LE SANZIONI DEL GARANTE A TIM – ALCUNI SPUNTI – 4

/in /by

TRASPARENZA E CHIAREZZA

Sembra facile, scrivere un’informativa chiara e trasparente…

Ci sono a disposizione tanti modelli e svariati esempi in internet. Con un uso sapiente del “copia e incolla”, ci si può arrangiare: questa, almeno, l’idea di molti.

Non è così. Anche l’Autorità Garante, nel provvedimento in esame, ha in più punti rilevato una carenza di informazioni (mancanza di chiarezza e trasparenza) e l’incoerenza di alcuni contenuti dell’informativa con la reale operatività dell’organizzazione.

Per scrivere una buona informativa, è necessario aver chiari una serie di elementi fondamentali che riassumiamo:

  1. le categorie di persone coinvolte (ad esempio clienti, studenti, candidati all’impiego, dipendenti …)
  2. le categorie di dati personali trattate
  3. lo scopo delle operazioni di trattamento (emissione di fatture, pagamento di stipendi o parcelle, valutazione di esperienze professionali, controllo degli ingressi nella sede di lavoro…)
  4. la base giuridica che rende legittimo effettuare le operazioni di trattamento (e ricordiamo che il trattamento di categorie particolari di dati o di dati relativi a condanne penali e/o reati è consentito solo se esiste una norma che lo permetta)
  5. le conseguenze sull’interessato del mancato conferimento dei dati
  6. l’eventuale trasferimento in paesi terzi dei dati personali e le garanzie che permettono di effettuarlo
  7. i tempi di conservazione dei dati
  8. le categorie di destinatari dei dati
  9. la consapevolezza che, qualora sia stato richiesto il consenso per effettuare un trattamento, l’interessato ha sempre la possibilità di revocarlo.
  10. i diritti che la normativa riconosce agli interessati in merito ai propri dati devono essere rispettati nei tempi e nei modi previsti.

Spendiamo due parole su alcuni dei punti in elenco, così da comprenderne pienamente le implicazioni.

Punti 3 e 4: La finalità del trattamento deve essere prima individuata e poi illustrata con chiarezza agli interessati, corredata del riferimento alla appropriata base giuridica. Se un trattamento è complesso, è opportuno scomporlo nei processi che concorrono a determinare le finalità che lo hanno generato.

Per fare un esempio concreto, basti pensare ad alcuni dei trattamenti che un datore di lavoro effettua sui dati dei propri dipendenti. Alcuni trattamenti si rendono necessari per adempiere agli obblighi che la legge pone in capo al datore di lavoro (es.: pagare i contributi da lavoro dipendente); altri trattamenti sono relativi alla corretta esecuzione del contratto stipulato con il lavoratore (es.: pagare lo stipendio); altri trattamenti ancora potrebbero dipendere dalla necessità di tutelare un interesse legittimo del datore di lavoro (es. la sicurezza delle sedi e quindi la videosorveglianza perimetrale o la registrazione degli accessi).

È solo un esempio, parziale, del lavoro di “scomposizione” che è opportuno fare per acquisire chiarezza; la stessa chiarezza con la quale l’organizzazione, al momento dell’assunzione, informerà i propri dipendenti del trattamento. Un lavoro non difficile ma delicato, che deve essere svolto con attenzione, avendo sempre in mente che ogni trattamento deve rispettare il principio di necessità (si raccolgono e si trattano solo i dati strettamente indispensabili).

Se il metodo è applicato correttamente, l’organizzazione non si troverà nella spiacevole situazione di:

  • individuare in modo inappropriato le basi di legittimità del trattamento, anche sovrapponendole tra loro. Attenersi all’equazione 1 finalità à 1 base giuridica è sempre la scelta migliore;
  • predisporre un unico modulo di consenso che raggruppa finalità che dovrebbero essere distinte e separate;
  • utilizzare informative vecchie e non aggiornate (o nelle quali i vecchi articoli del Codice Privacy sono stati sostituiti dai nuovi articoli del Regolamento europeo);
  • scoprire a posteriori di non aver fornito l’informativa o di essersi dimenticati di alcune operazioni di trattamento.

Eventuali legittimi interessi perseguiti devono essere esplicitati a monte e non definiti a posteriori; lo specifica anche il provvedimento in esame, chiarendo che “il titolare del trattamento non può …. ricorrere retroattivamente alla base dell’interesse legittimo …

Punto 6: Se un’organizzazione delega parte dei propri processi a fornitori e a consulenti, deve sapere in quale paese del mondo questi svolgeranno le operazioni di trattamento. Ricordando che il trattamento include la conservazione e l’archiviazione dei dati, è intuitivo comprendere che è un “trasferimento” di dati anche la loro semplice archiviazione in una piattaforma cloud. L’utilizzo del cloud (qualunque sia il modello di servizio prescelto) è sempre più diffuso; il titolare del trattamento deve sapere dove sono “localizzati” i propri dati e deve condividere questa informazione con gli interessati. E se i dati non sono all’interno dello spazio economico europeo, l’organizzazione deve fare un’altra verifica in merito all’esistenza di garanzie adeguate al trasferimento e deve renderle note agli interessati.

Punto 7: Nel chiedersi per quanto tempo sia lecito conservare i dati nei propri archivi, informatici o cartacei, l’organizzazione deve valutare la propria situazione reale. Prima di scrivere che conserverà i dati per 10 anni dalla cessazione di un contratto o di un servizio, l’organizzazione deve preventivamente verificare che, in nessun caso, sia possibile trovare nei propri archivi dati “scaduti” (per dimenticanza o per mancata attivazione di procedure tecniche e organizzative che consentano di eliminarli). Non è infatti possibile, a causa di una propria incapacità, trattenere i dati oltre termini ragionevoli o i limiti previsti dalla legge. Cosa bisogna fare, quindi, qualora non sia prevista una “pulizia” periodica degli archivi? Bisogna attivarsi affinché una effettiva cancellazione dei dati dai propri archivi avvenga nel rispetto dei tempi stabiliti. L’eventuale discrepanza tra termini dichiarati e capacità di rispettarli non può essere nascosta o ignorata. Il titolare farà bene a documentare (per iscritto!) lo scostamento rilevato e le azioni che intende predisporre per risolvere il disallineamento, sulla base di un piano di miglioramento che dovrà essere monitorato.

Punto 8: Chi sono i destinatari dei dati? Sono tutti i soggetti esterni all’organizzazione che ricevono da questa i dati personali (in tutto o in parte).

In alcuni casi, si tratta di soggetti che effettuano trattamenti per finalità loro proprie e che sono quindi, a tutti gli effetti, altri titolari del trattamento: è il caso per esempio di alcuni enti (pensiamo a INPS o a INAIL) a cui il datore di lavoro invia dati dei propri dipendenti. In altri casi, si tratta di soggetti (tipicamente fornitori e consulenti) che svolgono trattamenti per conto del titolare mediante un atto formale di delega, che può riguardare interi processi aziendali (per esempio l’elaborazione dei cedolini stipendi) o una loro parte (la gestione di una applicazione informatica).

Stiamo parlando dei responsabili del trattamento, a proposito dei quali non finiremo mai di ribadire che:

  • l’accordo per il trattamento sottoscritto tra titolare e responsabile del trattamento è un documento fondamentale, senza il quale le operazioni di trattamento non possono essere svolte;
  • le istruzioni fornite dal titolare al responsabile del trattamento per le operazioni di trattamento delegate sono parte dell’accordo e devono essere scritte con attenzione, in modo che siano aderenti alla realtà operativa esistente tra le due entità e che non presentino elementi di contrasto con le procedure e le politiche del titolare (e del responsabile).

Non è opportuno utilizzare formulazioni generiche e de-contestualizzate; non ha senso limitarsi in modo asettico ad elencare gli obblighi previsti dall’articolo 28 del Regolamento europeo, senza alcun riferimento alle modalità di collaborazione reali tra le due entità coinvolte.  

Il provvedimento sanzionatorio che ha dato spunto a queste riflessioni ha evidenziato l’esistenza di una disciplina contrattuale non adeguata e la mancanza di istruzioni per la gestione di alcuni particolari aspetti operativi, che hanno portato l’Autorità ad ipotizzare addirittura l’esistenza di un rapporto di contitolarità tra le parti (l’azienda e i suoi fornitori). Se ne può dedurre, dunque, che un accordo per il trattamento di dati personali non curato e non adeguato al contesto specifico è spesso fonte di equivoci e di problemi. Vale senz’altro la pena dedicarci il giusto livello di attenzione.

Punto 9: sul consenso e la sua revoca non si scherza. Se si è stabilito che il consenso è la base giuridica più adatta per effettuare un trattamento, è necessario dotarsi di procedure interne per gestirlo in modo conforme alla normativa. Questo vuol dire che l’organizzazione ha in ogni momento sotto controllo l’elenco dei consensi prestati (disponibile in un apposito archivio, cartaceo o informativo, anche mediante estrazione di appositi campi da un DB) e che è in grado di modificare prontamente ogni variazione del loro stato, registrando in modo tempestivo eventuali richieste o ripensamenti dei propri interessati; nessuna delle operazioni di trattamento effettuate sui dati a fronte della concessione del consenso può infatti includere dati di coloro che, invece, il consenso al trattamento non l’hanno concesso. Sono soprattutto le organizzazioni che adottano modelli di business B2C, con clientela diffusa, a dover fare attenzione. Perché se le segnalazioni arrivano, l’autorità di controllo non potrà esimersi dal verificare.

… continua …

You might also like
LE SANZIONI DEL GARANTE A TIM – ALCUNI SPUNTI – 1
LE SANZIONI DEL GARANTE A TIM – ALCUNI SPUNTI – 2
LE SANZIONI DEL GARANTE A TIM – ALCUNI SPUNTI – 5
LE SANZIONI DEL GARANTE A TIM – ALCUNI SPUNTI – 3
LE SANZIONI DEL GARANTE A TIM – ALCUNI SPUNTI – 6