VERIFICHE E IMPEGNO COSTANTE DELL’INTERA ORGANIZZAZIONE
Con il trascorrere del
tempo, è necessario sottoporre i processi interni a verifiche per
controllare che le misure tecniche e organizzative in essere per tutelare i diritti
e le libertà degli interessati svolgano il loro ruolo in maniera soddisfacente.
Le esigenze cambiano,
il business cambia, la realtà pone continuamente nuove sfide; il livello di
protezione dei dati personali deve essere adeguato ai tempi, alle innovazioni
tecnologiche, alle mutate necessità.
I controlli possono
essere stabiliti su base periodica o possono essere effettuati su
base specifica, per esempio a seguito di un evento o di una criticità
emersa); possono essere svolti in proprio dall’organizzazione o avvenire
con l’ausilio di un professionista specializzato.
È molto importante che
l’intera organizzazione, nel tempo, acquisisca consapevolezza sull’importanza
del tema e sia parte attiva nel miglioramento continuo che bisogna
profondere per proteggere dati e trattamenti.
Le aziende hanno un
ruolo delicato e molto importante da svolgere: favorire un cambiamento
culturale in un mondo che considera i dati personali principalmente come una
fonte di arricchimento. Intendiamoci, non c’è niente di male, purché il tutto avvenga
all’interno delle regole che l’unione europea ha deciso di darsi.
FINE
https://www.privacyinchiaro.it/wp-content/uploads/2020/03/motivation-4330453_1280.jpg8301280Paola Limatolahttps://www.privacyinchiaro.it/wp-content/uploads/2017/01/Privacy_inchiaro_400.pngPaola Limatola2020-04-27 17:01:002020-04-22 11:06:37LE SANZIONI DEL GARANTE A TIM – ALCUNI SPUNTI – 6
Un modello di business
B2C, proprio per il fatto di rivolgersi a una platea diffusa di individui,
richiede quindi una grande attenzione al governo dei processi; gli
errori sono sempre dietro l’angolo, anche in un’organizzazione perfettamente
strutturata, e bisogna cercare di ridurli a monte.
A cosa servono le
procedure? A
descrivere come deve comportarsi l’organizzazione – o una parte di essa – in determinate
circostanze, che possono essere le più diverse.
Una procedura può ad
esempio servire per spiegare come si effettua la lavorazione di un prodotto,
come si contattano i clienti, come si selezionano i fornitori; tutti coloro
che, all’interno di un’organizzazione, sono interessati a quel particolare
ambito (produzione del prodotto, contatto con la clientela, selezione dei
fornitori) hanno a disposizione un documento che descrive i passi da compiere, le
funzioni coinvolte, le relativa responsabilità e le modalità di gestione di
eventuali criticità.
Adottare una procedura significa
diffonderla all’interno della propria organizzazione per assicurarsi che,
indipendentemente dal fatto che una determinata attività sia effettuata da un individuo
o da un altro, le operazioni si svolgano con le stesse modalità e seguano le
regole che l’impresa si è data.
Indipendentemente dal modello
di business adottato, quindi, le procedure sono un alleato prezioso del
vertice aziendale perché permettono di raggiungere risultati pre-determinati in
un determinato ambito di attività.
Anche la protezione
dei dati personali richiede l’adozione di procedure specifiche.
Al di là dei documenti che
l’organizzazione, su base volontaria, può decidere di predisporre per un miglior
governo di alcuni processi chiave – pensiamo per esempio a una azienda
sanitaria e alla possibile decisione di dedicare procedure specifiche ad alcuni
trattamenti di dati personali particolarmente rischiosi – esistono procedure
di carattere più generale che devono essere considerate obbligatorie e
che qualunque tipo di organizzazione deve adottare se vuole essere conforme.
È il Regolamento europeo
a dettare le regole da rispettate per la gestione delle richieste che gli
interessati sottopongono al titolare del trattamento e per la notifica
all’autorità di controllo e, se necessario, agli interessati, di
eventuali violazioni di dati personali, stabilendo i tempi massimi entro
i quali l’organizzazione coinvolta deve procedere.
È perciò necessario predisporre
procedure adeguate al governo di questi due importanti aspetti del Regolamento
europeo: la gestione delle richieste degli interessati e la gestione delle
violazioni di dati personali.
Le indicazioni per il
governo dei relativi processi potranno essere estremamente sintetiche o
dettagliate e il loro contenuto rifletterà le specifiche dimensioni e
complessità del sistema che si deve tenere sotto controllo; in ogni caso, esse
dovranno identificare e assegnare in modo certo le responsabilità assegnate
alle funzioni aziendali coinvolte. Dovranno inoltre:
definire
un sistema di tracciatura degli eventi (una richiesta ricevuta da parte di un interessato o
un sospetto di violazione);
illustrare
le modalità di classificazione degli eventi medesimi;
identificare
i passi necessari a chiudere gli eventi nei tempi e con le modalitàpreviste
dalla normativa.
Se opportuno, le
procedure dovranno essere condivise con eventuali soggetti terzi ai
quali l’organizzazione ha delegato parte dei propri trattamenti; la mancata
implementazione di procedure adeguate al governo dei processi (ad esempio “la
gestione delle istanze di esercizio dei diritti degli interessati”) è stato
uno dei principali punti di debolezza del sistema di gestione dei dati
personali oggetto di verifica.
Il contenuto di questi
documenti deve essere coerente con le procedure pre-esistenti e con le politiche
socetarie e non deve essere in contrasto con le prassi operative effettivamente
seguite nello svolgimento delle attività.
A proposito di
violazioni di dati personali, entriamo per un attimo nei dettagli del
provvedimento.
Pare incredibile che
il DPO – la funzione deputata a offrire supporto e consulenza al titolare
per ogni tema relativo alla protezione dei dati personali – abbia ricevuto informazione
su un data breach a distanza di mesi dall’evento! La normativa impone al
titolare del trattamento di assicurarsi che il responsabile della protezione
dei dati sia coinvolto in ogni questione riguardante la protezione dei
dati personali, tempestivamente e adeguatamente.
Non c’è alcun dubbio
che un data breach sia una “questione” importante che merita di essere
portata all’attenzione del DPO; e non c’è dubbio che l’avverbio tempestivamente
stia ad indicare un intervallo di tempo estremamente breve, considerando
che la notifica della violazione all’autorità di controllo deve avvenire entro
le 72 ore successive alla constatazione del fatto.
Minuti o ore, quindi:
di sicuro non mesi!
Ma se le procedure non ci sono o non sono adeguate, se le responsabilità non
sono declinate in modo chiaro, è facile che qualcosa si inceppi. Non
necessariamente per cattiva volontà di chi opera, più probabilmente per una
mancata capacità dell’organizzazione di comunicare al suo interno le priorità e
i comportamenti da adottare.
Un altro pilastro molto
importante della protezione dei dati deve trovare un’opportuna collocazione
nell’alveo dei documenti di cui stiamo parlando.
SI tratta del principio
di privacy by design e by default, che il titolare deve obbligatoriamente rispettare
per integrare in tutti i trattamenti le garanzie necessarie a tutelare “a
monte” i diritti degli interessati; nella pratica, si tratta di adottare specifiche
misure tecniche e organizzative (qui entrano in gioco le procedure) che entrano
in gioco sia nel momento di determinare i mezzi del trattamento (prima) sia
all’atto del trattamento (durante).
In poche parole, i
processi di trattamento e le applicazioni informatiche che li abilitano devono
essere strutturati in modo tale da garantire “intrinsecamente e nativamente”,
per così dire, il rispetto della normativa sulla protezione dei dati
personali.
Questo vale per la quantità
e la qualità dei dati raccolti (che devono essere solo quelli strettamente
necessari alla finalità di trattamento), per la loro conservazione
temporale, per la loro sicurezza e protezione e per l’accessibilità,
affinché solo il personale autorizzato possa entrarvi in contatto.
Il principio di privacy
by design & by default deve essere soddisfatto non solo per quanto riguarda
i trattamenti e gli strumenti correnti ma anche da quelli futuri. Nuovi prodotti
e nuovi servizi devono quindi essere progettati fin dalle primissime fasi
nel rispetto dei principi e dei vincoli imposti al titolare del trattamento
dalla normativa sulla protezione dei dati.
Bisogna darsi delle
regole e bisogna adoperarsi affinché tutta l’organizzazione le conosca e le applichi
quando è necessario.
La struttura o la
persona che si occupa della protezione dei dati personali – sia essa il DPO o
un referente interno – affiancherà quindi la direzione strategica, il
marketing, l’IT, l’ufficio legale, la direzione ricerca e sviluppo ogni qual volta
si verifichi l’opportunità di apportare modifiche ai processi di trattamento
esistenti o di progettarne di nuovi e darà il proprio contributo.
Solo adottando regole
di comportamento stringenti si può evitare di “andare in onda” senza l’adeguata
preparazione. La preparazione che può servire per evitare di scivolare
sulla classica buccia di banana.
IL CASO DELLA RACCOLTA DI INFORMAZIONI SULLA SALUTE DI DIPENDENTI E VISITATORI AI TEMPI DEL CORONAVIRUS.
La prima domanda è: perché?
Perché associazioni
prestigiose di rilevanza nazionale invitano i propri iscritti a raccogliere
informazioni sulla salute dei propri dipendenti e visitatori e sui loro
spostamenti, raccomandando loro di inserire nel modulo di raccolta, in
qualità di titolari del trattamento, la propria “dichiaratoria privacy”?
Prima di procedere con
un nuovo trattamento, sarebbe stato opportuno porsi alcune semplici domande:
quali
sono le finalità del trattamento e la relativa base giuridica? È
lecito raccogliere questi dati e per quale scopo?
chi
sono gli interessati e con quali modalità avviene il trattamento?
quali
sono le misure di sicurezza tecniche e organizzative messe in atto per
tutelare diritti e libertà degli interessati?
per
quanto tempo tratto i dati e come li conservo? Come li elimino?
dopo
aver raccolto i dati, li trasmetto a qualcuno o li trattengo? Per fare
cosa?
Si trattava molto
evidentemente di raccogliere dati relativi alla salute e, giusto per ricordarlo,
il trattamento di questa tipologia di dati è generalmente vietato ed è
possibile solo se ricorrono particolari condizioni; si trattava di un
trattamento diverso quelli usualmente svolti dalle aziende e che, in
assenza di leggi specifiche – in quel momento non emanate – solo un
medico avrebbe potuto effettuare.
Essendo questo un
trattamento “nuovo”, l’esistenza di una procedura per il rispetto del
principio di privacy by design & by default avrebbe consentito di
comprendere immediatamente che il trattamento non era consentito (come poi
comunicato dal Garante lo scorso 2 marzo).
È che a volte gli
eventi hanno il sopravvento e prendono la mano; se non c’è un’attenzione consolidata
ai temi della protezione dei dati personali, anche con le migliori intenzioni,
si rischia di strafare.
Anche a questo
servono le procedure, a mantenere nel tempo comportamenti virtuosi e a guidare
le azioni delle organizzazioni in tempi difficili.
… continua …
https://www.privacyinchiaro.it/wp-content/uploads/2020/03/documents-2282153_1280.png12801280Paola Limatolahttps://www.privacyinchiaro.it/wp-content/uploads/2017/01/Privacy_inchiaro_400.pngPaola Limatola2020-04-26 17:00:002020-04-22 11:05:57LE SANZIONI DEL GARANTE A TIM – ALCUNI SPUNTI – 5
Sembra
facile, scrivere
un’informativa chiara e trasparente…
Ci
sono a disposizione tanti modelli e svariati esempi in internet. Con un uso
sapiente del “copia e incolla”, ci si può arrangiare: questa, almeno, l’idea di
molti.
Non
è così. Anche l’Autorità Garante, nel provvedimento in esame, ha in più punti rilevato
una carenza di informazioni (mancanza di chiarezza e trasparenza) e
l’incoerenza di alcuni contenuti dell’informativa con la reale operatività
dell’organizzazione.
Per
scrivere una buona informativa, è necessario aver chiari una serie di elementi
fondamentali che riassumiamo:
le
categorie di persone coinvolte (ad esempio clienti, studenti, candidati
all’impiego, dipendenti …)
le
categorie di dati personali trattate
lo
scopo delle operazioni di trattamento (emissione di fatture, pagamento di stipendi o
parcelle, valutazione di esperienze professionali, controllo degli ingressi
nella sede di lavoro…)
la
base giuridica
che rende legittimo effettuare le operazioni di trattamento (e ricordiamo che
il trattamento di categorie particolari di dati o di dati relativi a condanne
penali e/o reati è consentito solo se esiste una norma che lo permetta)
le
conseguenze
sull’interessato del mancato conferimento dei dati
l’eventuale
trasferimento in paesi terzi dei dati personali e le garanzie che
permettono di effettuarlo
i
tempi di conservazione dei dati
le
categorie di destinatari dei dati
la
consapevolezza che, qualora sia stato richiesto il consenso per
effettuare un trattamento, l’interessato ha sempre la possibilità di revocarlo.
i diritti che la normativa riconosce agli
interessati in merito ai propri dati devono essere rispettati nei tempi e nei
modi previsti.
Spendiamo due parole su alcuni dei punti
in elenco, così da comprenderne pienamente le implicazioni.
Punti 3 e 4: La
finalità del trattamento deve essere prima individuata e
poi illustrata con chiarezza agli interessati, corredata del riferimento alla appropriata base giuridica. Se un
trattamento è complesso, è opportuno scomporlo nei processi che concorrono a determinare
le finalità che lo hanno generato.
Per fare un esempio concreto, basti
pensare ad alcuni dei trattamenti che un datore di lavoro effettua sui dati dei
propri dipendenti. Alcuni trattamenti si rendono necessari per adempiere agli obblighi che la legge pone in capo al datore di
lavoro (es.: pagare i contributi da lavoro dipendente); altri trattamenti sono
relativi alla corretta esecuzione del contratto stipulato con il
lavoratore (es.: pagare lo stipendio); altri trattamenti ancora potrebbero
dipendere dalla necessità di tutelare un interesse legittimo
del datore di lavoro (es. la sicurezza delle sedi e quindi la
videosorveglianza perimetrale o la registrazione degli accessi).
È solo un esempio, parziale, del lavoro di “scomposizione” che è opportuno fare per acquisire
chiarezza; la stessa chiarezza con la quale l’organizzazione,
al momento dell’assunzione, informerà i propri dipendenti del trattamento. Un
lavoro non difficile ma delicato, che
deve essere svolto con attenzione, avendo sempre in mente che ogni trattamento
deve rispettare il principio di necessità (si raccolgono e si trattano solo
i dati strettamente indispensabili).
Se il metodo è applicato correttamente, l’organizzazione non si
troverà nella spiacevole situazione di:
individuare in modo
inappropriato le basi di legittimità del trattamento, anche sovrapponendole
tra loro. Attenersi all’equazione 1 finalità à 1 base giuridica è sempre la
scelta migliore;
predisporre
un unico modulo di consenso che raggruppa finalità che dovrebbero
essere distinte e separate;
utilizzare informative vecchie
e non aggiornate (o nelle quali i vecchi articoli del Codice Privacy sono
stati sostituiti dai nuovi articoli del Regolamento europeo);
scoprire a posteriori di non aver
fornito l’informativa o di essersi dimenticati di alcune operazioni di
trattamento.
Eventuali legittimi interessi perseguiti devono essere esplicitati
a monte e non definiti a posteriori; lo specifica anche il provvedimento in
esame, chiarendo che “il
titolare del trattamento non può …. ricorrere retroattivamente alla base
dell’interesse legittimo …”
Punto 6: Se un’organizzazione delega parte
dei propri processi a fornitori e a consulenti, deve sapere in quale paese
del mondo questi svolgeranno le operazioni di trattamento. Ricordando che il
trattamento include la conservazione e l’archiviazione dei dati, è intuitivo
comprendere che è un “trasferimento” di dati anche la loro semplice
archiviazione in una piattaforma cloud. L’utilizzo del cloud (qualunque sia il
modello di servizio prescelto) è sempre più diffuso; il titolare del
trattamento deve sapere dove sono “localizzati” i propri dati e deve
condividere questa informazione con gli interessati. E se i dati non sono
all’interno dello spazio economico europeo, l’organizzazione deve fare un’altra
verifica in merito all’esistenza di garanzie adeguate al trasferimento e
deve renderle note agli interessati.
Punto 7: Nel chiedersi per quanto tempo sia
lecito conservare i dati nei propri archivi, informatici o cartacei,
l’organizzazione deve valutare la propria situazione reale. Prima di scrivere
che conserverà i dati per 10 anni dalla cessazione di un contratto o di un
servizio, l’organizzazione deve preventivamente verificare che, in nessun
caso, sia possibile trovare nei propri archivi dati “scaduti” (per
dimenticanza o per mancata attivazione di procedure tecniche e organizzative
che consentano di eliminarli). Non è infatti possibile, a causa di una
propria incapacità, trattenere i dati oltre termini ragionevoli o i limiti
previsti dalla legge. Cosa bisogna fare, quindi, qualora non sia prevista
una “pulizia” periodica degli archivi? Bisogna attivarsi affinché una
effettiva cancellazione dei dati dai propri archivi avvenga nel rispetto dei
tempi stabiliti. L’eventuale discrepanza tra termini dichiarati e
capacità di rispettarli non può essere nascosta o ignorata. Il titolare farà
bene a documentare (per iscritto!) lo scostamento rilevato e le
azioni che intende predisporre per risolvere il
disallineamento, sulla base di un piano di miglioramento che dovrà essere
monitorato.
Punto 8: Chi
sono i destinatari dei dati? Sono tutti i soggetti esterni all’organizzazione
che ricevono da questa i dati personali (in tutto o in parte).
In alcuni casi, si tratta di soggetti che
effettuano trattamenti per finalità loro proprie e che sono quindi, a tutti gli
effetti, altri titolari del trattamento: è il
caso per esempio di alcuni enti (pensiamo a INPS o a INAIL) a cui il datore di
lavoro invia dati dei propri dipendenti. In altri casi, si tratta di soggetti
(tipicamente fornitori e consulenti) che svolgono trattamenti per conto del
titolare mediante un atto formale di delega, che può riguardare interi processi
aziendali (per esempio l’elaborazione dei cedolini stipendi) o una loro parte
(la gestione di una applicazione informatica).
Stiamo parlando dei responsabili del trattamento, a proposito dei quali non
finiremo mai di ribadire che:
l’accordo per il trattamento sottoscritto tra titolare e responsabile del trattamento è un documento fondamentale, senza il quale le operazioni di trattamento non possono essere svolte;
le istruzioni fornite dal titolare al responsabile del trattamento per le operazioni di trattamento delegate sono parte dell’accordo e devono essere scritte con attenzione, in modo che siano aderenti alla realtà operativa esistente tra le due entità e che non presentino elementi di contrasto con le procedure e le politiche del titolare (e del responsabile).
Non è opportuno utilizzare formulazioni
generiche e de-contestualizzate; non ha senso limitarsi in modo asettico ad
elencare gli obblighi previsti dall’articolo 28 del Regolamento europeo, senza alcun
riferimento alle modalità di collaborazione reali tra le due entità coinvolte.
Il provvedimento sanzionatorio che ha
dato spunto a queste riflessioni ha evidenziato l’esistenza di una
disciplina contrattuale non adeguata e la mancanza di istruzioni per la
gestione di alcuni particolari aspetti operativi, che
hanno portato l’Autorità ad ipotizzare addirittura l’esistenza di un rapporto
di contitolarità tra le parti (l’azienda e i suoi fornitori). Se ne può
dedurre, dunque, che un accordo per il trattamento di
dati personali non curato e non adeguato al contesto specifico è spesso fonte
di equivoci e di problemi. Vale senz’altro la pena dedicarci il
giusto livello di attenzione.
Punto 9: sul consenso e la sua revoca non si scherza. Se si
è stabilito che il consenso è la base giuridica più adatta per effettuare un
trattamento, è necessario dotarsi di procedure interne
per gestirlo in modo conforme alla normativa. Questo vuol dire che l’organizzazione
ha in ogni momento sotto controllo l’elenco dei consensi prestati (disponibile
in un apposito archivio, cartaceo o informativo, anche mediante estrazione di appositi
campi da un DB) e che è in grado di modificare prontamente ogni variazione del
loro stato, registrando in modo tempestivo eventuali richieste o ripensamenti dei
propri interessati; nessuna delle operazioni di trattamento effettuate sui dati
a fronte della concessione del consenso può infatti includere dati di coloro
che, invece, il consenso al trattamento non l’hanno concesso. Sono soprattutto le organizzazioni che adottano modelli di business
B2C, con clientela diffusa, a dover fare attenzione. Perché se le segnalazioni
arrivano, l’autorità di controllo non potrà esimersi dal verificare.
… continua …
https://www.privacyinchiaro.it/wp-content/uploads/2020/03/soap-bubble-3758801_1280.jpg8681280Paola Limatolahttps://www.privacyinchiaro.it/wp-content/uploads/2017/01/Privacy_inchiaro_400.pngPaola Limatola2020-04-25 17:00:002020-04-22 11:05:13LE SANZIONI DEL GARANTE A TIM – ALCUNI SPUNTI – 4
La capacità di comprendere e di
descrivere quello che si fa, motivandolo, è essenziale nel campo della protezione
dei dati personali.
La mancanza di una comprensione “a monte”
ingenera disordine e processi non adeguatamente governati. Inoltre, rende
impossibile soddisfare compiutamente, nel caso ce ne fosse bisogno, eventuali
richieste dell’Autorità di Controllo.
L’incapacità di quantificare le chiamate
fuorilista o di fornire l’elenco delle numerazioni contattate, le divergenze
tra le black list fornite ai call centre e quelle effettivamente utilizzate o
anche l’incapacità di provare
le attività di verifica verso il Registro delle opposizioni oppure
l’acquisizione di un valido consenso a fini promozionali; sono tutti elementi
che hanno pesato nella determinazione della sanzione a TIM.
È una buona abitudine quella di documentare
i propri processi, molte organizzazioni lo fanno e non è il caso di
spenderci troppe parole; meno ovvia è, invece, la necessità di documentare
le decisioni prese in merito ai trattamenti di dati personali.
Spesso questa documentazione è carente,
oppure è incompleta o, peggio ancora, inesistente.
Facciamo qualche esempio.
L’utilizzo del legittimo interesse come
base giuridica di un trattamento presuppone che il titolare abbia
effettivamente valutato gli interessi delle parti (ad esempio quelli del
titolare e quelli degli interessati) e ne abbia effettuato il bilanciamento.
È necessario lasciare traccia scritta
delle valutazioni effettuate (documentare), non solo perché è un obbligo
ma anche perché il materiale rimane a disposizione per eventuali future
consultazioni o miglioramenti dei processi. Chiunque dovesse occuparsi in
futuro della protezione dei dati personali potrà avere evidenza dei
ragionamenti e delle conclusioni tratte, senza dover ricominciare il lavoro
da capo.
Lo stesso identico ragionamento deve
esser fatto per un altro documento che è spesso assente nelle organizzazioni: l’analisi
dei rischi connessi a dati e trattamenti. È sempre opportuno ricordare che questa
valutazione deve essere effettuata mettendosi “nei panni degli interessati”
e non in quelli dell’organizzazione.
Anche il documento di valutazione dei
rischi in merito ai dati personali e al loro trattamento, quindi, deve esistere.
Esso richiede revisioni e aggiornamenti periodici, perché le minacce
mutano e i contesti operativi si evolvono nel tempo.
L’Autorità di Controllo, nel caso di
indagini o di visite ispettive, può chiedere di visionare i documenti e ha
ovviamente il diritto di entrare nel merito.
Cosa
bisogna, dunque, documentare?
Dando
per scontato che i documenti obbligatori – cioè quelli specificamente previsti
dalle norme – siano presenti e disponibili a richiesta, ogni informazione
(decisioni prese, processi, valutazioni, consensi, accordi con i fornitori …) in
merito ai trattamenti di dati personali svolti dall’organizzazione che permetta
di comprenderne gli aspetti chiave deve essere disponibile e facilmente
reperibile.
Ad
esempio, qualora le espressioni di consenso siano raccolte con modalità
cartacea, è importante sapere “dove” sono conservate e a cura di quale
funzione; allo stesso modo, devono essere identificabili con certezza le
eventuali liste di contatto utilizzate per le campagne di marketing nonché i
criteri che hanno determinato la loro composizione. O anche, qualora
l’organizzazione tratti dati personali per perseguire un proprio legittimo
interesse, è opportuno conservare traccia delle considerazioni che hanno
portato all’individuazione di questa specifica base giuridica.
Organizzazioni,
grandi e piccole, faranno bene a mettere in piedi un sistema di gestione della
documentazione, così da esser certi di conservare le evidenze in modo
coerentee, all’occorrenza, di poterle individuare con sicurezza.
https://www.privacyinchiaro.it/wp-content/uploads/2020/03/checklist-1622517_1280.png12801280Paola Limatolahttps://www.privacyinchiaro.it/wp-content/uploads/2017/01/Privacy_inchiaro_400.pngPaola Limatola2020-04-24 17:00:572020-04-22 11:04:17LE SANZIONI DEL GARANTE A TIM – ALCUNI SPUNTI – 3
Imprese e
organizzazioni hanno l’obbligo di interessarsi al “destino” dei dati
personali che raccolgono e utilizzano per svolgere la propria attività.
Quando i
titolari del trattamento – coloro, cioè, che ne determinano finalità e
mezzi – delegano, in tutto o in parte, le proprie attività ad altri soggetti (i
responsabili del trattamento, che agiscono in loro nome e per loro conto), non
possono e non devono disinteressarsi del destino dei dati.
Per questo,
devono affidarsi a soggetti che dal punto di vista organizzativo e tecnico sono
in grado di garantire che i trattamenti saranno svolti, per così dire, a regola
d’arte; devono, inoltre, istruirli e controllarli, anche mediante audit
mirati, con il duplice obiettivo di verificare nel tempo il corretto recepimento
delle istruzioni ricevute e l’adeguatezza delle misure di sicurezza adottate.
È perciò altamente
sconsigliabile non “regolarizzare” il rapporto in essere con i propri
clienti e/o fornitori. I contratti di servizio esistenti devono essere emendati
con opportune clausole o integrati da uno specifico accordo che regolamenti i
trattamenti delegati di dati personali (a cui per brevità ci riferiremo con il
termine DPA, dall’inglese Data Processing Agreement).
Non si
tratta di eccezioni né di casi sporadici. Ancora oggi molti, semplicemente,
non si sono posti il problema; altri, invece, rimandano, spaventati dal
fatto di assumersi per iscritto importanti responsabilità. Per inciso, le
responsabilità esistono indipendentemente dalla sottoscrizione della DPA.
Non regolamentare il rapporto tra titolare e responsabile del trattamento è una scelta che può avere importanti conseguenze in quanto, se non sostenuto da un atto giuridico, il trattamento si configura come illecito, con conseguenze ancora peggiori.
Questo non è
sempre chiaro, sembra; così come non sempre è chiaro il rispetto della legge
è un obbligo di tutti gli attori del trattamento, non una concessione che
il responsabile del trattamento fa al titolare a fronte del pagamento di un
corrispettivo.
A meno di
motivazioni specifiche e di situazioni particolari, le spese eventualmente
sostenute dal fornitore per il recepimento della normativa non rilevano; coloro
che condizionano la firma del DPA al pagamento di una cifra in denaro per
assicurare la conformità dimostrano di non aver compreso le proprie
responsabilità.
È allo
stesso modo sconsigliabile utilizzare modelli standard di DPA, da
personalizzare inserendo semplicemente i propri dati anagrafici e quelli del
fornitore, per redigere l’accordo di trattamento.
La
definizione delle attività e le istruzioni sono legate allo specifico contesto
e un atto stipulato sulla base di una declaratoria di responsabilità
standardizzata non tutela né il titolare né il responsabile del
trattamento; è importante che il DPA rifletta la situazione reale dei processi
delegati, anche perché sarà sulla base del suo contenuto e delle
responsabilità ivi descritte che saranno valutate eventuali sanzioni
amministrative.
Inoltre, è
bene che la “catena dei trattamenti”, inclusi eventuali sub-responsabili
coinvolti per l’esecuzione di parti del processo, sia chiara fin dall’inizio,
proprio nell’ottica della trasparenza. Titolare e responsabile del trattamento
devono collaborare e condividere ogni informazione rilevante per poterne
rispondere in modo documentato.
Nel caso che
stiamo esaminando, è stato rilevato che i testi contrattuali presentavano
alcune carenze sia nella determinazione dei processi consentiti sia nella
definizione delle misure tecniche e organizzative da adottare in relazione
ad alcune categorie di dati.
Il
consiglio, quindi, è di prestare la dovuta attenzione a questo aspetto.
In merito ai
dati personali, sapere “chi” è autorizzato a fare “cosa” e “come” è autorizzato
a farlo – sia al proprio interno che esternamente – è obbligatorio.
Quando gli
elementi del trattamento e le informazioni pertinenti prendono forma nero su
bianco nel DPA, ci si accorge di quanto sia poco opportuno lavorare con il
“copia e incolla” per costruire un documento accettabile. Se è importante
semplificare, agire con superficialità non paga.
… continua …
https://www.privacyinchiaro.it/wp-content/uploads/2020/03/animals-2364769_1280.jpg9601280Paola Limatolahttps://www.privacyinchiaro.it/wp-content/uploads/2017/01/Privacy_inchiaro_400.pngPaola Limatola2020-04-23 17:00:342020-04-22 11:03:08LE SANZIONI DEL GARANTE A TIM – ALCUNI SPUNTI – 2
Sono
stati molti i commenti sulla sanzione erogata a TIM dall’Autorità
Garante con il provvedimento dello scorso mese di gennaio (doc. web n. 9256486): trascorso un po’ di tempo dalla pubblicazione della
notizia, vogliamo condividere qualche riflessione.
Il
provvedimento è molto dettagliato e di complessa lettura e noi non intendiamo entrare
più di tanto nel merito delle singole violazioni contestate. È probabile che la
gran parte dei rilievi emersi nei confronti di TIM potrebbero, senza troppa
difficoltà, applicarsi con poche differenze a molte situazioni.
Intendiamo
invece soffermarci sugli aspetti a nostro avviso più importanti che, al di là
delle specifiche violazioni e dei rilievi puntuali, offrono spunti di
riflessione di portata più ampia e che possono essere utili a imprese ed
enti che hanno affrontato (o credono di averlo fatto) il percorso di conformità
alle rinnovate norme sulla protezione dei dati.
Analizziamo i macro-temi che attraversano il provvedimento con l’obiettivo di evidenziare gli aspetti sostanziali che non devono essere trascurati quando un’organizzazione si appresta a rivedere la propria protezione dei dati personali alla luce delle norme vigenti.
Analizziamo i macro-temi che attraversano il provvedimento con l’obiettivo di evidenziare gli aspetti sostanziali che non devono essere trascurati quando un’organizzazione si appresta a rivedere la propria protezione dei dati personali alla luce delle norme vigenti.
ACCOUNTABILITY
Il principio
di accountability, come è ormai noto, impone al titolare del trattamento
un’assunzione di responsabilità concreta nei confronti dei dati conservati e/o
trattati e dei trattamenti.
Non si
tratta di un principio astratto o puramente teorico ma di qualcosa di estremamente
concreto.
È
fondamentale farsene una ragione e operare in modo consapevole con interventi adeguati
e responsabili.
In
relazione al provvedimento citato, facciamo riferimento, in particolare, alla
necessità di:
controllare tutta la “filiera” dei trattamenti, di quelli svolti in proprio e di quelli delegati;
implementare prassi gestionali condivise con tutti gli attori della filiera del trattamento, in modo da limitare l’adozione di prassi scorrette;
prendere coscienza del fatto che le azioni che i responsabili del trattamento intraprendono in mancanza di istruzioni ricevute dal titolare ovvero i loro comportamenti, quando sono difformi dalle istruzioni fornite, possono essere sintomi di una mancata vigilanza o di una “culpa in eligendo”del titolare del trattamento;
redigere accordi per il trattamento chiari e dettagliati con i propri clienti e/o fornitori;
comprendere che trarre indebito profitto da comportamenti al limite o da trattamenti non previsti dalle proprie politiche è illegittimo e sanzionabile;
essere capaci di comprovare il rispetto della normativa e di documentarlo con evidenze oggettive;
adottare procedure per il governo di processi “chiave” (gestione delle richieste degli interessati – gestione delle violazioni di dati personali – privacy by design) che consentano di rispettare le tempistiche di risposta / notifica previste dalle norme;
poter dimostrare di aver effettuato un bilanciamento degli interessi (il proprio e quello degli interessati, ad esempio) prima di procedere con un trattamento basato, appunto, sul legittimo interesse;
individuare con coerenza le basi giuridiche e rappresentarle in modo chiaro e trasparente nei documenti di informativa;
intervenire sulle carenze organizzative che possono lasciare spazio a comportamenti negligenti e/o dolosi;
verificare che i tempi dichiarati di conservazione dei dati e i principi fondamentali del trattamento siano recepiti correttamente dai sistemi automatizzati utilizzati per archiviare e trattare i dati personali;
assicurarsi che ogni sviluppo / modifica ai processi tenga conto della protezione dei dati in modo “nativo”.
… continua …
https://www.privacyinchiaro.it/wp-content/uploads/2020/03/TITOLO-APERTURA.jpg265550Paola Limatolahttps://www.privacyinchiaro.it/wp-content/uploads/2017/01/Privacy_inchiaro_400.pngPaola Limatola2020-04-22 20:05:002020-04-22 10:59:34LE SANZIONI DEL GARANTE A TIM – ALCUNI SPUNTI – 1