LE SANZIONI DEL GARANTE A TIM – ALCUNI SPUNTI – 5
LE PROCEDURE
Un modello di business B2C, proprio per il fatto di rivolgersi a una platea diffusa di individui, richiede quindi una grande attenzione al governo dei processi; gli errori sono sempre dietro l’angolo, anche in un’organizzazione perfettamente strutturata, e bisogna cercare di ridurli a monte.
A cosa servono le procedure? A descrivere come deve comportarsi l’organizzazione – o una parte di essa – in determinate circostanze, che possono essere le più diverse.
Una procedura può ad esempio servire per spiegare come si effettua la lavorazione di un prodotto, come si contattano i clienti, come si selezionano i fornitori; tutti coloro che, all’interno di un’organizzazione, sono interessati a quel particolare ambito (produzione del prodotto, contatto con la clientela, selezione dei fornitori) hanno a disposizione un documento che descrive i passi da compiere, le funzioni coinvolte, le relativa responsabilità e le modalità di gestione di eventuali criticità.
Adottare una procedura significa diffonderla all’interno della propria organizzazione per assicurarsi che, indipendentemente dal fatto che una determinata attività sia effettuata da un individuo o da un altro, le operazioni si svolgano con le stesse modalità e seguano le regole che l’impresa si è data.
Indipendentemente dal modello di business adottato, quindi, le procedure sono un alleato prezioso del vertice aziendale perché permettono di raggiungere risultati pre-determinati in un determinato ambito di attività.
Anche la protezione dei dati personali richiede l’adozione di procedure specifiche.
Al di là dei documenti che l’organizzazione, su base volontaria, può decidere di predisporre per un miglior governo di alcuni processi chiave – pensiamo per esempio a una azienda sanitaria e alla possibile decisione di dedicare procedure specifiche ad alcuni trattamenti di dati personali particolarmente rischiosi – esistono procedure di carattere più generale che devono essere considerate obbligatorie e che qualunque tipo di organizzazione deve adottare se vuole essere conforme.
È il Regolamento europeo a dettare le regole da rispettate per la gestione delle richieste che gli interessati sottopongono al titolare del trattamento e per la notifica all’autorità di controllo e, se necessario, agli interessati, di eventuali violazioni di dati personali, stabilendo i tempi massimi entro i quali l’organizzazione coinvolta deve procedere.
È perciò necessario predisporre procedure adeguate al governo di questi due importanti aspetti del Regolamento europeo: la gestione delle richieste degli interessati e la gestione delle violazioni di dati personali.
Le indicazioni per il governo dei relativi processi potranno essere estremamente sintetiche o dettagliate e il loro contenuto rifletterà le specifiche dimensioni e complessità del sistema che si deve tenere sotto controllo; in ogni caso, esse dovranno identificare e assegnare in modo certo le responsabilità assegnate alle funzioni aziendali coinvolte. Dovranno inoltre:
- definire un sistema di tracciatura degli eventi (una richiesta ricevuta da parte di un interessato o un sospetto di violazione);
- illustrare le modalità di classificazione degli eventi medesimi;
- identificare i passi necessari a chiudere gli eventi nei tempi e con le modalità previste dalla normativa.
Se opportuno, le procedure dovranno essere condivise con eventuali soggetti terzi ai quali l’organizzazione ha delegato parte dei propri trattamenti; la mancata implementazione di procedure adeguate al governo dei processi (ad esempio “la gestione delle istanze di esercizio dei diritti degli interessati”) è stato uno dei principali punti di debolezza del sistema di gestione dei dati personali oggetto di verifica.
Il contenuto di questi documenti deve essere coerente con le procedure pre-esistenti e con le politiche socetarie e non deve essere in contrasto con le prassi operative effettivamente seguite nello svolgimento delle attività.
A proposito di violazioni di dati personali, entriamo per un attimo nei dettagli del provvedimento.
Pare incredibile che il DPO – la funzione deputata a offrire supporto e consulenza al titolare per ogni tema relativo alla protezione dei dati personali – abbia ricevuto informazione su un data breach a distanza di mesi dall’evento! La normativa impone al titolare del trattamento di assicurarsi che il responsabile della protezione dei dati sia coinvolto in ogni questione riguardante la protezione dei dati personali, tempestivamente e adeguatamente.
Non c’è alcun dubbio che un data breach sia una “questione” importante che merita di essere portata all’attenzione del DPO; e non c’è dubbio che l’avverbio tempestivamente stia ad indicare un intervallo di tempo estremamente breve, considerando che la notifica della violazione all’autorità di controllo deve avvenire entro le 72 ore successive alla constatazione del fatto.
Minuti o ore, quindi: di sicuro non mesi! Ma se le procedure non ci sono o non sono adeguate, se le responsabilità non sono declinate in modo chiaro, è facile che qualcosa si inceppi. Non necessariamente per cattiva volontà di chi opera, più probabilmente per una mancata capacità dell’organizzazione di comunicare al suo interno le priorità e i comportamenti da adottare.
Un altro pilastro molto importante della protezione dei dati deve trovare un’opportuna collocazione nell’alveo dei documenti di cui stiamo parlando.
SI tratta del principio di privacy by design e by default, che il titolare deve obbligatoriamente rispettare per integrare in tutti i trattamenti le garanzie necessarie a tutelare “a monte” i diritti degli interessati; nella pratica, si tratta di adottare specifiche misure tecniche e organizzative (qui entrano in gioco le procedure) che entrano in gioco sia nel momento di determinare i mezzi del trattamento (prima) sia all’atto del trattamento (durante).
In poche parole, i processi di trattamento e le applicazioni informatiche che li abilitano devono essere strutturati in modo tale da garantire “intrinsecamente e nativamente”, per così dire, il rispetto della normativa sulla protezione dei dati personali.
Questo vale per la quantità e la qualità dei dati raccolti (che devono essere solo quelli strettamente necessari alla finalità di trattamento), per la loro conservazione temporale, per la loro sicurezza e protezione e per l’accessibilità, affinché solo il personale autorizzato possa entrarvi in contatto.
Il principio di privacy by design & by default deve essere soddisfatto non solo per quanto riguarda i trattamenti e gli strumenti correnti ma anche da quelli futuri. Nuovi prodotti e nuovi servizi devono quindi essere progettati fin dalle primissime fasi nel rispetto dei principi e dei vincoli imposti al titolare del trattamento dalla normativa sulla protezione dei dati.
Bisogna darsi delle regole e bisogna adoperarsi affinché tutta l’organizzazione le conosca e le applichi quando è necessario.
La struttura o la persona che si occupa della protezione dei dati personali – sia essa il DPO o un referente interno – affiancherà quindi la direzione strategica, il marketing, l’IT, l’ufficio legale, la direzione ricerca e sviluppo ogni qual volta si verifichi l’opportunità di apportare modifiche ai processi di trattamento esistenti o di progettarne di nuovi e darà il proprio contributo.
Solo adottando regole di comportamento stringenti si può evitare di “andare in onda” senza l’adeguata preparazione. La preparazione che può servire per evitare di scivolare sulla classica buccia di banana.
IL CASO DELLA RACCOLTA DI INFORMAZIONI SULLA SALUTE DI DIPENDENTI E VISITATORI AI TEMPI DEL CORONAVIRUS.
La prima domanda è: perché?
Perché associazioni prestigiose di rilevanza nazionale invitano i propri iscritti a raccogliere informazioni sulla salute dei propri dipendenti e visitatori e sui loro spostamenti, raccomandando loro di inserire nel modulo di raccolta, in qualità di titolari del trattamento, la propria “dichiaratoria privacy”?
Prima di procedere con un nuovo trattamento, sarebbe stato opportuno porsi alcune semplici domande:
- quali sono le finalità del trattamento e la relativa base giuridica? È lecito raccogliere questi dati e per quale scopo?
- chi sono gli interessati e con quali modalità avviene il trattamento?
- quali sono le misure di sicurezza tecniche e organizzative messe in atto per tutelare diritti e libertà degli interessati?
- per quanto tempo tratto i dati e come li conservo? Come li elimino?
- dopo aver raccolto i dati, li trasmetto a qualcuno o li trattengo? Per fare cosa?
Si trattava molto evidentemente di raccogliere dati relativi alla salute e, giusto per ricordarlo, il trattamento di questa tipologia di dati è generalmente vietato ed è possibile solo se ricorrono particolari condizioni; si trattava di un trattamento diverso quelli usualmente svolti dalle aziende e che, in assenza di leggi specifiche – in quel momento non emanate – solo un medico avrebbe potuto effettuare.
Essendo questo un trattamento “nuovo”, l’esistenza di una procedura per il rispetto del principio di privacy by design & by default avrebbe consentito di comprendere immediatamente che il trattamento non era consentito (come poi comunicato dal Garante lo scorso 2 marzo).
È che a volte gli eventi hanno il sopravvento e prendono la mano; se non c’è un’attenzione consolidata ai temi della protezione dei dati personali, anche con le migliori intenzioni, si rischia di strafare.
Anche a questo servono le procedure, a mantenere nel tempo comportamenti virtuosi e a guidare le azioni delle organizzazioni in tempi difficili.
… continua …