LE SANZIONI DEL GARANTE A TIM – ALCUNI SPUNTI – 1

Sono stati molti i commenti sulla sanzione erogata a TIM dall’Autorità Garante con il provvedimento dello scorso mese di gennaio (doc. web n. 9256486): trascorso un po’ di tempo dalla pubblicazione della notizia, vogliamo condividere qualche riflessione.

Il provvedimento è molto dettagliato e di complessa lettura e noi non intendiamo entrare più di tanto nel merito delle singole violazioni contestate. È probabile che la gran parte dei rilievi emersi nei confronti di TIM potrebbero, senza troppa difficoltà, applicarsi con poche differenze a molte situazioni.

Intendiamo invece soffermarci sugli aspetti a nostro avviso più importanti che, al di là delle specifiche violazioni e dei rilievi puntuali, offrono spunti di riflessione di portata più ampia e che possono essere utili a imprese ed enti che hanno affrontato (o credono di averlo fatto) il percorso di conformità alle rinnovate norme sulla protezione dei dati.

Analizziamo i macro-temi che attraversano il provvedimento con l’obiettivo di evidenziare gli aspetti sostanziali che non devono essere trascurati quando un’organizzazione si appresta a rivedere la propria protezione dei dati personali alla luce delle norme vigenti.

Analizziamo i macro-temi che attraversano il provvedimento con l’obiettivo di evidenziare gli aspetti sostanziali che non devono essere trascurati quando un’organizzazione si appresta a rivedere la propria protezione dei dati personali alla luce delle norme vigenti.

ACCOUNTABILITY

Il principio di accountability, come è ormai noto, impone al titolare del trattamento un’assunzione di responsabilità concreta nei confronti dei dati conservati e/o trattati e dei trattamenti.

Non si tratta di un principio astratto o puramente teorico ma di qualcosa di estremamente concreto.

È fondamentale farsene una ragione e operare in modo consapevole con interventi adeguati e responsabili.

In relazione al provvedimento citato, facciamo riferimento, in particolare, alla necessità di:

  • controllare tutta la “filiera” dei trattamenti, di quelli svolti in proprio e di quelli delegati;
  • implementare prassi gestionali condivise con tutti gli attori della filiera del trattamento, in modo da limitare l’adozione di prassi scorrette;
  • prendere coscienza del fatto che le azioni che i responsabili del trattamento intraprendono in mancanza di istruzioni ricevute dal titolare ovvero i loro comportamenti, quando sono difformi dalle istruzioni fornite, possono essere sintomi di una mancata vigilanza o di una “culpa in eligendo” del titolare del trattamento;
  • redigere accordi per il trattamento chiari e dettagliati con i propri clienti e/o fornitori;
  • comprendere che trarre indebito profitto da comportamenti al limite o da trattamenti non previsti dalle proprie politiche è illegittimo e sanzionabile;
  • essere capaci di comprovare il rispetto della normativa e di documentarlo con evidenze oggettive;
  • adottare procedure per il governo di processi “chiave” (gestione delle richieste degli interessati – gestione delle violazioni di dati personali – privacy by design) che consentano di rispettare le tempistiche di risposta / notifica previste dalle norme;
  • poter dimostrare di aver effettuato un bilanciamento degli interessi (il proprio e quello degli interessati, ad esempio) prima di procedere con un trattamento basato, appunto, sul legittimo interesse;
  • individuare con coerenza le basi giuridiche e rappresentarle in modo chiaro e trasparente nei documenti di informativa;
  • intervenire sulle carenze organizzative che possono lasciare spazio a comportamenti negligenti e/o dolosi;
  • verificare che i tempi dichiarati di conservazione dei dati e i principi fondamentali del trattamento siano recepiti correttamente dai sistemi automatizzati utilizzati per archiviare e trattare i dati personali;
  • assicurarsi che ogni sviluppo / modifica ai processi tenga conto della protezione dei dati in modo “nativo”.

… continua …