VERIFICHE E IMPEGNO COSTANTE DELL’INTERA ORGANIZZAZIONE
Con il trascorrere del
tempo, è necessario sottoporre i processi interni a verifiche per
controllare che le misure tecniche e organizzative in essere per tutelare i diritti
e le libertà degli interessati svolgano il loro ruolo in maniera soddisfacente.
Le esigenze cambiano,
il business cambia, la realtà pone continuamente nuove sfide; il livello di
protezione dei dati personali deve essere adeguato ai tempi, alle innovazioni
tecnologiche, alle mutate necessità.
I controlli possono
essere stabiliti su base periodica o possono essere effettuati su
base specifica, per esempio a seguito di un evento o di una criticità
emersa); possono essere svolti in proprio dall’organizzazione o avvenire
con l’ausilio di un professionista specializzato.
È molto importante che
l’intera organizzazione, nel tempo, acquisisca consapevolezza sull’importanza
del tema e sia parte attiva nel miglioramento continuo che bisogna
profondere per proteggere dati e trattamenti.
Le aziende hanno un
ruolo delicato e molto importante da svolgere: favorire un cambiamento
culturale in un mondo che considera i dati personali principalmente come una
fonte di arricchimento. Intendiamoci, non c’è niente di male, purché il tutto avvenga
all’interno delle regole che l’unione europea ha deciso di darsi.
FINE
https://www.privacyinchiaro.it/wp-content/uploads/2020/03/motivation-4330453_1280.jpg8301280Paola Limatolahttps://www.privacyinchiaro.it/wp-content/uploads/2017/01/Privacy_inchiaro_400.pngPaola Limatola2020-04-27 17:01:002020-04-22 11:06:37LE SANZIONI DEL GARANTE A TIM – ALCUNI SPUNTI – 6
Un modello di business
B2C, proprio per il fatto di rivolgersi a una platea diffusa di individui,
richiede quindi una grande attenzione al governo dei processi; gli
errori sono sempre dietro l’angolo, anche in un’organizzazione perfettamente
strutturata, e bisogna cercare di ridurli a monte.
A cosa servono le
procedure? A
descrivere come deve comportarsi l’organizzazione – o una parte di essa – in determinate
circostanze, che possono essere le più diverse.
Una procedura può ad
esempio servire per spiegare come si effettua la lavorazione di un prodotto,
come si contattano i clienti, come si selezionano i fornitori; tutti coloro
che, all’interno di un’organizzazione, sono interessati a quel particolare
ambito (produzione del prodotto, contatto con la clientela, selezione dei
fornitori) hanno a disposizione un documento che descrive i passi da compiere, le
funzioni coinvolte, le relativa responsabilità e le modalità di gestione di
eventuali criticità.
Adottare una procedura significa
diffonderla all’interno della propria organizzazione per assicurarsi che,
indipendentemente dal fatto che una determinata attività sia effettuata da un individuo
o da un altro, le operazioni si svolgano con le stesse modalità e seguano le
regole che l’impresa si è data.
Indipendentemente dal modello
di business adottato, quindi, le procedure sono un alleato prezioso del
vertice aziendale perché permettono di raggiungere risultati pre-determinati in
un determinato ambito di attività.
Anche la protezione
dei dati personali richiede l’adozione di procedure specifiche.
Al di là dei documenti che
l’organizzazione, su base volontaria, può decidere di predisporre per un miglior
governo di alcuni processi chiave – pensiamo per esempio a una azienda
sanitaria e alla possibile decisione di dedicare procedure specifiche ad alcuni
trattamenti di dati personali particolarmente rischiosi – esistono procedure
di carattere più generale che devono essere considerate obbligatorie e
che qualunque tipo di organizzazione deve adottare se vuole essere conforme.
È il Regolamento europeo
a dettare le regole da rispettate per la gestione delle richieste che gli
interessati sottopongono al titolare del trattamento e per la notifica
all’autorità di controllo e, se necessario, agli interessati, di
eventuali violazioni di dati personali, stabilendo i tempi massimi entro
i quali l’organizzazione coinvolta deve procedere.
È perciò necessario predisporre
procedure adeguate al governo di questi due importanti aspetti del Regolamento
europeo: la gestione delle richieste degli interessati e la gestione delle
violazioni di dati personali.
Le indicazioni per il
governo dei relativi processi potranno essere estremamente sintetiche o
dettagliate e il loro contenuto rifletterà le specifiche dimensioni e
complessità del sistema che si deve tenere sotto controllo; in ogni caso, esse
dovranno identificare e assegnare in modo certo le responsabilità assegnate
alle funzioni aziendali coinvolte. Dovranno inoltre:
definire
un sistema di tracciatura degli eventi (una richiesta ricevuta da parte di un interessato o
un sospetto di violazione);
illustrare
le modalità di classificazione degli eventi medesimi;
identificare
i passi necessari a chiudere gli eventi nei tempi e con le modalitàpreviste
dalla normativa.
Se opportuno, le
procedure dovranno essere condivise con eventuali soggetti terzi ai
quali l’organizzazione ha delegato parte dei propri trattamenti; la mancata
implementazione di procedure adeguate al governo dei processi (ad esempio “la
gestione delle istanze di esercizio dei diritti degli interessati”) è stato
uno dei principali punti di debolezza del sistema di gestione dei dati
personali oggetto di verifica.
Il contenuto di questi
documenti deve essere coerente con le procedure pre-esistenti e con le politiche
socetarie e non deve essere in contrasto con le prassi operative effettivamente
seguite nello svolgimento delle attività.
A proposito di
violazioni di dati personali, entriamo per un attimo nei dettagli del
provvedimento.
Pare incredibile che
il DPO – la funzione deputata a offrire supporto e consulenza al titolare
per ogni tema relativo alla protezione dei dati personali – abbia ricevuto informazione
su un data breach a distanza di mesi dall’evento! La normativa impone al
titolare del trattamento di assicurarsi che il responsabile della protezione
dei dati sia coinvolto in ogni questione riguardante la protezione dei
dati personali, tempestivamente e adeguatamente.
Non c’è alcun dubbio
che un data breach sia una “questione” importante che merita di essere
portata all’attenzione del DPO; e non c’è dubbio che l’avverbio tempestivamente
stia ad indicare un intervallo di tempo estremamente breve, considerando
che la notifica della violazione all’autorità di controllo deve avvenire entro
le 72 ore successive alla constatazione del fatto.
Minuti o ore, quindi:
di sicuro non mesi!
Ma se le procedure non ci sono o non sono adeguate, se le responsabilità non
sono declinate in modo chiaro, è facile che qualcosa si inceppi. Non
necessariamente per cattiva volontà di chi opera, più probabilmente per una
mancata capacità dell’organizzazione di comunicare al suo interno le priorità e
i comportamenti da adottare.
Un altro pilastro molto
importante della protezione dei dati deve trovare un’opportuna collocazione
nell’alveo dei documenti di cui stiamo parlando.
SI tratta del principio
di privacy by design e by default, che il titolare deve obbligatoriamente rispettare
per integrare in tutti i trattamenti le garanzie necessarie a tutelare “a
monte” i diritti degli interessati; nella pratica, si tratta di adottare specifiche
misure tecniche e organizzative (qui entrano in gioco le procedure) che entrano
in gioco sia nel momento di determinare i mezzi del trattamento (prima) sia
all’atto del trattamento (durante).
In poche parole, i
processi di trattamento e le applicazioni informatiche che li abilitano devono
essere strutturati in modo tale da garantire “intrinsecamente e nativamente”,
per così dire, il rispetto della normativa sulla protezione dei dati
personali.
Questo vale per la quantità
e la qualità dei dati raccolti (che devono essere solo quelli strettamente
necessari alla finalità di trattamento), per la loro conservazione
temporale, per la loro sicurezza e protezione e per l’accessibilità,
affinché solo il personale autorizzato possa entrarvi in contatto.
Il principio di privacy
by design & by default deve essere soddisfatto non solo per quanto riguarda
i trattamenti e gli strumenti correnti ma anche da quelli futuri. Nuovi prodotti
e nuovi servizi devono quindi essere progettati fin dalle primissime fasi
nel rispetto dei principi e dei vincoli imposti al titolare del trattamento
dalla normativa sulla protezione dei dati.
Bisogna darsi delle
regole e bisogna adoperarsi affinché tutta l’organizzazione le conosca e le applichi
quando è necessario.
La struttura o la
persona che si occupa della protezione dei dati personali – sia essa il DPO o
un referente interno – affiancherà quindi la direzione strategica, il
marketing, l’IT, l’ufficio legale, la direzione ricerca e sviluppo ogni qual volta
si verifichi l’opportunità di apportare modifiche ai processi di trattamento
esistenti o di progettarne di nuovi e darà il proprio contributo.
Solo adottando regole
di comportamento stringenti si può evitare di “andare in onda” senza l’adeguata
preparazione. La preparazione che può servire per evitare di scivolare
sulla classica buccia di banana.
IL CASO DELLA RACCOLTA DI INFORMAZIONI SULLA SALUTE DI DIPENDENTI E VISITATORI AI TEMPI DEL CORONAVIRUS.
La prima domanda è: perché?
Perché associazioni
prestigiose di rilevanza nazionale invitano i propri iscritti a raccogliere
informazioni sulla salute dei propri dipendenti e visitatori e sui loro
spostamenti, raccomandando loro di inserire nel modulo di raccolta, in
qualità di titolari del trattamento, la propria “dichiaratoria privacy”?
Prima di procedere con
un nuovo trattamento, sarebbe stato opportuno porsi alcune semplici domande:
quali
sono le finalità del trattamento e la relativa base giuridica? È
lecito raccogliere questi dati e per quale scopo?
chi
sono gli interessati e con quali modalità avviene il trattamento?
quali
sono le misure di sicurezza tecniche e organizzative messe in atto per
tutelare diritti e libertà degli interessati?
per
quanto tempo tratto i dati e come li conservo? Come li elimino?
dopo
aver raccolto i dati, li trasmetto a qualcuno o li trattengo? Per fare
cosa?
Si trattava molto
evidentemente di raccogliere dati relativi alla salute e, giusto per ricordarlo,
il trattamento di questa tipologia di dati è generalmente vietato ed è
possibile solo se ricorrono particolari condizioni; si trattava di un
trattamento diverso quelli usualmente svolti dalle aziende e che, in
assenza di leggi specifiche – in quel momento non emanate – solo un
medico avrebbe potuto effettuare.
Essendo questo un
trattamento “nuovo”, l’esistenza di una procedura per il rispetto del
principio di privacy by design & by default avrebbe consentito di
comprendere immediatamente che il trattamento non era consentito (come poi
comunicato dal Garante lo scorso 2 marzo).
È che a volte gli
eventi hanno il sopravvento e prendono la mano; se non c’è un’attenzione consolidata
ai temi della protezione dei dati personali, anche con le migliori intenzioni,
si rischia di strafare.
Anche a questo
servono le procedure, a mantenere nel tempo comportamenti virtuosi e a guidare
le azioni delle organizzazioni in tempi difficili.
… continua …
https://www.privacyinchiaro.it/wp-content/uploads/2020/03/documents-2282153_1280.png12801280Paola Limatolahttps://www.privacyinchiaro.it/wp-content/uploads/2017/01/Privacy_inchiaro_400.pngPaola Limatola2020-04-26 17:00:002020-04-22 11:05:57LE SANZIONI DEL GARANTE A TIM – ALCUNI SPUNTI – 5
La capacità di comprendere e di
descrivere quello che si fa, motivandolo, è essenziale nel campo della protezione
dei dati personali.
La mancanza di una comprensione “a monte”
ingenera disordine e processi non adeguatamente governati. Inoltre, rende
impossibile soddisfare compiutamente, nel caso ce ne fosse bisogno, eventuali
richieste dell’Autorità di Controllo.
L’incapacità di quantificare le chiamate
fuorilista o di fornire l’elenco delle numerazioni contattate, le divergenze
tra le black list fornite ai call centre e quelle effettivamente utilizzate o
anche l’incapacità di provare
le attività di verifica verso il Registro delle opposizioni oppure
l’acquisizione di un valido consenso a fini promozionali; sono tutti elementi
che hanno pesato nella determinazione della sanzione a TIM.
È una buona abitudine quella di documentare
i propri processi, molte organizzazioni lo fanno e non è il caso di
spenderci troppe parole; meno ovvia è, invece, la necessità di documentare
le decisioni prese in merito ai trattamenti di dati personali.
Spesso questa documentazione è carente,
oppure è incompleta o, peggio ancora, inesistente.
Facciamo qualche esempio.
L’utilizzo del legittimo interesse come
base giuridica di un trattamento presuppone che il titolare abbia
effettivamente valutato gli interessi delle parti (ad esempio quelli del
titolare e quelli degli interessati) e ne abbia effettuato il bilanciamento.
È necessario lasciare traccia scritta
delle valutazioni effettuate (documentare), non solo perché è un obbligo
ma anche perché il materiale rimane a disposizione per eventuali future
consultazioni o miglioramenti dei processi. Chiunque dovesse occuparsi in
futuro della protezione dei dati personali potrà avere evidenza dei
ragionamenti e delle conclusioni tratte, senza dover ricominciare il lavoro
da capo.
Lo stesso identico ragionamento deve
esser fatto per un altro documento che è spesso assente nelle organizzazioni: l’analisi
dei rischi connessi a dati e trattamenti. È sempre opportuno ricordare che questa
valutazione deve essere effettuata mettendosi “nei panni degli interessati”
e non in quelli dell’organizzazione.
Anche il documento di valutazione dei
rischi in merito ai dati personali e al loro trattamento, quindi, deve esistere.
Esso richiede revisioni e aggiornamenti periodici, perché le minacce
mutano e i contesti operativi si evolvono nel tempo.
L’Autorità di Controllo, nel caso di
indagini o di visite ispettive, può chiedere di visionare i documenti e ha
ovviamente il diritto di entrare nel merito.
Cosa
bisogna, dunque, documentare?
Dando
per scontato che i documenti obbligatori – cioè quelli specificamente previsti
dalle norme – siano presenti e disponibili a richiesta, ogni informazione
(decisioni prese, processi, valutazioni, consensi, accordi con i fornitori …) in
merito ai trattamenti di dati personali svolti dall’organizzazione che permetta
di comprenderne gli aspetti chiave deve essere disponibile e facilmente
reperibile.
Ad
esempio, qualora le espressioni di consenso siano raccolte con modalità
cartacea, è importante sapere “dove” sono conservate e a cura di quale
funzione; allo stesso modo, devono essere identificabili con certezza le
eventuali liste di contatto utilizzate per le campagne di marketing nonché i
criteri che hanno determinato la loro composizione. O anche, qualora
l’organizzazione tratti dati personali per perseguire un proprio legittimo
interesse, è opportuno conservare traccia delle considerazioni che hanno
portato all’individuazione di questa specifica base giuridica.
Organizzazioni,
grandi e piccole, faranno bene a mettere in piedi un sistema di gestione della
documentazione, così da esser certi di conservare le evidenze in modo
coerentee, all’occorrenza, di poterle individuare con sicurezza.
https://www.privacyinchiaro.it/wp-content/uploads/2020/03/checklist-1622517_1280.png12801280Paola Limatolahttps://www.privacyinchiaro.it/wp-content/uploads/2017/01/Privacy_inchiaro_400.pngPaola Limatola2020-04-24 17:00:572020-04-22 11:04:17LE SANZIONI DEL GARANTE A TIM – ALCUNI SPUNTI – 3
Imprese e
organizzazioni hanno l’obbligo di interessarsi al “destino” dei dati
personali che raccolgono e utilizzano per svolgere la propria attività.
Quando i
titolari del trattamento – coloro, cioè, che ne determinano finalità e
mezzi – delegano, in tutto o in parte, le proprie attività ad altri soggetti (i
responsabili del trattamento, che agiscono in loro nome e per loro conto), non
possono e non devono disinteressarsi del destino dei dati.
Per questo,
devono affidarsi a soggetti che dal punto di vista organizzativo e tecnico sono
in grado di garantire che i trattamenti saranno svolti, per così dire, a regola
d’arte; devono, inoltre, istruirli e controllarli, anche mediante audit
mirati, con il duplice obiettivo di verificare nel tempo il corretto recepimento
delle istruzioni ricevute e l’adeguatezza delle misure di sicurezza adottate.
È perciò altamente
sconsigliabile non “regolarizzare” il rapporto in essere con i propri
clienti e/o fornitori. I contratti di servizio esistenti devono essere emendati
con opportune clausole o integrati da uno specifico accordo che regolamenti i
trattamenti delegati di dati personali (a cui per brevità ci riferiremo con il
termine DPA, dall’inglese Data Processing Agreement).
Non si
tratta di eccezioni né di casi sporadici. Ancora oggi molti, semplicemente,
non si sono posti il problema; altri, invece, rimandano, spaventati dal
fatto di assumersi per iscritto importanti responsabilità. Per inciso, le
responsabilità esistono indipendentemente dalla sottoscrizione della DPA.
Non regolamentare il rapporto tra titolare e responsabile del trattamento è una scelta che può avere importanti conseguenze in quanto, se non sostenuto da un atto giuridico, il trattamento si configura come illecito, con conseguenze ancora peggiori.
Questo non è
sempre chiaro, sembra; così come non sempre è chiaro il rispetto della legge
è un obbligo di tutti gli attori del trattamento, non una concessione che
il responsabile del trattamento fa al titolare a fronte del pagamento di un
corrispettivo.
A meno di
motivazioni specifiche e di situazioni particolari, le spese eventualmente
sostenute dal fornitore per il recepimento della normativa non rilevano; coloro
che condizionano la firma del DPA al pagamento di una cifra in denaro per
assicurare la conformità dimostrano di non aver compreso le proprie
responsabilità.
È allo
stesso modo sconsigliabile utilizzare modelli standard di DPA, da
personalizzare inserendo semplicemente i propri dati anagrafici e quelli del
fornitore, per redigere l’accordo di trattamento.
La
definizione delle attività e le istruzioni sono legate allo specifico contesto
e un atto stipulato sulla base di una declaratoria di responsabilità
standardizzata non tutela né il titolare né il responsabile del
trattamento; è importante che il DPA rifletta la situazione reale dei processi
delegati, anche perché sarà sulla base del suo contenuto e delle
responsabilità ivi descritte che saranno valutate eventuali sanzioni
amministrative.
Inoltre, è
bene che la “catena dei trattamenti”, inclusi eventuali sub-responsabili
coinvolti per l’esecuzione di parti del processo, sia chiara fin dall’inizio,
proprio nell’ottica della trasparenza. Titolare e responsabile del trattamento
devono collaborare e condividere ogni informazione rilevante per poterne
rispondere in modo documentato.
Nel caso che
stiamo esaminando, è stato rilevato che i testi contrattuali presentavano
alcune carenze sia nella determinazione dei processi consentiti sia nella
definizione delle misure tecniche e organizzative da adottare in relazione
ad alcune categorie di dati.
Il
consiglio, quindi, è di prestare la dovuta attenzione a questo aspetto.
In merito ai
dati personali, sapere “chi” è autorizzato a fare “cosa” e “come” è autorizzato
a farlo – sia al proprio interno che esternamente – è obbligatorio.
Quando gli
elementi del trattamento e le informazioni pertinenti prendono forma nero su
bianco nel DPA, ci si accorge di quanto sia poco opportuno lavorare con il
“copia e incolla” per costruire un documento accettabile. Se è importante
semplificare, agire con superficialità non paga.
… continua …
https://www.privacyinchiaro.it/wp-content/uploads/2020/03/animals-2364769_1280.jpg9601280Paola Limatolahttps://www.privacyinchiaro.it/wp-content/uploads/2017/01/Privacy_inchiaro_400.pngPaola Limatola2020-04-23 17:00:342020-04-22 11:03:08LE SANZIONI DEL GARANTE A TIM – ALCUNI SPUNTI – 2
Sono
stati molti i commenti sulla sanzione erogata a TIM dall’Autorità
Garante con il provvedimento dello scorso mese di gennaio (doc. web n. 9256486): trascorso un po’ di tempo dalla pubblicazione della
notizia, vogliamo condividere qualche riflessione.
Il
provvedimento è molto dettagliato e di complessa lettura e noi non intendiamo entrare
più di tanto nel merito delle singole violazioni contestate. È probabile che la
gran parte dei rilievi emersi nei confronti di TIM potrebbero, senza troppa
difficoltà, applicarsi con poche differenze a molte situazioni.
Intendiamo
invece soffermarci sugli aspetti a nostro avviso più importanti che, al di là
delle specifiche violazioni e dei rilievi puntuali, offrono spunti di
riflessione di portata più ampia e che possono essere utili a imprese ed
enti che hanno affrontato (o credono di averlo fatto) il percorso di conformità
alle rinnovate norme sulla protezione dei dati.
Analizziamo i macro-temi che attraversano il provvedimento con l’obiettivo di evidenziare gli aspetti sostanziali che non devono essere trascurati quando un’organizzazione si appresta a rivedere la propria protezione dei dati personali alla luce delle norme vigenti.
Analizziamo i macro-temi che attraversano il provvedimento con l’obiettivo di evidenziare gli aspetti sostanziali che non devono essere trascurati quando un’organizzazione si appresta a rivedere la propria protezione dei dati personali alla luce delle norme vigenti.
ACCOUNTABILITY
Il principio
di accountability, come è ormai noto, impone al titolare del trattamento
un’assunzione di responsabilità concreta nei confronti dei dati conservati e/o
trattati e dei trattamenti.
Non si
tratta di un principio astratto o puramente teorico ma di qualcosa di estremamente
concreto.
È
fondamentale farsene una ragione e operare in modo consapevole con interventi adeguati
e responsabili.
In
relazione al provvedimento citato, facciamo riferimento, in particolare, alla
necessità di:
controllare tutta la “filiera” dei trattamenti, di quelli svolti in proprio e di quelli delegati;
implementare prassi gestionali condivise con tutti gli attori della filiera del trattamento, in modo da limitare l’adozione di prassi scorrette;
prendere coscienza del fatto che le azioni che i responsabili del trattamento intraprendono in mancanza di istruzioni ricevute dal titolare ovvero i loro comportamenti, quando sono difformi dalle istruzioni fornite, possono essere sintomi di una mancata vigilanza o di una “culpa in eligendo”del titolare del trattamento;
redigere accordi per il trattamento chiari e dettagliati con i propri clienti e/o fornitori;
comprendere che trarre indebito profitto da comportamenti al limite o da trattamenti non previsti dalle proprie politiche è illegittimo e sanzionabile;
essere capaci di comprovare il rispetto della normativa e di documentarlo con evidenze oggettive;
adottare procedure per il governo di processi “chiave” (gestione delle richieste degli interessati – gestione delle violazioni di dati personali – privacy by design) che consentano di rispettare le tempistiche di risposta / notifica previste dalle norme;
poter dimostrare di aver effettuato un bilanciamento degli interessi (il proprio e quello degli interessati, ad esempio) prima di procedere con un trattamento basato, appunto, sul legittimo interesse;
individuare con coerenza le basi giuridiche e rappresentarle in modo chiaro e trasparente nei documenti di informativa;
intervenire sulle carenze organizzative che possono lasciare spazio a comportamenti negligenti e/o dolosi;
verificare che i tempi dichiarati di conservazione dei dati e i principi fondamentali del trattamento siano recepiti correttamente dai sistemi automatizzati utilizzati per archiviare e trattare i dati personali;
assicurarsi che ogni sviluppo / modifica ai processi tenga conto della protezione dei dati in modo “nativo”.
… continua …
https://www.privacyinchiaro.it/wp-content/uploads/2020/03/TITOLO-APERTURA.jpg265550Paola Limatolahttps://www.privacyinchiaro.it/wp-content/uploads/2017/01/Privacy_inchiaro_400.pngPaola Limatola2020-04-22 20:05:002020-04-22 10:59:34LE SANZIONI DEL GARANTE A TIM – ALCUNI SPUNTI – 1