principi e dei vincoli imposti al titolare del trattamento dalla normativa sulla protezione dei dati.

Bisogna darsi delle regole e bisogna adoperarsi affinché tutta l’organizzazione le conosca e le applichi quando è necessario.

La struttura o la persona che si occupa della protezione dei dati personali – sia essa il DPO o un referente interno – affiancherà quindi la direzione strategica, il marketing, l’IT, l’ufficio legale, la direzione ricerca e sviluppo ogni qual volta si verifichi l’opportunità di apportare modifiche ai processi di trattamento esistenti o di progettarne di nuovi e darà il proprio contributo.

Solo adottando regole di comportamento stringenti si può evitare di “andare in onda” senza l’adeguata preparazione. La preparazione che può servire per evitare di scivolare sulla classica buccia di banana.

IL CASO DELLA RACCOLTA DI INFORMAZIONI SULLA SALUTE DI DIPENDENTI E VISITATORI AI TEMPI DEL  CORONAVIRUS.

La prima domanda è: perché?

Perché associazioni prestigiose di rilevanza nazionale invitano i propri iscritti a raccogliere informazioni sulla salute dei propri dipendenti e visitatori e sui loro spostamenti, raccomandando loro di inserire nel modulo di raccolta, in qualità di titolari del trattamento, la propria “dichiaratoria privacy”?

Prima di procedere con un nuovo trattamento, sarebbe stato opportuno porsi alcune semplici domande:

  • quali sono le finalità del trattamento e la relativa base giuridica? È lecito raccogliere questi dati e per quale scopo?
  • chi sono gli interessati e con quali modalità avviene il trattamento?
  • quali sono le misure di sicurezza tecniche e organizzative messe in atto per tutelare diritti e libertà degli interessati?
  • per quanto tempo tratto i dati e come li conservo? Come li elimino?
  • dopo aver raccolto i dati, li trasmetto a qualcuno o li trattengo? Per fare cosa?

Si trattava molto evidentemente di raccogliere dati relativi alla salute e, giusto per ricordarlo, il trattamento di questa tipologia di dati è generalmente vietato ed è possibile solo se ricorrono particolari condizioni; si trattava di un trattamento diverso quelli usualmente svolti dalle aziende e che, in assenza di leggi specifiche – in quel momento non emanate – solo un medico avrebbe potuto effettuare.

Essendo questo un trattamento “nuovo”, l’esistenza di una procedura per il rispetto del principio di privacy by design & by default avrebbe consentito di comprendere immediatamente che il trattamento non era consentito (come poi comunicato dal Garante lo scorso 2 marzo).

È che a volte gli eventi hanno il sopravvento e prendono la mano; se non c’è un’attenzione consolidata ai temi della protezione dei dati personali, anche con le migliori intenzioni, si rischia di strafare.

Anche a questo servono le procedure, a mantenere nel tempo comportamenti virtuosi e a guidare le azioni delle organizzazioni in tempi difficili.

… continua …

LE SANZIONI DEL GARANTE A TIM – ALCUNI SPUNTI – 4

TRASPARENZA E CHIAREZZA

Sembra facile, scrivere un’informativa chiara e trasparente…

Ci sono a disposizione tanti modelli e svariati esempi in internet. Con un uso sapiente del “copia e incolla”, ci si può arrangiare: questa, almeno, l’idea di molti.

Non è così. Anche l’Autorità Garante, nel provvedimento in esame, ha in più punti rilevato una carenza di informazioni (mancanza di chiarezza e trasparenza) e l’incoerenza di alcuni contenuti dell’informativa con la reale operatività dell’organizzazione.

Per scrivere una buona informativa, è necessario aver chiari una serie di elementi fondamentali che riassumiamo:

  1. le categorie di persone coinvolte (ad esempio clienti, studenti, candidati all’impiego, dipendenti …)
  2. le categorie di dati personali trattate
  3. lo scopo delle operazioni di trattamento (emissione di fatture, pagamento di stipendi o parcelle, valutazione di esperienze professionali, controllo degli ingressi nella sede di lavoro…)
  4. la base giuridica che rende legittimo effettuare le operazioni di trattamento (e ricordiamo che il trattamento di categorie particolari di dati o di dati relativi a condanne penali e/o reati è consentito solo se esiste una norma che lo permetta)
  5. le conseguenze sull’interessato del mancato conferimento dei dati
  6. l’eventuale trasferimento in paesi terzi dei dati personali e le garanzie che permettono di effettuarlo
  7. i tempi di conservazione dei dati
  8. le categorie di destinatari dei dati
  9. la consapevolezza che, qualora sia stato richiesto il consenso per effettuare un trattamento, l’interessato ha sempre la possibilità di revocarlo.
  10. i diritti che la normativa riconosce agli interessati in merito ai propri dati devono essere rispettati nei tempi e nei modi previsti.

Spendiamo due parole su alcuni dei punti in elenco, così da comprenderne pienamente le implicazioni.

Punti 3 e 4: La finalità del trattamento deve essere prima individuata e poi illustrata con chiarezza agli interessati, corredata del riferimento alla appropriata base giuridica. Se un trattamento è complesso, è opportuno scomporlo nei processi che concorrono a determinare le finalità che lo hanno generato.

Per fare un esempio concreto, basti pensare ad alcuni dei trattamenti che un datore di lavoro effettua sui dati dei propri dipendenti. Alcuni trattamenti si rendono necessari per adempiere agli obblighi che la legge pone in capo al datore di lavoro (es.: pagare i contributi da lavoro dipendente); altri trattamenti sono relativi alla corretta esecuzione del contratto stipulato con il lavoratore (es.: pagare lo stipendio); altri trattamenti ancora potrebbero dipendere dalla necessità di tutelare un interesse legittimo del datore di lavoro (es. la sicurezza delle sedi e quindi la videosorveglianza perimetrale o la registrazione degli accessi).

È solo un esempio, parziale, del lavoro di “scomposizione” che è opportuno fare per acquisire chiarezza; la stessa chiarezza con la quale l’organizzazione, al momento dell’assunzione, informerà i propri dipendenti del trattamento. Un lavoro non difficile ma delicato, che deve essere svolto con attenzione, avendo sempre in mente che ogni trattamento deve rispettare il principio di necessità (si raccolgono e si trattano solo i dati strettamente indispensabili).

Se il metodo è applicato correttamente, l’organizzazione non si troverà nella spiacevole situazione di:

  • individuare in modo inappropriato le basi di legittimità del trattamento, anche sovrapponendole tra loro. Attenersi all’equazione 1 finalità à 1 base giuridica è sempre la scelta migliore;
  • predisporre un unico modulo di consenso che raggruppa finalità che dovrebbero essere distinte e separate;
  • utilizzare informative vecchie e non aggiornate (o nelle quali i vecchi articoli del Codice Privacy sono stati sostituiti dai nuovi articoli del Regolamento europeo);
  • scoprire a posteriori di non aver fornito l’informativa o di essersi dimenticati di alcune operazioni di trattamento.

Eventuali legittimi interessi perseguiti devono essere esplicitati a monte e non definiti a posteriori; lo specifica anche il provvedimento in esame, chiarendo che “il titolare del trattamento non può …. ricorrere retroattivamente alla base dell’interesse legittimo …

Punto 6: Se un’organizzazione delega parte dei propri processi a fornitori e a consulenti, deve sapere in quale paese del mondo questi svolgeranno le operazioni di trattamento. Ricordando che il trattamento include la conservazione e l’archiviazione dei dati, è intuitivo comprendere che è un “trasferimento” di dati anche la loro semplice archiviazione in una piattaforma cloud. L’utilizzo del cloud (qualunque sia il modello di servizio prescelto) è sempre più diffuso; il titolare del trattamento deve sapere dove sono “localizzati” i propri dati e deve condividere questa informazione con gli interessati. E se i dati non sono all’interno dello spazio economico europeo, l’organizzazione deve fare un’altra verifica in merito all’esistenza di garanzie adeguate al trasferimento e deve renderle note agli interessati.

Punto 7: Nel chiedersi per quanto tempo sia lecito conservare i dati nei propri archivi, informatici o cartacei, l’organizzazione deve valutare la propria situazione reale. Prima di scrivere che conserverà i dati per 10 anni dalla cessazione di un contratto o di un servizio, l’organizzazione deve preventivamente verificare che, in nessun caso, sia possibile trovare nei propri archivi dati “scaduti” (per dimenticanza o per mancata attivazione di procedure tecniche e organizzative che consentano di eliminarli). Non è infatti possibile, a causa di una propria incapacità, trattenere i dati oltre termini ragionevoli o i limiti previsti dalla legge. Cosa bisogna fare, quindi, qualora non sia prevista una “pulizia” periodica degli archivi? Bisogna attivarsi affinché una effettiva cancellazione dei dati dai propri archivi avvenga nel rispetto dei tempi stabiliti. L’eventuale discrepanza tra termini dichiarati e capacità di rispettarli non può essere nascosta o ignorata. Il titolare farà bene a documentare (per iscritto!) lo scostamento rilevato e le azioni che intende predisporre per risolvere il disallineamento, sulla base di un piano di miglioramento che dovrà essere monitorato.

Punto 8: Chi sono i destinatari dei dati? Sono tutti i soggetti esterni all’organizzazione che ricevono da questa i dati personali (in tutto o in parte).

In alcuni casi, si tratta di soggetti che effettuano trattamenti per finalità loro proprie e che sono quindi, a tutti gli effetti, altri titolari del trattamento: è il caso per esempio di alcuni enti (pensiamo a INPS o a INAIL) a cui il datore di lavoro invia dati dei propri dipendenti. In altri casi, si tratta di soggetti (tipicamente fornitori e consulenti) che svolgono trattamenti per conto del titolare mediante un atto formale di delega, che può riguardare interi processi aziendali (per esempio l’elaborazione dei cedolini stipendi) o una loro parte (la gestione di una applicazione informatica).

Stiamo parlando dei responsabili del trattamento, a proposito dei quali non finiremo mai di ribadire che:

  • l’accordo per il trattamento sottoscritto tra titolare e responsabile del trattamento è un documento fondamentale, senza il quale le operazioni di trattamento non possono essere svolte;
  • le istruzioni fornite dal titolare al responsabile del trattamento per le operazioni di trattamento delegate sono parte dell’accordo e devono essere scritte con attenzione, in modo che siano aderenti alla realtà operativa esistente tra le due entità e che non presentino elementi di contrasto con le procedure e le politiche del titolare (e del responsabile).

Non è opportuno utilizzare formulazioni generiche e de-contestualizzate; non ha senso limitarsi in modo asettico ad elencare gli obblighi previsti dall’articolo 28 del Regolamento europeo, senza alcun riferimento alle modalità di collaborazione reali tra le due entità coinvolte.  

Il provvedimento sanzionatorio che ha dato spunto a queste riflessioni ha evidenziato l’esistenza di una disciplina contrattuale non adeguata e la mancanza di istruzioni per la gestione di alcuni particolari aspetti operativi, che hanno portato l’Autorità ad ipotizzare addirittura l’esistenza di un rapporto di contitolarità tra le parti (l’azienda e i suoi fornitori). Se ne può dedurre, dunque, che un accordo per il trattamento di dati personali non curato e non adeguato al contesto specifico è spesso fonte di equivoci e di problemi. Vale senz’altro la pena dedicarci il giusto livello di attenzione.

Punto 9: sul consenso e la sua revoca non si scherza. Se si è stabilito che il consenso è la base giuridica più adatta per effettuare un trattamento, è necessario dotarsi di procedure interne per gestirlo in modo conforme alla normativa. Questo vuol dire che l’organizzazione ha in ogni momento sotto controllo l’elenco dei consensi prestati (disponibile in un apposito archivio, cartaceo o informativo, anche mediante estrazione di appositi campi da un DB) e che è in grado di modificare prontamente ogni variazione del loro stato, registrando in modo tempestivo eventuali richieste o ripensamenti dei propri interessati; nessuna delle operazioni di trattamento effettuate sui dati a fronte della concessione del consenso può infatti includere dati di coloro che, invece, il consenso al trattamento non l’hanno concesso. Sono soprattutto le organizzazioni che adottano modelli di business B2C, con clientela diffusa, a dover fare attenzione. Perché se le segnalazioni arrivano, l’autorità di controllo non potrà esimersi dal verificare.

… continua …

LE SANZIONI DEL GARANTE A TIM – ALCUNI SPUNTI – 3

EVIDENZE DOCUMENTATE

La capacità di comprendere e di descrivere quello che si fa, motivandolo, è essenziale nel campo della protezione dei dati personali.

La mancanza di una comprensione “a monte” ingenera disordine e processi non adeguatamente governati. Inoltre, rende impossibile soddisfare compiutamente, nel caso ce ne fosse bisogno, eventuali richieste dell’Autorità di Controllo.

L’incapacità di quantificare le chiamate fuorilista o di fornire l’elenco delle numerazioni contattate, le divergenze tra le black list fornite ai call centre e quelle effettivamente utilizzate o anche l’incapacità di provare le attività di verifica verso il Registro delle opposizioni oppure l’acquisizione di un valido consenso a fini promozionali; sono tutti elementi che hanno pesato nella determinazione della sanzione a TIM.

È una buona abitudine quella di documentare i propri processi, molte organizzazioni lo fanno e non è il caso di spenderci troppe parole; meno ovvia è, invece, la necessità di documentare le decisioni prese in merito ai trattamenti di dati personali.

Spesso questa documentazione è carente, oppure è incompleta o, peggio ancora, inesistente.  

Facciamo qualche esempio.

L’utilizzo del legittimo interesse come base giuridica di un trattamento presuppone che il titolare abbia effettivamente valutato gli interessi delle parti (ad esempio quelli del titolare e quelli degli interessati) e ne abbia effettuato il bilanciamento.

È necessario lasciare traccia scritta delle valutazioni effettuate (documentare), non solo perché è un obbligo ma anche perché il materiale rimane a disposizione per eventuali future consultazioni o miglioramenti dei processi. Chiunque dovesse occuparsi in futuro della protezione dei dati personali potrà avere evidenza dei ragionamenti e delle conclusioni tratte, senza dover ricominciare il lavoro da capo.

Lo stesso identico ragionamento deve esser fatto per un altro documento che è spesso assente nelle organizzazioni: l’analisi dei rischi connessi a dati e trattamenti. È sempre opportuno ricordare che questa valutazione deve essere effettuata mettendosi “nei panni degli interessati” e non in quelli dell’organizzazione.

Anche il documento di valutazione dei rischi in merito ai dati personali e al loro trattamento, quindi, deve esistere. Esso richiede revisioni e aggiornamenti periodici, perché le minacce mutano e i contesti operativi si evolvono nel tempo.

L’Autorità di Controllo, nel caso di indagini o di visite ispettive, può chiedere di visionare i documenti e ha ovviamente il diritto di entrare nel merito.

Cosa bisogna, dunque, documentare?

Dando per scontato che i documenti obbligatori – cioè quelli specificamente previsti dalle norme – siano presenti e disponibili a richiesta, ogni informazione (decisioni prese, processi, valutazioni, consensi, accordi con i fornitori …) in merito ai trattamenti di dati personali svolti dall’organizzazione che permetta di comprenderne gli aspetti chiave deve essere disponibile e facilmente reperibile

Ad esempio, qualora le espressioni di consenso siano raccolte con modalità cartacea, è importante sapere “dove” sono conservate e a cura di quale funzione; allo stesso modo, devono essere identificabili con certezza le eventuali liste di contatto utilizzate per le campagne di marketing nonché i criteri che hanno determinato la loro composizione. O anche, qualora l’organizzazione tratti dati personali per perseguire un proprio legittimo interesse, è opportuno conservare traccia delle considerazioni che hanno portato all’individuazione di questa specifica base giuridica.

Organizzazioni, grandi e piccole, faranno bene a mettere in piedi un sistema di gestione della documentazione, così da esser certi di conservare le evidenze in modo coerente e, all’occorrenza, di poterle individuare con sicurezza.

LE SANZIONI DEL GARANTE A TIM – ALCUNI SPUNTI – 2

IL CONTROLLO DELLA FILIERA

Imprese e organizzazioni hanno l’obbligo di interessarsi al “destino” dei dati personali che raccolgono e utilizzano per svolgere la propria attività.

Quando i titolari del trattamento – coloro, cioè, che ne determinano finalità e mezzi – delegano, in tutto o in parte, le proprie attività ad altri soggetti (i responsabili del trattamento, che agiscono in loro nome e per loro conto), non possono e non devono disinteressarsi del destino dei dati.

Per questo, devono affidarsi a soggetti che dal punto di vista organizzativo e tecnico sono in grado di garantire che i trattamenti saranno svolti, per così dire, a regola d’arte; devono, inoltre, istruirli e controllarli, anche mediante audit mirati, con il duplice obiettivo di verificare nel tempo il corretto recepimento delle istruzioni ricevute e l’adeguatezza delle misure di sicurezza adottate.

È perciò altamente sconsigliabile non “regolarizzare” il rapporto in essere con i propri clienti e/o fornitori. I contratti di servizio esistenti devono essere emendati con opportune clausole o integrati da uno specifico accordo che regolamenti i trattamenti delegati di dati personali (a cui per brevità ci riferiremo con il termine DPA, dall’inglese Data Processing Agreement).

Non si tratta di eccezioni né di casi sporadici. Ancora oggi molti, semplicemente, non si sono posti il problema; altri, invece, rimandano, spaventati dal fatto di assumersi per iscritto importanti responsabilità. Per inciso, le responsabilità esistono indipendentemente dalla sottoscrizione della DPA.

Non regolamentare il rapporto tra titolare e responsabile del trattamento è una scelta che può avere importanti conseguenze in quanto, se non sostenuto da un atto giuridico, il trattamento si configura come illecito, con conseguenze ancora peggiori.

Questo non è sempre chiaro, sembra; così come non sempre è chiaro il rispetto della legge è un obbligo di tutti gli attori del trattamento, non una concessione che il responsabile del trattamento fa al titolare a fronte del pagamento di un corrispettivo.

A meno di motivazioni specifiche e di situazioni particolari, le spese eventualmente sostenute dal fornitore per il recepimento della normativa non rilevano; coloro che condizionano la firma del DPA al pagamento di una cifra in denaro per assicurare la conformità dimostrano di non aver compreso le proprie responsabilità.

È allo stesso modo sconsigliabile utilizzare modelli standard di DPA, da personalizzare inserendo semplicemente i propri dati anagrafici e quelli del fornitore, per redigere l’accordo di trattamento.

La definizione delle attività e le istruzioni sono legate allo specifico contesto e un atto stipulato sulla base di una declaratoria di responsabilità standardizzata non tutela né il titolare né il responsabile del trattamento; è importante che il DPA rifletta la situazione reale dei processi delegati, anche perché sarà sulla base del suo contenuto e delle responsabilità ivi descritte che saranno valutate eventuali sanzioni amministrative.

Inoltre, è bene che la “catena dei trattamenti”, inclusi eventuali sub-responsabili coinvolti per l’esecuzione di parti del processo, sia chiara fin dall’inizio, proprio nell’ottica della trasparenza. Titolare e responsabile del trattamento devono collaborare e condividere ogni informazione rilevante per poterne rispondere in modo documentato.

Nel caso che stiamo esaminando, è stato rilevato che i testi contrattuali presentavano alcune carenze sia nella determinazione dei processi consentiti sia nella definizione delle misure tecniche e organizzative da adottare in relazione ad alcune categorie di dati.

Il consiglio, quindi, è di prestare la dovuta attenzione a questo aspetto.

In merito ai dati personali, sapere “chi” è autorizzato a fare “cosa” e “come” è autorizzato a farlo – sia al proprio interno che esternamente – è obbligatorio.

Quando gli elementi del trattamento e le informazioni pertinenti prendono forma nero su bianco nel DPA, ci si accorge di quanto sia poco opportuno lavorare con il “copia e incolla” per costruire un documento accettabile. Se è importante semplificare, agire con superficialità non paga.

… continua …

LE SANZIONI DEL GARANTE A TIM – ALCUNI SPUNTI – 1

Sono stati molti i commenti sulla sanzione erogata a TIM dall’Autorità Garante con il provvedimento dello scorso mese di gennaio (doc. web n. 9256486): trascorso un po’ di tempo dalla pubblicazione della notizia, vogliamo condividere qualche riflessione.

Il provvedimento è molto dettagliato e di complessa lettura e noi non intendiamo entrare più di tanto nel merito delle singole violazioni contestate. È probabile che la gran parte dei rilievi emersi nei confronti di TIM potrebbero, senza troppa difficoltà, applicarsi con poche differenze a molte situazioni.

Intendiamo invece soffermarci sugli aspetti a nostro avviso più importanti che, al di là delle specifiche violazioni e dei rilievi puntuali, offrono spunti di riflessione di portata più ampia e che possono essere utili a imprese ed enti che hanno affrontato (o credono di averlo fatto) il percorso di conformità alle rinnovate norme sulla protezione dei dati.

Analizziamo i macro-temi che attraversano il provvedimento con l’obiettivo di evidenziare gli aspetti sostanziali che non devono essere trascurati quando un’organizzazione si appresta a rivedere la propria protezione dei dati personali alla luce delle norme vigenti.

Analizziamo i macro-temi che attraversano il provvedimento con l’obiettivo di evidenziare gli aspetti sostanziali che non devono essere trascurati quando un’organizzazione si appresta a rivedere la propria protezione dei dati personali alla luce delle norme vigenti.

ACCOUNTABILITY

Il principio di accountability, come è ormai noto, impone al titolare del trattamento un’assunzione di responsabilità concreta nei confronti dei dati conservati e/o trattati e dei trattamenti.

Non si tratta di un principio astratto o puramente teorico ma di qualcosa di estremamente concreto.

È fondamentale farsene una ragione e operare in modo consapevole con interventi adeguati e responsabili.

In relazione al provvedimento citato, facciamo riferimento, in particolare, alla necessità di:

  • controllare tutta la “filiera” dei trattamenti, di quelli svolti in proprio e di quelli delegati;
  • implementare prassi gestionali condivise con tutti gli attori della filiera del trattamento, in modo da limitare l’adozione di prassi scorrette;
  • prendere coscienza del fatto che le azioni che i responsabili del trattamento intraprendono in mancanza di istruzioni ricevute dal titolare ovvero i loro comportamenti, quando sono difformi dalle istruzioni fornite, possono essere sintomi di una mancata vigilanza o di una “culpa in eligendo” del titolare del trattamento;
  • redigere accordi per il trattamento chiari e dettagliati con i propri clienti e/o fornitori;
  • comprendere che trarre indebito profitto da comportamenti al limite o da trattamenti non previsti dalle proprie politiche è illegittimo e sanzionabile;
  • essere capaci di comprovare il rispetto della normativa e di documentarlo con evidenze oggettive;
  • adottare procedure per il governo di processi “chiave” (gestione delle richieste degli interessati – gestione delle violazioni di dati personali – privacy by design) che consentano di rispettare le tempistiche di risposta / notifica previste dalle norme;
  • poter dimostrare di aver effettuato un bilanciamento degli interessi (il proprio e quello degli interessati, ad esempio) prima di procedere con un trattamento basato, appunto, sul legittimo interesse;
  • individuare con coerenza le basi giuridiche e rappresentarle in modo chiaro e trasparente nei documenti di informativa;
  • intervenire sulle carenze organizzative che possono lasciare spazio a comportamenti negligenti e/o dolosi;
  • verificare che i tempi dichiarati di conservazione dei dati e i principi fondamentali del trattamento siano recepiti correttamente dai sistemi automatizzati utilizzati per archiviare e trattare i dati personali;
  • assicurarsi che ogni sviluppo / modifica ai processi tenga conto della protezione dei dati in modo “nativo”.

… continua …