Posts

PILLOLE PRIVACY N° 14 – LE COMPETENZE DEL DPO – Parte I

Pillola 14

QUALITÀ PROFESSIONALI E CAPACITÀ

Il Responsabile della Protezione dei dati personali è designato in funzione delle qualità professionali – in particolare della conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati – e della capacità di assolvere i propri compiti (GDPR, articolo 37, comma 5).

Il possesso di conoscenze specialistiche è un requisito ovvio. È quasi superfluo dire che il DPO conosce norme e prassi nonché eventuali autorizzazioni o pronunciamenti dell’Autorità di controllo pertinenti allo specifico settore in cui opera. Inoltre legge, si documenta e si mantiene aggiornato.

Dedichiamo invece qualche riflessione supplementare al tema delle qualità professionali e delle capacità che permettono di svolgere il ruolo in maniera efficace.

Qualità professionali

Cosa si intende, esattamente?

Il riferimento è all’insieme delle competenze personali, cognitive, relazionali e organizzative, grazie alle quali, per esempio, si è in grado di ascoltare, comprendere, influenzare e comunicare.

Il DPO lavora sempre in team, anche nel caso in cui l’organizzazione in cui opera non abbia una struttura dedicata alla protezione dei dati personali.

Si interfaccia infatti con tutte le strutture aziendali e coordina i loro sforzi per raggiungere un obiettivo comune: la conformità alla norma.

Per questo, deve comprendere i linguaggi e le problematiche delle singole funzioni organizzative e conoscere i loro specifici compiti.

Nel contempo, ha un quadro chiaro dei processi e degli obiettivi di business del Titolare e/o del Responsabile e li tiene presenti nello svolgimento del proprio ruolo.

Il Responsabile della Protezione dei dati personali non deve essere un “tuttologo” –  qualora la realtà specifica sia molto complessa e richieda una molteplicità di competenze, l’attività può essere svolta da un gruppo di risorse esperte con diverse specialità – ma deve sicuramente sapersi orientare nell’organizzazione e comprenderne le esigenze.

Deve inoltre sapere quando, per prendere una decisione, sia opportuno ricorrere a esperti e raccogliere pareri puntuali.

La conoscenza del mercato di riferimento e la capacità di comprendere l’importanza degli aspetti legali al contesto, nonché la consapevolezza della centralità dell’informatica per l’operatività quotidiana, sono elementi dai quali la sua professionalità non può assolutamente prescindere.

… continua

PILLOLE PRIVACY N° 12 – STRUMENTI E METODI

PILLOLA 12

IL REGISTRO DEI TRATTAMENTI

TRASFERIMENTI DI DATI ALL’ESTERO

Il trasferimento di dati personali a un’entità o a una sede situata all’estero è ammesso in presenza di adeguate condizioni o garanzie.

Il Regolamento è ugualmente applicabile in tutti i paesi dell’Unione europea e, poiché le regole sono le stesse per tutti, il trasferimento all’interno di questi paesi è per definizione consentito.

Il discorso cambia quando i dati escono dai confini UE.

Diventa allora importante verificare se l’Autorità Garante ha emesso una decisione di adeguatezza per il paese destinatario dei dati; l’esistenza di una simile decisione attesta che le condizioni con le quali avvengono i trattamenti di dati personali all’interno di uno specifico stato sono state verificate e sono considerate congrue.

La situazione è diversa se tale decisione non esiste: in questi casi, spetta al titolare del trattamento verificare l’esistenza di forme di garanzia ammesse dalla legge (quali, ad esempio, la sottoscrizione di clausole contrattuali standard o l’esistenza di norme vincolanti d’impresa).

In assenza di garanzie adeguate di tutela dei diritti e delle libertà fondamentali degli individui, il trasferimento è vietato.

È compito del titolare del trattamento compiere le necessarie verifiche e agire nel rispetto della legge.

AFFIDAMENTO A TERZI DI TRATTAMENTI

È probabile che un’organizzazione decida di affidare, in tutto o in parte, operazioni di trattamento ad attori esterni; sia nel caso di esternalizzazioni complete di un servizio (pensiamo, ad esempio, all’elaborazione delle buste paga) sia nel caso di collaborazioni parziali (pensiamo, ad esempio, alla raccolta dei dati di possibili donatori affidata dalle ONLUS a società specializzate), il titolare del trattamento deve fare in modo che il coinvolgimento di terzi avvenga con regole chiare e responsabilità definite.

L’affidamento a terzi non può essere fatto a cuor leggero ma presuppone una serie di verifiche preliminari, a carico del Titolare, relativamente alla competenza e alla sicurezza offerta dal soggetto scelto.

Il terzo deve essere inoltre nominato, mediante atto formale, Responsabile del trattamento. La nomina riporta informazioni dettagliate sugli obblighi assunti e sul rapporto che lega le due parti e l’accordo è formalizzato mediante un contratto o un atto giuridico, che  contiene una descrizione dettagliata delle attività di trattamento che saranno svolte dal Responsabile esclusivamente dietro istruzione documentata del Titolare.

Il Responsabile dovrà garantire che le persone autorizzate a trattare i dati personali si siano impegnate alla riservatezza e dovrà impegnarsi a non affidare ad altri Responsabili specifiche attività di trattamento senza la preventiva autorizzazione del Titolare. Eventuali affidamenti a cascata dovranno essere formalizzati sulla base di contratto o atto giuridico che contenga gli stessi obblighi, in materia di protezione dati, sottoscritti dal terzo con il Titolare.

Il Responsabile ha l’obbligo di cancellare o restituire i dati in suo possesso al termine delle attività di trattamento effettuate per conto del Titolare e di assisterlo nel dare seguito alle richieste per l’esercizio dei diritti dell’interessato; tra le altre cose, deve garantire la sicurezza del trattamento e collaborare per la notifica di violazioni dei dati personali.

Il Responsabile, inoltre, può incorrere in sanzioni amministrative rilevanti in caso di violazioni degli obblighi previsti dalla normativa.

… (continua)

PILLOLE PRIVACY N° 11 – STRUMENTI E METODI

Pillola 11

IL REGISTRO DEI TRATTAMENTI

PROTEGGERE I DATI, CONSERVARLI E CANCELLARLI.

Le scelte in merito al livello di protezione necessario per rendere sicuro il trattamento dei dati personali sono molto importanti.

Il tema della sicurezza e della misure di protezione tecniche e organizzative è molto complesso e non può essere esaurito in poche righe.

Quello che ci interessa sottolineare è che la sicurezza del trattamento è fatta di tante componenti, la cui criticità e rilevanza strategica variano in funzione del modo di funzionare  dell’organizzazione e del contesto in cui opera.

Coloro che, per esempio, raggiungono i propri clienti attraverso un sito dedicato e svolgono il proprio business essenzialmente attraverso internet, dovranno porre particolare attenzione alle scelte relative alla infrastruttura di rete e all’architettura IT (hardware e software) necessarie a garantire un trattamento sicuro; coloro che , al contrario, utilizzano la tecnologia limitatamente ad alcuni ambiti e funzioni (pensiamo, per esempio, a una scuola) dovranno porre la massima attenzione soprattutto alla organizzazione del lavoro e alla instaurazione di comportamenti “virtuosi” di tutte le parti coinvolte nel trattamento.

Le scelte in merito alle migliori modalità di conservazione dei dati sono, anch’esse, fortemente dipendenti dal contesto in cui opera il titolare del trattamento.

È possibile, per esempio, separare i dati sanitari o altre informazioni sensibili dai dati comuni, utilizzando archivi diversi e protezioni specifiche (quali ad esempio crittografia o pseudonimizzazione) per ridurre i rischi legati a possibili violazioni dovute a intrusioni o comportamenti scorretti.

È invece richiesto dal Regolamento, e perciò obbligatorio, rispettare i termini di cancellazione dei dati personali dichiarati nelle informative.

Capita spesso che i dati, archiviati elettronicamente o in cartaceo, non siano cancellati. In alcuni casi, i titolari non sanno neanche quali siano esattamente i dati di cui sono in possesso e in quali archivi si trovino. Questo, con il Regolamento, non sarà più possibile.

… (continua)

PILLOLE PRIVACY N° 10 – STRUMENTI E METODI

PILLOLA 10

IL REGISTRO DEI TRATTAMENTI

Per molte aziende, la compilazione del Registro dei trattamenti non sarà un obbligo.

Tuttavia, consigliamo a ogni organizzazione, indipendentemente dalla dimensione e dal settore di mercato in cui opera, di predisporlo.

È un’ottima occasione per mettere ordine. Si ha in questo modo la possibilità di dotarsi di una mappa che contiene tutte le informazioni in merito alle caratteristiche delle operazioni effettuate e alle entità coinvolte nel processo.

La mappa così costruita, che dovrà essere aggiornata e mantenuta nel tempo per riflettere eventuali variazioni, permette, in qualunque momento, di avere un quadro chiaro in merito ai dati personali trattati dall’azienda e di avere a disposizione tutte le informazioni pertinenti in un unico documento; se consideriamo i dati personali un asset aziendale, al pari degli strumenti tecnologici che permettono di svolgere le attività di lavoro, il Registro dei trattamenti è, a pieno titolo, un “registro degli asset”.

In ogni caso, anche se decidessero di non compilare fisicamente il Registro, il Regolamento richiede alle organizzazioni di:

  • fare un censimento dei dati trattati, identificandoli in base alla categoria;
  • identificare le categorie di interessati al trattamento;
  • avere una chiara rappresentazione di come i dati sono elaborati, protetti, archiviati ed eliminati;
  • indicare il luogo di conservazione fisica degli archivi, verificando che gli eventuali trasferimenti di dati personali avvengano nel rispetto delle garanzie previste per legge.

Che il Titolare e l’eventuale Responsabile del trattamento siano a conoscenza di queste informazioni è dato per scontato; per questo, dovendo mettere mano all’impresa, la compilazione del Registro è veramente l’ultima delle incombenze!

Vedremo dunque, in modo molto sintetico, quali sono i passi necessari ad acquisire le informazioni che i soggetti che svolgono attività di trattamento devono obbligatoriamente possedere.

  • CLASSIFICAZIONE E INVENTARIO DEI DATI PERSONALI.

L’inventario dei dati personali oggetto di trattamento richiede una ricognizione puntuale delle informazioni in possesso dell’organizzazione.

È possibile effettuarlo intervistando, anche con l’utilizzo di appositi questionari, tutte le funzioni aziendali che effettuano operazioni di trattamento. È molto utile, in questa fase, farsi supportare dal responsabile IT o dai responsabili dei diversi ambiti applicativi, che hanno la visione dei flussi e dei processi che insistono sulle stesse basi di dati.

Non è sufficiente classificare i dati personali in base alla loro tipologia (dati comuni, dati relativi alla salute, dati biometrici) ma bisogna stabilire a chi si riferiscono (clienti, dipendenti, terzi esterni, imprese facenti parti dello stesso gruppo, associati), dove siano conservati (luogo fisico, sistemi IT e device) e dove siano fisicamente effettuate le operazioni di trattamento.

Per ciascuno di questi elementi – categorie di dati, categorie di interessati, luogo di conservazione, luogo di trattamento – sarà inoltre necessario verificare l’esistenza delle condizioni di legittimità del trattamento effettuato.

… (continua)

PILLOLE PRIVACY N° 9 – I DATI PERSONALI E …

PILLOLA 9

… il marketing diretto

Chi utilizza il marketing diretto per inviare – via email o SMS – informazioni commerciali a clienti o potenziali clienti, alla pari di chi impiega il telefono per contattarli, deve fare molta attenzione agli obblighi di legge.

In primo luogo, l’utilizzo di dati personali per finalità di marketing diretto è ammessa solo con il preventivo consenso del destinatario del messaggio commerciale; pertanto, l’organizzazione dovrà massimamente occuparsi di raccogliere il consenso in modo valido e di conservarne l’evidenza, da esibire in caso di verifiche.

Il Regolamento europeo prevede che il consenso sia richiesto separatamente e specificatamente per ciascun mezzo di contatto e l’interessato ha la libertà di revocarlo in qualunque momento.

Come sottolineato dai provvedimenti emessi in materia dall’Autorità Garante nel corso degli anni, particolari cautele devono essere utilizzate nel caso di telefonate effettuate mediante call centre.

L’obbligo di iscrizione al ROC (Registro degli Operatori di Comunicazione), l’informazione circa il luogo fisico da cui parla l’operatore che risponde al telefono, la possibilità per l’interessato, nell’ipotesi in cui l’operatore sia collocato in un paese extra-UE, di richiedere che il servizio reso sia effettuato attraverso un operatore collocato in un paese dell’Unione Europea o del territorio nazionale… sono incombenze, a carico di coloro che prestano servizio tramite call centre o che si avvalgono di società specializzate, che dimostrano l’attenzione al tema e l’intenzione di ostacolare l’utilizzo scorretto di dati personali.

… l’email aziendale

La riservatezza della corrispondenza è protetta dall’articolo 15 della Costituzione italianale caselle di posta elettronica aziendale assegnate a un individuo chiaramente identificato (tipicamente con nome e cognome) non sono perciò ispezionabili dal datore di lavoro, a meno di specifico intervento della autorità giudiziaria.

I regolamenti interni di una organizzazione possono tuttavia disciplinare e definire modalità di «condivisione» delle email (indirizzi condivisi, indirizzi di reparto, deleghe  in caso di assenza per motivi di salute o di vacanza) per tutelare gli interessi aziendali.

PILLOLE PRIVACY N° 8 – I DATI PERSONALI E …

Pillola n. 8

… l’utilizzo di strumenti personali sul luogo di lavoro

Smartphone, memory card, unità disco esterne, chiavette USB, Iphone; strumenti utili per rimanere sempre connessi, supporti di memorizzazione poco ingombranti che permettono di portare dietro o scaricare i documenti di cui si ha bisogno.

Ciascuno di questi device ha una grande utilità ma può essere fonte di pericoli. Come bisogna comportarsi? Quali sono le decisioni più giuste per scongiurare possibili danni?

 

Non sempre il divieto assoluto di utilizzare dispositivi personali sulla rete aziendale è la soluzione migliore; è probabile che sia la soluzione a minor rischio ma è anche vero che scegliere questa strada può essere penalizzante e limitativo.

In alcune realtà, il divieto di usare device esterni rischia di rendere più difficoltoso il lavoro : immaginiamo il caso di un consulente esterno che collabora con l’organizzazione e lavora connettendo il proprio PC alla rete aziendale oppure pensiamo alla possibilità di portare da un cliente una presentazione o altro materiale in modo agevole; tutti sappiamo quanto sia utile scambiare informazioni rapidamente o quanto, in certi momenti, sia importante avere una connessione funzionante per reperire informazioni in rete.

Non esiste quindi una ricetta buona per tutte le occasioni e ciascuna organizzazione dovrà dotarsi di regole “a propria misura”.

La cosa migliore, qualunque sia la regola che l’organizzazione decide di darsi in base al contesto in cui opera, è rendere note le condizioni secondo  le quali è ammesso l’utilizzo di device personali.

Il personale dipendente, i collaboratori e i visitatori occasionali devono conoscere le regole e attenervisi; l’organizzazione si doterà di processi e strumenti in grado di proteggere il perimetro e i dati aziendali (registrazioni e password ad hoc, installazioni di antivirus, abilitazioni temporanee).

Le regole devono essere facilmente comprensibili ed efficaci. A tale scopo, ogni organizzazione può inserire nel proprio regolamento interno un’apposita sezione che chiarisca le condizioni di utilizzo di device personali sul luogo di lavoro.

PILLOLE PRIVACY N° 7 – I DATI PERSONALI E …

PILLOLA 7

…  l’uso di strumenti di tracciamento

Gli eventuali strumenti di tracciamento adottati dall’organizzazione devono essere dichiarati agli interessati ed utilizzati secondo la legge.

L’utilizzo di cookies di terza parte su un sito, per esempio, o di web beacon, deve essere notificato agli interessati, che devono avere la possibilità di acconsentire o meno all’utilizzo di informazioni relative ai propri comportamenti in rete.

L’intenzione di utilizzare algoritmi di profilazione deve essere ugualmente evidenziata e richiede di norma il consenso esplicito dell’interessato.

Non è quindi possibile raccogliere ed utilizzare dati personali per inviare pubblicità mirata (la cosiddetta pubblicità comportamentale) senza che l’interessato ne sia consapevole e acconsenta.

L’impiego di sistemi di videosorveglianza nei luoghi di lavoro segue regole precise e, in alcune specifiche situazioni, richiede il preventivo accordo delle organizzazioni sindacali o dell’Autorità Garante. È necessario in ogni caso spiegare agli interessati perché l’organizzazione ha deciso di dotarsi di un sistema di videosorveglianza (quali siano cioè le finalità del trattamento); bisogna inoltre specificare come sono usate, memorizzate e protette le informazioni raccolte, per quanto tempo sono conservate e chi e per quale ragione ha accesso alle immagini.

Cautela richiede anche l’impiego di sistemi di geo-localizzazione; le APP che ne fanno uso, ad esempio, devono preventivamente informare gli interessati e ottenere il loro consenso prima di trattare i dati. Devono inoltre offrire la possibilità di disattivare il sistema di localizzazione se l’interessato desidera farlo.

PILLOLE PRIVACY N° 6 – MISURE ORGANIZZATIVE

Pillola 6

Le violazioni

I dati, inclusi quelli personali,  sono un patrimonio aziendale che deve essere protetto: è necessario quindi verificare costantemente la loro qualità e affidabilità e vigilare sui possibili tentativi di effrazione.

In caso di una violazione di dati personali è necessaria una pronta reazione di tutta l’organizzazione, allo scopo di limitare la perdita di informazioni, di scongiurarne un eventuale utilizzo illecito e, se del caso, di segnalare l’accaduto all’Autorità entro i termini previsti dalla legge.

Ciascuna organizzazione, tenendo conto della tecnologia utilizzata, delle categorie di dati gestiti e della loro numerosità, deve dotarsi di strumenti di controllo ed effettuare un monitoraggio interno allo scopo di prevenire o intercettare in tempi rapidi gli eventi sospetti.

Per reagire alla violazione in modo tempestivo ed efficace, è opportuno assegnare preventivamente responsabilità e compiti.

È necessario che tutte le componenti dell’organizzazione siano consapevoli dei comportamenti da tenere in caso di violazione e delle responsabilità di ciascuno, nonché delle modalità di comunicazione di accadimenti o fatti sospetti.

È opportuno fornire ai dipendenti chiare indicazioni in merito al canale da utilizzare (ad esempio un numero di telefono, un ufficio, un indirizzo e-mail) per segnalare un evento che necessita di essere indagato e quali siano le informazioni minimali da inserire nella comunicazione.

Gestione delle richieste degli interessati

L’organizzazione deve implementare i processi necessari a rispondere tempestivamente alle richieste degli interessati in merito all’esercizio dei loro diritti, secondo i termini di legge.

Le procedure, appositamente predisposte, dovranno contenere i criteri utilizzati per l’accertamento dell’identità del richiedente e per la valutazione della legittimità della richiesta nel caso, per esempio, questa sia fatta nell’interesse di un terzo (per esempio il genitore di un minore).

In funzione della tipologia della richiesta (relativa allo specifico diritto esercitato) si dovrà inoltre valutare se esistono i presupposti per procedere e si dovrà dare seguito alle stessa con azioni specifiche (cancellazione, rettifica, revoca del consenso, conferma dell’esistenza di dati personali del richiedente, eccetera).

Particolare attenzione è richiesta nel caso in cui il diritto esercitato – e esercitabile – sia quello relativo alla portabilità dei dati.

Il diritto alla portabilità è un nuovo diritto e le organizzazioni dovranno valutare quale sia il modo più efficace di ottemperare alla richiesta (modalità e formato di importazione ed esportazione di dati); a questo proposito, è opportuno vigilare su eventuali indicazioni che l’Autorità Garante potrebbe rilasciare su questo tema.

È opportuno tenere traccia delle richieste, anche a fini statistici e di valutazione interna, e documentarne l’evasione nei tempi prescritti.

PILLOLE PRIVACY n° 5 – MISURE ORGANIZZATIVE

Pillola 5

Regole chiare e responsabilizzazione dei dipendenti

Tutti i componenti dell’organizzazione devono comprendere il valore della protezione dei dati personali e devono conoscere le regole secondo le quali devono essere trattate le informazioni personali nell’espletamento delle mansioni assegnate.

La redazione di un documento di politica, oppure la predisposizione di un regolamento aziendale o di un disciplinare che illustrino con chiarezza le regole sono strumenti efficaci per diffondere la cultura e trasmettere le istruzioni al personale.

Qualora l’organizzazione decidesse di diffondere le istruzioni in merito al trattamento dei dati personali per mezzo di un documento apposito, questo potrà essere reso disponibile sulla intranet aziendale in una apposita sezione e dovrà essere aggiornato ogniqualvolta sia necessario per recepire aggiornamenti normativi o cambiamenti nei processi. La presa visione e l’accettazione di questo contenuto può essere richiesta a tutti i dipendenti (in forma digitale o mediante apposizione di firma sulla versione cartacea) in modo che l’organizzazione possa tracciare e documentare l’avvenuta trasmissione delle istruzioni.

Informazione e formazione

Informare e formare dipendenti e collaboratori è un preciso dovere dei soggetti che hanno la responsabilità del trattamento. In previsione dell’entrata in vigore del Regolamento Europeo, l’organizzazione dovrà predisporre seminari o workshop interni con l’obiettivo di diffondere al suo interno la conoscenza della normativa e di spiegare quali misure tecniche e/o organizzative intende implementare per il rispetto delle prescrizioni di legge.

A regime, è opportuno che il tema sia ripreso e riportato all’attenzione di tutti con cadenza almeno annuale, per mantenere e rinforzare la cultura della protezione dei dati.

Tutti i nuovi assunti che svolgono operazioni di trattamento di dati personali devono ricevere istruzioni precise e visionare le politiche interne relative.

In caso di mansioni particolarmente delicate – per la natura e la sensibilità dei dati con i quali gli addetti entrano in contatto – l’organizzazione deve valutare l’opportunità di predisporre sessioni formative ad hoc per mitigare i rischi eventualmente connessi alle specifiche operazioni di trattamento svolte (trattamento di dati sanitari, operatori di call centre, addetti alle risorse umane… ).

La partecipazione di collaboratori e dipendenti alle attività di formazione deve essere documentata e conservata dall’organizzazione. 

PILLOLE PRIVACY n° 4 – MISURE ORGANIZZATIVE

PILLOLA 4

La comunicazione interna

La tutela dei dati personali conferiti all’organizzazione è un valore che deve essere trasmesso a tutta l’organizzazione perché contribuisce al raggiungimento degli obiettivi di business aziendali.

La struttura privacy definisce un piano di comunicazione interno allo scopo di elevare il livello di consapevolezza dell’organizzazione e di mantenerlo nel tempo.

La comunicazione riveste un ruolo molto importante perché costruisce un linguaggio condiviso, fornisce gli strumenti per una corretta chiave di lettura e crea le basi che permettono all’organizzazione di reagire prontamente a eventuali criticità o fatti inaspettati. Può essere vista come un vero e proprio momento di formazione, un’occasione per diffondere la cultura della protezione dei dati personali e una dimostrazione di accountability da parte del Titolare del trattamento.

La comunicazione interna può avvenire attraverso canali diversi ed essere formale o informale. Si può, ad esempio, usare l’intranet aziendale per diffondere comunicazioni di aggiornamento periodiche (newsletter), oppure si possono prevedere seminari specifici indirizzati alle funzioni che, a vario titolo, effettuano trattamenti di dati personali. È inoltre importante che un rappresentante della struttura privacy prenda parte ai meeting periodici delle funzioni aziendali (per esempio IT, sicurezza, marketing, sviluppo applicativo, legale, customer care, call center) per ogni aspetto legato alla privacy.

Comunicazione e rapporti esterni

La comunicazione nei confronti di tutti coloro che guardano all’organizzazione o che hanno con essa rapporti d’affari è un aspetto che deve essere curato, soprattutto nell’era del digitale. Una comunicazione trasparente e onesta con la clientela, per esempio, è indice di affidabilità e può tradursi in un vantaggio competitivo.

Comunicare quali azioni sono state messe in atto dall’organizzazione per aumentare la tutela dei dati personali dei propri clienti o associati aumenta la fiducia degli interessati e rinforza il brand.

È possibile, ad esempio, pubblicare sul sito i report che mostrano una riduzione dell’esposizione al rischio  sicurezza attraverso l’attivazione di nuove procedure o di nuovi sistemi oppure che illustrano i risultati positivi di un audit, che notificano l’avvio di un processo di certificazione intrapreso dall’organizzazione; informare gli stakeholder esterni dei risultati positivi ottenuti è un ottimo modo per dimostrare impegno e per fidelizzare.