LE SANZIONI DEL GARANTE A TIM – ALCUNI SPUNTI – 3
EVIDENZE DOCUMENTATE
La capacità di comprendere e di descrivere quello che si fa, motivandolo, è essenziale nel campo della protezione dei dati personali.
La mancanza di una comprensione “a monte” ingenera disordine e processi non adeguatamente governati. Inoltre, rende impossibile soddisfare compiutamente, nel caso ce ne fosse bisogno, eventuali richieste dell’Autorità di Controllo.
L’incapacità di quantificare le chiamate fuorilista o di fornire l’elenco delle numerazioni contattate, le divergenze tra le black list fornite ai call centre e quelle effettivamente utilizzate o anche l’incapacità di provare le attività di verifica verso il Registro delle opposizioni oppure l’acquisizione di un valido consenso a fini promozionali; sono tutti elementi che hanno pesato nella determinazione della sanzione a TIM.
È una buona abitudine quella di documentare i propri processi, molte organizzazioni lo fanno e non è il caso di spenderci troppe parole; meno ovvia è, invece, la necessità di documentare le decisioni prese in merito ai trattamenti di dati personali.
Spesso questa documentazione è carente, oppure è incompleta o, peggio ancora, inesistente.
Facciamo qualche esempio.
L’utilizzo del legittimo interesse come base giuridica di un trattamento presuppone che il titolare abbia effettivamente valutato gli interessi delle parti (ad esempio quelli del titolare e quelli degli interessati) e ne abbia effettuato il bilanciamento.
È necessario lasciare traccia scritta delle valutazioni effettuate (documentare), non solo perché è un obbligo ma anche perché il materiale rimane a disposizione per eventuali future consultazioni o miglioramenti dei processi. Chiunque dovesse occuparsi in futuro della protezione dei dati personali potrà avere evidenza dei ragionamenti e delle conclusioni tratte, senza dover ricominciare il lavoro da capo.
Lo stesso identico ragionamento deve esser fatto per un altro documento che è spesso assente nelle organizzazioni: l’analisi dei rischi connessi a dati e trattamenti. È sempre opportuno ricordare che questa valutazione deve essere effettuata mettendosi “nei panni degli interessati” e non in quelli dell’organizzazione.
Anche il documento di valutazione dei rischi in merito ai dati personali e al loro trattamento, quindi, deve esistere. Esso richiede revisioni e aggiornamenti periodici, perché le minacce mutano e i contesti operativi si evolvono nel tempo.
L’Autorità di Controllo, nel caso di indagini o di visite ispettive, può chiedere di visionare i documenti e ha ovviamente il diritto di entrare nel merito.
Cosa bisogna, dunque, documentare?
Dando per scontato che i documenti obbligatori – cioè quelli specificamente previsti dalle norme – siano presenti e disponibili a richiesta, ogni informazione (decisioni prese, processi, valutazioni, consensi, accordi con i fornitori …) in merito ai trattamenti di dati personali svolti dall’organizzazione che permetta di comprenderne gli aspetti chiave deve essere disponibile e facilmente reperibile.
Ad esempio, qualora le espressioni di consenso siano raccolte con modalità cartacea, è importante sapere “dove” sono conservate e a cura di quale funzione; allo stesso modo, devono essere identificabili con certezza le eventuali liste di contatto utilizzate per le campagne di marketing nonché i criteri che hanno determinato la loro composizione. O anche, qualora l’organizzazione tratti dati personali per perseguire un proprio legittimo interesse, è opportuno conservare traccia delle considerazioni che hanno portato all’individuazione di questa specifica base giuridica.
Organizzazioni, grandi e piccole, faranno bene a mettere in piedi un sistema di gestione della documentazione, così da esser certi di conservare le evidenze in modo coerente e, all’occorrenza, di poterle individuare con sicurezza.
