IL DATA PROTECTION MANAGEMENT SYSTEM

Questo è il primo di tre articoli dedicati al Data Protection Management System (DPMS) descritto nel libro “Conoscere e implementare la privacy”, pensato per consulenti, imprese, enti e responsabili della protezione dei dati che, entro il mese di maggio 2018, dovranno adeguare i trattamenti dei dati personali alle prescrizioni del Regolamento europeo UE 2016/679.

Il DPMS proposto è basato sulle indicazioni della norma ISO 29100 ed è modellato tenendo sempre presenti gli obblighi imposti dal Regolamento ai Titolari o ai Responsabili.

La norma ISO 29100 non fa riferimento esplicito alla necessità di implementare un sistema di gestione; tuttavia, al fine di adottare un modello (“framework”) per la protezione dei dati personali efficace e in grado di migliorare nel tempo, abbiamo scelto di affrontare questo tema con l’approccio usualmente utilizzato per implementare un sistema di gestione aziendale.

La trattazione si basa sul processo “Plan-Do-Check-Act” (PDCA) (ciclo di Deming), impiegato per strutturare e definire di tutti i processi necessari a un sistema di gestione.

Se l’Input del processo sono le esigenze e le aspettative delle parti interessate (stakeholder) – quali ad esempio clienti, dipendenti, fornitori, azionisti – dopo l’implementazione delle azioni e dei processi necessari a soddisfarle (Attività), avremo come Output il controllo della sicurezza delle informazioni personali che soddisferà appieno le esigenze e le aspettative degli stakeholder.

Le quattro fasi dell’approccio PDCA sono:

Plan (definizione del sistema di gestione): partendo dall’analisi del contesto, si definiscono le politiche, gli obiettivi del sistema e si procede all’analisi dei rischi correlati al trattamento dei dati personali al fine di individuare il perimetro di implementazione del DPMS.

Do (implementazione del sistema di gestione): è la fase in cui si si rappresentano i processi, si stabiliscono i ruoli e le responsabilità, si descrivono le procedure e si definiscono i controlli e le evidenze oggettive (documenti e registrazioni).

Check (monitoraggio e revisione del sistema di gestione): è la fase in cui si valutano e si misurano, attraverso il monitoraggio e gli audit, i processi inerenti la protezione dei dati personali, gli obiettivi e le esperienze pratiche. I risultati sono raccolti e riportati al management per il riesame periodico della direzione.

Act (manutenzione e miglioramento del sistema di gestione): con lo scopo di migliorare continuamente il sistema di gestione, si intraprendono azioni correttive sulla base dei risultati della revisione interna e del riesame della direzione o con l’ausilio di altre informazioni rilevanti.

L’implementazione di un DPMS può produrre benefici all’organizzazione non solo in termini di conformità alle norme e di governance ma anche dal punto di vista del business.

Elenchiamo alcuni di questi benefici.

Conformità: prerequisito indispensabile di un sistema di gestione della protezione dei dati personali è la conformità alle leggi e alle normative nazionali ed europee.

Governance: la definizione di politiche, di processi e di momenti di controllo supporta la creazione di una cultura condivisa e favorisce la sensibilizzazione del personale e la responsabilizzazione del management in materia di protezione dei dati personali.

Business: l’esistenza di un sistema di gestione consolida la fiducia di clienti, fornitori e partner e aumenta il loro grado di soddisfazione nei confronti dell’organizzazione.

Conoscere e implementare la Privacy” può essere ordinato in formato cartaceo al link http://www.youcanprint.it/fiction/business-ed-economia-generale/conoscere-e-implementare-la-privacy-9788892665354.html.

In formato e-pub è disponibile al link www.amazon.it/dp/B071X2V3HR

La prima parte del libro in formato pdf può essere invece richiesta direttamente a: www.privacyinchiaro.it/conoscere-implementare-la-privacy/

Le responsabilità del Data Protection Officer.

Il Data Protection Officer è una figura di garanzia che opera in autonomia e non riceve dal Titolare o dal Responsabile che lo ha designato alcuna istruzione per quanto riguarda la protezione dei dati personali.

È tenuto al segreto o alla riservatezza in merito all’adempimento dei propri compiti e, nel loro svolgimento, si interfaccia con il Titolare e/o il Responsabile, con gli interessati, con i dipendenti dell’organizzazione e con l’Autorità Garante.

È importante chiarire che dal ruolo di controllo assegnato al DPO in merito al rispetto del Regolamento non deriva una sua responsabilità personale nel caso in cui sia riscontrata un’inosservanza o una violazione del Regolamento a carico della organizzazione in cui il DPO opera. È infatti il Titolare ad avere la responsabilità di adottare le misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente alla legge.

Il DPO informa e fornisce consulenza al Titolare o al Responsabile, vigilando sull’applicazione delle norme e delle relative politiche aziendali, collaborando ad eventuali attività di audit, svolgendo attività di formazione, supportando l’organizzazione con informazioni e consigli mirati e fornendo, se richiesto, pareri in merito alla valutazione d’impatto sulla protezione dei dati. Riceve, inoltre, la collaborazione delle funzioni organizzative che sono coinvolte a pieno titolo nel tema della protezione dei dati personali.

Gli interessati possono contattare il DPO per tutte le questioni relative al trattamento dei loro dati personali e all’esercizio dei loro diritti. Essi possono essere sia esterni all’organizzazione (clienti o associati) sia interni alla stessa (dipendenti): i dati di contatto del DPO sono perciò riportati nelle Informative cartacee e/o elettroniche (sito web).

Per quanto riguarda l’interazione con dipendenti e collaboratori del Titolare o del Responsabile, il DPO vigila sull’osservanza della norma in merito all’attribuzione dei ruoli e delle responsabilità all’interno dell’organizzazione, della formazione del personale che partecipa ai trattamenti e delle connesse attività di controllo.

È inoltre compito del DPO cooperare e fungere da punto di contatto per l’Autorità per le questioni connesse al trattamento, per rispondere a eventuali richieste del Garante o per effettuare, se del caso, opportune consultazioni relativamente a qualunque altra questione, come nel caso in cui si renda necessaria una consultazione preventiva in conseguenza del risultato della valutazione d’impatto preliminare.

 

Per approfondimenti si rimanda al libro “Conoscere e implementare la Privacy”.

Il libro può essere ordinato in formato cartaceo al link http://www.youcanprint.it/fiction/business-ed-economia-generale/conoscere-e-implementare-la-privacy-9788892665354.html.

In formato e-pub è disponibile al link www.amazon.it/dp/B071X2V3HR

La prima parte del libro in formato pdf può essere invece richiesta direttamente a: www.privacyinchiaro.it/conoscere-implementare-la-privacy/

 

ACCOUNTABILITY – SCEGLIERE RESPONSABILMENTE E RISPONDERE DELLE PROPRIE DECISIONI

Il GDPR assegna obblighi stringenti al Titolare del trattamento ma gli lascia anche alcuni gradi di libertà – la possibilità di prendere decisioni autonome, purché “adeguate” –  che trovano fondamento, appunto, nella capacità di far valere il senso di responsabilità e di darne conto, cioè di risponderne.

Il termine inglese accountability, tradotto in italiano con la parola responsabilizzazione, non lascia dubbi sul fatto che sarà necessario, per chiunque tratta informazioni personali, rispondere alle parti interessate, siano essi dipendenti, clienti, azionisti o autorità, delle proprie decisioni e delle proprie azioni.

Il senso di responsabilizzazione che il Titolare è chiamato a esercitare si manifesta infatti anche nella capacità di dimostrare di aver effettuato le operazioni di trattamento nel rispetto dei principi del Regolamento.

Ogni decisione non “vincolata” a priori – come per esempio l’adesione a un Codice di Condotta, la scelta in merito alle misure di sicurezza più adatte al contesto in cui opera, la valutazione del rischio, la nomina di un Responsabile, il trasferimento dei dati personali a un terzo – deve perciò tener responsabilmente conto delle prescrizioni normative e deve essere documentata, in modo che sia possibile fornire le evidenze del processo decisionale.

Il rilievo dato al senso di responsabilità è sicuramente un elemento di novità; d’altra parte, l’accountability è un principio cardine di una buona gestione aziendale.

Chi occupa posizioni di rilievo all’interno di un’impresa è consapevole di dover render conto delle proprie decisioni e sa di avere la responsabilità di raggiungere gli obiettivi che gli sono stati assegnati.

La ricchezza, informativa ed economica, associata alla gran quantità di dati personali circolanti ne ha trasformato il valore; i dati personali sono un importante asset aziendale ed è quindi interesse e dovere delle imprese proteggerli con lo stesso senso di responsabilità utilizzato per la gestione quotidiana del business.

La responsabilità è assegnata dal Regolamento alle figure chiave che, dal canto loro, non possono fare a meno di assumerla e di farla propria: dovranno quindi dimostrare, documenti alla mano, di aver svolto il proprio compito in modo lecito, corretto e trasparente, e di aver protetto i dati con misure di sicurezza adeguate.

Titolari e Responsabili dovranno conservare con cura l’evidenza di scelte, interventi e azioni intraprese.

 

Per approfondimenti si rimanda al libro “Conoscere e implementare la Privacy”.

Il libro può essere ordinato in formato cartaceo al link http://www.youcanprint.it/fiction/business-ed-economia-generale/conoscere-e-implementare-la-privacy-9788892665354.html.

In formato e-pub è disponibile al link www.amazon.it/dp/B071X2V3HR

La prima parte del libro in formato pdf può essere invece richiesta direttamente a: www.privacyinchiaro.it/conoscere-implementare-la-privacy/

Il «triangolo» della protezione dei dati – parte II

Parliamo ancora delle implicazioni legali, organizzative e informatiche legate all’applicazione del Regolamento europeo sulla protezione dei dati personali in riferimento al “Triangolo della protezione dati” rappresentato in figura.

Accountability: Il Titolare deve assicurarsi di trattare i dati in modo lecito, corretto, trasparente e per finalità determinate; deve garantire che i dati siano adeguati, pertinenti ed esatti; deve conservarli e trattarli in modo da garantire loro un adeguato livello di protezione (aspetti legali). Il principio di responsabilizzazione richiede al Titolare di mettere in atto misure tecniche (aspetti informatici) e organizzative adeguate (aspetti organizzativi) per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al Regolamento.

Gestione del Rischio: Il Regolamento impone l’obbligo della valutazione e della gestione del rischio. La mappa del rischio aziendale deve quindi tener conto dei rischi associati ai trattamenti dei dati personali e delle strategie intraprese per modificarne il profilo: è necessario, per esempio, tenere conto dell’eventualità di distruzione accidentale (aspetti organizzativi) o illegale dei dati (aspetti legali), di errori umani (aspetti organizzativi), della possibilità di accessi non autorizzati, dei rischi connessi alla trasmissione e all’archiviazione dei dati  o all’assenza di adeguate misure di sicurezza (aspetti informatici).

Diritto alla portabilità dei dati: Il diritto alla portabilità dei dati, esercitabile quando i dati sono trattati con mezzi automatizzati, rafforza il controllo degli interessati sulle proprie informazioni personali (aspetti legali) e ha un considerevole impatto a livello organizzativo, perché il Titolare dovrà predisporre le procedure e dotarsi di misure che gli permettano di rispondere tempestivamente ed esaurientemente alle richieste degli interessati (aspetti organizzativi). Questo nuovo diritto degli interessati ha una importante ricaduta a livello informatico: nelle situazioni in cui l’esercizio del diritto è consentito, sarà necessario adeguare le applicazioni esistenti e progettarne di nuove, tenendo presente che il diritto potrà essere fatto valere in qualsiasi momento (aspetti informatici).

Privacy by design e privacy by default: I concetti di privacy by design e privacy by default spostano il focus della privacy dagli aspetti legali e normativi a quelli legati all’organizzazione ed all’informatica. Titolari e/o Responsabili, infatti, devono adottare misure tecniche e organizzative adeguate per garantire che siano trattati, per impostazione predefinita, solo i dati personali necessari per ogni specifica finalità del trattamento; tale obbligo vale per la quantità dei dati personali raccolti, la portata del trattamento, il periodo di conservazione e l’accessibilità dei dati. Inoltre, sempre, per impostazione predefinita, non dev’essere consentito l’accesso ai dati personali a un numero indefinito di persone fisiche senza l’intervento umano (aspetti organizzativi). Sistemi e applicazioni devono essere progettati e configurati riducendo al minimo l’utilizzazione di dati personali e di dati identificativi, in modo da escluderne il trattamento quando le finalità perseguite possono essere realizzate mediante, rispettivamente, dati pseudonimizzati o minimizzati o comunque con modalità che permettano di identificare l’interessato solo in caso di necessità (aspetti informatici).

 

Per approfondimenti si rimanda al libro “Conoscere e implementare la Privacy”.

Il libro può essere ordinato in formato cartaceo al link http://www.youcanprint.it/fiction/business-ed-economia-generale/conoscere-e-implementare-la-privacy-9788892665354.html.

In formato e-pub è disponibile al link www.amazon.it/dp/B071X2V3HR

La prima parte del libro in formato pdf può essere invece richiesta direttamente a: www.privacyinchiaro.it/conoscere-implementare-la-privacy/

LA CERTIFICAZIONE DELLA DATA PROTECTION

Il Codice di Condotta DPMS 44001:2016© stabilisce i requisiti di un sistema di gestione della protezione dei dati personali ed è un modello di riferimento adottabile in differenti contesti organizzativi a prescindere dalle dimensioni dell’entità interessata, dalle tipologie di trattamento di dati personali effettuate e dal settore di mercato in cui l’entità stessa opera.

Questo volume, a cura di Angelo Freni, Giuseppe Galgano, Vito Donato Grippa, Paola Limatola e Sebastiano Plutino, si prefigge l’intento di illustrarne i contenuti e di fornire indicazioni sulla sua applicazione a Titolari e Responsabili del trattamento che fossero interessati ad adottarlo.

Il Libro può essere ordinato al seguente link:  http://www.angelofreni.com

Il «triangolo» della protezione dei dati – parte I

Il Regolamento affronta la questione della sicurezza dei dati personali in modo sistemico, chiedendo a Titolari e Responsabili, tra le altre cose, di interessarsi della gestione dei rischi legati al trattamento e invitandoli ad adottare codici di condotta e certificazioni.

Le norme internazionali ISO 29100:2011 e 27001:2013, che definiscono rispettivamente i requisiti per l’implementazione di un framework privacy e delle politiche di sicurezza aziendale, forniscono utili indicazioni e validi strumenti per l’implementazione di un adeguato sistema privacy.

Il Codice Privacy, rispondendo alle sollecitazioni di un contesto profondamente diverso, poneva particolare attenzione agli aspetti legali delle operazioni di trattamento e trattava gli aspetti informatici (misure minime) nell’Allegato B, occupandosi in modo assai limitato degli aspetti organizzativi connessi al trattamento dei dati personali; il Regolamento cambia la prospettiva e impegna le aziende a costruire una visione d’insieme della protezione dei dati personali trattati, alla quale tutte le funzioni aziendali sono chiamate a collaborare.

La strada tracciata dalla normativa prevede infatti che le operazioni di trattamento dei dati personali siano “disegnate”, “costruite”, “controllate” e, ove possibile, rese più efficaci ed efficienti tramite l’ausilio di specifiche politiche, procedure, processi e strumenti.

Il metodo richiamato è quello tipicamente utilizzato dalle imprese per la messa a punto di un qualsiasi sistema di gestione aziendale e rende necessario affrontare e armonizzare aspetti legali, organizzativi e informatici.

Gli obblighi di Titolare e Responsabile del Trattamento hanno infatti implicazioni per ciascuno dei tre lati (legale, organizzativo, informatico) che delimitano la figura del “Triangolo della Protezione Dati”: molte attività che impegneranno le aziende nei prossimi mesi incidono su più lati del triangolo e dovranno essere condotte in modo sistemico.

Vediamo in che modo è possibile inserire nello schema proposto alcuni aspetti del Regolamento: per ragioni di leggibilità, affrontiamo oggi il tema del diritto all’oblio, rimandando al prossimo articolo per ulteriori analisi.

Diritto all’oblio: Con l’introduzione del cosiddetto diritto all’oblio, qualora ricorrano le condizioni previste dal Regolamento, gli interessati potranno ottenere la cancellazione dei propri dati personali, anche quelli on line, da parte del Titolare. A questo diritto è associato il dovere, per il Titolare che abbia resi pubblici dati personali e abbia l’obbligo di cancellarli, d’intraprendere le azioni necessarie per informare –  tutti i Titolari che stanno trattando tali dati – della richiesta dell’interessato di cancellare ogni link, copia o riproduzione dei suoi dati personali, nei limiti delle tecnologie disponibili e dei costi di attuazione (aspetti legali). Per gestire la richiesta di cancellazione dei dati personali dal Titolare, quest’ultimo dovrà implementare processi organizzativi in grado di verificare in primo luogo la legittimità della richiesta (aspetti organizzativi). Il diritto alla cancellazione dei dati presuppone l’implementazione di processi o applicazioni in grado di gestire e cancellare tutti i link, copie o riproduzioni dei dati personali di cui è stata richiesta la cancellazione (aspetti informatici).

 

Per approfondimenti si rimanda al libro “Conoscere e implementare la Privacy”.

Il libro può essere ordinato in formato cartaceo al link http://www.youcanprint.it/fiction/business-ed-economia-generale/conoscere-e-implementare-la-privacy-9788892665354.html.

In formato e-pub è disponibile al link www.amazon.it/dp/B071X2V3HR

La prima parte del libro in formato pdf può essere invece richiesta direttamente a: www.privacyinchiaro.it/conoscere-implementare-la-privacy/

 

“Conoscere e implementare la Privacy”

Questo libro, disponibile in formato cartaceo ed ebook, è indirizzato a imprese, consulenti, enti e responsabili della protezione dei dati che, entro il mese di maggio 2018, dovranno adeguare i trattamenti dei dati personali alle prescrizioni del Regolamento europeo UE 2016/679.

La corretta applicazione della normativa richiede un’esperienza professionale capace di spaziare in più ambiti: la pervasività degli strumenti tecnologici e la crescita esponenziale dei dati personali in circolazione hanno profondamente cambiato il mondo in cui viviamo, ed è quindi necessario affrontare il tema con uno sguardo più ampio e con una maggiore consapevolezza da parte di tutti gli operatori.

Quali sono le principali novità introdotte dal Regolamento e quali conseguenze pratiche deriveranno dalla sua applicazione? Il libro, scritto con un linguaggio semplice e chiaro, risponde a queste domande e fornisce suggerimenti concreti e strumenti metodologici utili a conoscere e implementare la privacy all’interno delle organizzazioni.

Chiunque si occupi di protezione dei dati personali può consultare questa guida, per conoscere il “nuovo mondo privacy” e trovare risposte utili alla realizzazione del proprio sistema di protezione dei dati personali.

Il libro è strutturato in quattro parti.

La prima parte fornisce alcuni elementi di contesto e descrive le componenti principali di un’efficace protezione dei dati personali. Essa contiene inoltre indicazioni sul ruolo che il DPO è chiamato a svolgere all’interno delle organizzazioni.

La seconda parte ha lo scopo di illustrare sinteticamente i contenuti del Regolamento, evidenziandone le principali novità rispetto al Codice Privacy. L’attenzione è stata riservata agli articoli che implicano “azioni e obblighi” per offrire un supporto concreto all’operatività delle organizzazioni.

La terza parte ha l’obiettivo di supportare professionisti e organizzazioni nella costruzione di un sistema di gestione della protezione dei dati personali. Mettiamo a disposizione di chi volesse intraprendere questo percorso, indicazioni, consigli e suggerimenti. Implementare un sistema di gestione significa comprendere, descrivere, governare e migliorare l’operatività di un’impresa; è anche la premessa per un modo migliore di lavorare e per una presenza sul mercato più stabile, proficua e duratura.

La quarta parte descrive in modo esteso le metodologie e gli obiettivi del risk management.

Considerato il ruolo centrale che il Regolamento assegna a una corretta gestione del rischio, ci è sembrato utile dedicare una sezione specifica alla descrizione della metodologia consigliata per la ricerca delle misure e degli strumenti adeguati al percorso verso la conformità al Regolamento, percorso che imprese ed enti dovranno intraprendere.

Conoscere e implementare la Privacy” può essere ordinato in formato cartaceo al link http://www.youcanprint.it/fiction/business-ed-economia-generale/conoscere-e-implementare-la-privacy-9788892665354.html.

In formato e-pub è disponibile al link www.amazon.it/dp/B071X2V3HR

La prima parte del libro, in formato pdf , può essere invece richiesta direttamente a: www.privacyinchiaro.it/conoscere-implementare-la-privacy/

PRIVACYINCHIARO AL COMPLIANCE DAY 2017

Privacyinchiaro è intervenuta al Compliance Day 2017, tenutosi a Milano il 16 giugno 2017.

Le slide della presentazione sono disponibili nel video allegato.

 

WEBINAR: TUTELA DEI DATI PERSONALI – PROSSIMI SCENARI PER UN’ORGANIZZAZIONE RESPONSABILE

 

Il prossimo 6 luglio, Sebastiano Plutino terrà un WEBINAR di due ore per illustrare  le principali novità introdotte dal Regolamento UE 2016/679: sarà l’occasione per ascoltare alcuni suggerimenti pratici in merito ali accorgimenti che il Titolare del trattamento dovrà adottare per avvicinare il più possibile la propria organizzazione alla conformità normativa.

È necessario registrarsi in anticipo.

Appuntamento alle ore 16 al seguente link: Webinar AiFOS

Liceità di trattamento e legittimo interesse

Il Regolamento Europeo sulla Protezione dei dati personali elenca all’articolo 6 le condizioni che devono essere presenti per poter definire “legittimo” un trattamento di dati personali

Il consenso dell’interessato è, forse, la più ovvia delle condizioni di liceità.

Il consenso è l’atto con il quale un individuo permette a un’entità terza – può trattarsi di una persona fisica o di una persona giuridica – di trattare i propri dati personali per le finalità che l’entità stessa gli ha precedentemente comunicato in modo chiaro e trasparente: per essere considerato valido, il consenso deve essere raccolto nel rispetto di regole precise e stringenti.

Esistono poi una serie di trattamenti di dati personali che, per avere luogo, non hanno bisogno di alcun preventivo consenso: sono, con una sola eccezione che merita di essere esaminata più attentamente, trattamenti che avvengono per ragioni molto specifiche e circoscritte e che richiamiamo brevemente.

E’ lecito il trattamento di dati personali quando è necessario per eseguire obblighi connessi ad attività precontrattuali (per esempio l’invio di un preventivo) o a un contratto stipulato dall’interessato con l’entità che tratterà i suoi dati; è altrettanto lecito trattare i dati personali di un individuo se l’entità svolge le operazioni di trattamento per adempiere obblighi legali ai quali è soggetta o se è impegnata nell’esecuzione di un compito di interesse pubblico o se le operazioni di trattamento sono connesse all’esecuzione di pubblici poteri di cui l’entità stessa è investita; allo stesso modo, il trattamento è lecito quando le operazioni sui dati personali si rendono necessarie per salvaguardare gli interessi vitali dell’individuo o di altre persone fisiche.

In ciascuna delle condizioni sopra menzionate, i dati personali degli individui possono essere quindi trattati senza necessità del consenso preventivo da parte degli interessati.

L’ultima condizione di liceità stabilita del Regolamento è legata al perseguimento del legittimo interesse del Titolare del trattamento o di terzi, ed è proprio su questa condizione che è opportuno soffermarsi.

E’ sicuramente meno immediato comprendere in quali occasione un titolare del trattamento possa perseguire, conformemente alla legge, un interesse legittimo, proprio o di terzi: questa condizione è infatti determinabile e definibile come “legittima” solo dopo lo svolgimento di alcune verifiche che non hanno, per loro intrinseca natura, un carattere di oggettività assoluta.

Su quali basi, quindi, un entità potrà decidere di procedere a un trattamento per perseguire un interesse, proprio o di terzi, che ritiene legittimo?

E’ necessario procedere con ordine: siamo di fronte a uno dei casi in cui il Titolare deve esercitare fino in fondo il proprio senso di “responsabilizzazione”.

Vediamo quali sono gli aspetti che il Titolare deve obbligatoriamente considerare e sulla cui attenta analisi dovrà basare la propria valutazione.

LA NECESSITA’

Il Regolamento, nel definire questa condizione di liceità, stabilisce che le operazioni di trattamento devono essere “necessarie per il perseguimento del legittimo interesse del titolare del trattamento o di terzi”: questo vuol dire che l’interesse del Titolare o del terzo non potrebbe essere perseguito per altra via o con mezzi diversi dallo specifico trattamento che si intende effettuare.

Questa è la prima verifica da fare e la prima domanda che bisogna porsi: se fossero percorribili altre strade per raggiungere lo stesso risultato, l’opzione “legittimo interesse” non sarebbe applicabile.

INTERESSE EFFETTIVO E LEGITTIMO

L’interesse, del Titolare o di un terzo a cui sono stati trasmessi i dati, deve essere reale, dimostrabile e conforme alle regole vigenti.

Alcuni casi sono illustrati nei considerando che trattano il tema.

All’interno di un gruppo di imprese o tra imprese collegate, il trasferimento di dati di clienti o dipendenti a fini di amministrazione interna e il loro trattamento sono leciti (considerando 48) senza bisogno che clienti e dipendenti esprimano un esplicito consenso al trasferimento.

La circolazione dei dati all’interno di un gruppo di imprese può avvenire per perseguire un interesse legittimo del Titolare o di un terzo (ad esempio della capogruppo): è sufficiente immaginare una realtà in cui le operazioni di trattamento relative al rapporto di lavoro, all’amministrazione dei clienti o alla contabilità facciano capo a una funzione centralizzata che serve tutte le imprese del gruppo. Se la circolazione non fosse consentita, sarebbe necessario duplicare le funzioni di servizio interno con indubbio spreco di risorse.

Allo stesso modo, può essere considerato lecito il trattamento di dati personali effettuato per perseguire il legittimo interesse di “prevenzione delle frodi” (considerando 47) e di “sicurezza delle reti e delle informazioni” (considerando 49).

Il trattamento dei dati connessi a un pagamento elettronico, il trasferimento di dati finalizzato a rintracciare un debitore che si è reso irreperibile e ha smesso di corrispondere pagamenti dovuti per l’utilizzo di un bene acquistato o noleggiato possono essere considerati leciti se sono connessi alla finalità di legittimo interesse del titolare (cioè verificare che il pagamento vada a buon fine e sia concluso).

Garantire la sicurezza delle reti e dell’informazione può essere considerato lecito non solo in virtù del legittimo interesse dei Titolari – fornitori di reti e servizi di comunicazione elettronica e fornitori di servizi di sicurezza e di tecnologia informatica – ma anche di quello di terzi.

Il Regolamento riconosce infatti come sia necessario e opportuno tutelare “la capacità di una rete o di un sistema d’informazione di resistere, a un dato livello di sicurezza, a eventi imprevisti o atti illeciti o dolosi che compromettano la disponibilità, l’autenticità, l’integrità e la riservatezza dei dati personali conservati o trasmessi e la sicurezza dei relativi servizi offerti o resi accessibili tramite tali reti e sistemi anche da autorità pubbliche, organismi di intervento in caso di emergenza informatica (CERT) o gruppi di intervento per la sicurezza informatica in caso di incidente (CSIRT) …”.

LA VALUTAZIONE DEL TITOLARE

Nell’effettuare la valutazione, il Titolare deve confrontare la natura del proprio interesse e i possibili inconvenienti che potrebbero derivargli dal “mancato trattamento” con le possibili conseguenze che il trattamento che intende compiere potrebbe causare all’interessato.

Un legittimo interesse può sussistere quando esista una relazione “pertinente e appropriata” tra un individuo e il Titolare del trattamento, e cioè, ad esempio, quando l’interessato è un cliente o un dipendente del Titolare: in ogni caso, “l’esistenza di legittimi interessi richiede un’attenta valutazione anche in merito all’eventualità che l’interessato, al momento e nell’ambito della raccolta dei dati personali, possa ragionevolmente attendersi che abbia luogo un trattamento a tal fine.”

Infatti, nel caso in cui “i dati personali siano trattati in circostanze in cui gli interessati non possano ragionevolmente attendersi un ulteriore trattamento dei dati personali”, gli interessi e i diritti fondamentali degli individui possono prevalere sugli interessi del titolare.

Il Titolare deve dunque ponderare attentamente le aspettative dell’interessato: qualora quest’ultimo, sulla base della relazione instaurata con il Titolare, non possa ragionevolmente attendersi un ulteriore trattamento dei propri dati, il trattamento non è lecito.

Il Regolamento propone alcuni esempi di “relazioni pertinenti e appropriate” nelle quali è possibile ipotizzare condizioni di legittimo interesse perseguito dal Titolare: è il caso dei trattamenti di dati personali effettuati da un datore di lavoro del quale l’interessato è dipendente.

Anche se la raccolta dei dati personali avviene per la gestione del rapporto di lavoro, la relazione tra dipendente e datore di lavoro, per sua natura, rende plausibile ipotizzare condizioni di legittimo interesse del Titolare “altre” rispetto alla finalità per la quale i dati sono stati raccolti. Il dipendente può perciò ragionevolmente aspettarsi che i propri dati personali siano trattati dal Titolare anche per perseguire specifici interessi relativi, ad esempio, alla tutela della salute e della sicurezza nei luoghi di lavoro.

Ovviamente, affinché sia possibile considerare lecito un trattamento, non è necessario che il legittimo interesse del Titolare o di un terzo debba essere in armonia con quello dell’interessato: nel caso in cui, però, la valutazione evidenzi un grave conflitto tra interessi contrapposti, il legittimo interesse dell’interessato dovrebbe avere la prevalenza.

Non si può quindi considerare il legittimo interesse come una “scappatoia” a cui ricorrere dopo aver constatato che nessuna delle altre condizioni di liceità sia confacente alla propria situazione specifica. L’esistenza di questa condizione deve essere appropriatamente motivata e la decisione è in capo al Titolare: l’Autorità Garante, intervenendo a seguito di segnalazioni, reclami o ispezioni, dopo aver valutato le analisi compiute dal Titolare e le sue motivazioni, potrebbe contestarne i criteri e le conclusioni, stabilirne l’infondatezza e, se del caso, comminare sanzioni.

IL MARKETING DIRETTO

Il Regolamento (considerando 47) stabilisce che può essere considerato legittimo trattare dati personali per finalità di marketing diretto.

Per sgombrare il campo da equivoci, precisiamo che non siamo nel caso in cui il marketing diretto è la finalità dichiarata del trattamento. In questa situazione, per poter effettuare un trattamento di dati personali, il Titolare deve:

dichiarare la finalità nell’informativa;

fornire l’informativa agli individui di cui intende collezionare i dati al momento della raccolta dei dati stessi;

ottenere il consenso del singolo individuo al trattamento delle proprie informazioni personali.

L’interesse legittimo ad effettuare un trattamento non deve essere confuso con la finalità del trattamento: in qualche modo, un interesse legittimo può scaturire logicamente dalla finalità ma non coincide con essa.

A scopo esemplificativo, ipotizziamo che un individuo acquisti un bene o servizio attraverso un sito web.

Il Titolare tratta i dati personali di quella persona per fini contrattuali e non ha quindi necessità di chiedere e di ottenere alcun consenso specifico per utilizzare le informazioni personali ricevute.

I dati raccolti “potrebbero” però essere utilizzati dal Titolare per inviare alla persona comunicazioni commerciali per perseguire un proprio legittimo interesse (marketing diretto). È un comportamento lecito?

Sulla base di quanto illustrato in precedenza, la risposta è affermativa se “l’interessato, al momento e nell’ambito della raccolta dei dati personali, possa ragionevolmente attendersi che abbia luogo un trattamento a tal fine”: ad esempio, “quando l’interessato è un cliente” del Titolare.

Per continuare con l’esempio, il Titolare potrà quindi contattare l’interessato per comunicargli la disponibilità di nuovi prodotti della stessa tipologia acquistata senza avere il suo preventivo consenso e dovrà, in ogni caso, mettergli a disposizione una procedura per l’esercizio del diritto di opposizione.

Non sarà invece possibile per il Titolare ricorrere alla condizione di legittimo interesse per l’invio di comunicazioni commerciali non attinenti la relazione instaurata con l’interessato o combinare i dati personali con informazioni diverse e comunque nella sua disponibilità (comportamenti e preferenze di navigazione desunte dalla navigazione effettuata in rete dall’interessato) per profilarlo ed inviargli comunicazioni commerciali ulteriori, diverse o “su misura”.

IL RISPETTO DI TUTTE LE PRESCRIZIONI DEL REGOLAMENTO

E’ infine necessario è che il trattamento avvenga nel pieno rispetto della normativa: i dati personali devono essere accurati, aggiornati e non eccessivi, trattati con le adeguate garanzie in caso di trasferimento a terzi e difesi con adeguate misure di protezione atte a limitare i possibili effetti del trattamento sugli interessati (utilizzo di strumenti e tecnologie che abbiano incorporato la privacy by default o by design) e a evitare violazioni; il Titolare deve inoltre informare l’interessato dei legittimi interessi perseguiti e della possibilità di esercitare in qualunque momento il diritto di opposizione.