Documenti della privacy maneggiare con cura

Con il Gdpr è necessario porre al tema particolare attenzione

Soltanto atti burocratici? Niente di più sbagliato. L’applicazione del regolamento generale europeo, al contrario, ha l’obiettivo di spingere le aziende verso una maggiore consapevolezza e una più e efficace
cultura della protezione dei dati. Alcune pratiche indicazioni possono aiutare a muoversi con sicurezza nei nuovi adempimenti richiesti dalla legislazione

 

L’applicazione del regolamento generale europeo 679/2018 (Gdpr) non può essere a rontata come un compito burocratico da assolvere spendendo il meno possibile. Sarebbe un grave errore, non solo per via delle elevate sanzioni amministrative collegate al mancato rispetto delle regole, ma anche perché uno degli obiettivi più
ambiziosi del regolamento è promuovere una nuova cultura della protezione dei dati personali nelle aziende e fra i cittadini europei.
Non è un caso che uno dei pilastri più importanti del Gdpr sia la responsabilizzazione di chi svolge attività di trattamento dei dati personali; le aziende hanno la piena responsabilità delle scelte compiute in merito ai trattamenti dei dati personali e rispondono di quello che fanno (o che non fanno). Le scelte sono libere e completamente autonome, nel rispetto delle indicazioni fornite dalla normativa.
È previsto che ogni scelta e ogni decisione tenga conto dello specifico contesto in cui opera l’azienda e sia “documentata” – il che significa che deve essere messa nero su bianco e archiviata opportunamente – per essere esibita in caso di verifiche o controlli.
È necessario, quindi, che le aziende considerino la protezione dei dati personali un tema che non può rimanere confinato sul tavolo del consulente legale o sulla scrivania dell’ufficio dell’information technology ma che richiede, per essere affrontato, la sinergia e la collaborazione di tutte le componenti aziendali.
Piuttosto complicato, quindi, pensare che soluzioni standard possano soddisfare adeguatamente i requisiti normativi e possano essere la base di un efficace sistema di protezione dei dati personali.

Passiamo adesso all’esame dei documenti, distinguendo tra quelli destinati agli interessati – quindi agli individui di cui si stanno trattando i dati – e quelli che l’azienda deve produrre internamente per poter documentare di aver agito responsabilmente.
Parleremo inoltre brevemente dei documenti non “obbligatori” ma, per così dire, “consigliati” per una corretta gestione del sistema di protezione dei dati personali.

I passi obbligatori
Il rispetto del principio di trasparenza passa per una comunicazione corretta e veritiera.
I dati personali non passano di proprietà perché appartengono alla persona che identificano; è bene che le aziende lo ricordino sempre e siano consapevoli del fatto che gli individui hanno la libertà di decidere in merito al loro utilizzo da parte di terzi.
È un diritto degli interessati ricevere dal titolare informazioni chiare, trasparenti, dettagliate e comprensibili in merito alle operazioni di trattamento relative ai loro dati personali. È un obbligo preciso del titolare e non rispettarlo significa incorrere in sanzioni potenzialmente pesantissime. Inoltre, nei casi in cui il trattamento è basato sul loro consenso, gli interessati hanno sempre il diritto di esprimerlo in maniera libera, consapevole, specifica e informata.
I documenti obbligatori verso gli interessati- escludendo da questi le comunicazioni dovute in caso di violazioni di dati personali che presentino un rischio elevato per i loro diritti e libertà – sono sostanzialmente due:
• l’informativa;
• il modulo per la raccolta del consenso.
È necessario acquisire il consenso per ogni tipo di trattamento che non sia:
• funzionale all’esecuzione di un contratto o di un pre-contratto di cui l’interessato è parte;
• necessario per la salvaguardia di interessi vitali dell’interessato;
• rispondente al e ettuato per adempiere a un compito di pubblico interesse o in connessione all’esercizio di pubblici poteri;
• necessario per perseguire la necessità di adempiere a un preciso obbligo legale in capo al titolare del trattamento;
• il legittimo interesse del titolare.
In nessun caso il consenso può essere implicito o tacito; per questo motivo, il titolare del trattamento deve sempre poter dimostrare che l’interessato abbia e effettivamente prestato il proprio consenso al trattamento che sta e effettuando e deve quindi conservarne l’evidenza.
È essenziale, perciò, che il titolare del trattamento si organizzi (con un archivio elettronico o cartaceo specificamente predisposto o mediante la modifica degli applicativi esistenti) per la registrazione delle scelte e effettuate dagli interessati; e poiché, per sua natura, il consenso può essere sempre revocato, gli strumenti di cui si dota devono permettergli di tenere traccia di eventuali ripensamenti degli interessati e di ogni variazione intercorsa durante il rapporto con loro.

Il registro dei trattamenti
Come recentemente indicato dall’autorità Garante nelle Faq dell’8 ottobre 2018, la compilazione del registro dei trattamenti è obbligatoria anche per liberi professionisti ed esercizi commerciali, pubblici o artigianali con almeno un dipendente (bar, ristoranti, officine, negozi, piccola distribuzione ecc.) e/o che trattino dati sanitari dei clienti (ad esempio parrucchieri, estetisti, odontotecnici, tatuatori, commercialisti, avvocati, notai, farmacisti, medici, osteopati, fisioterapisti): molte piccole aziende dovranno quindi redigere un proprio registro dei trattamenti, anche se potranno farlo in forma semplificata (limitandosi alla descrizione delle sole specifiche attività di trattamento sopra menzionate).
Il registro dei trattamenti è un documento che descrive gli elementi essenziali dei trattamenti e effettuati dal titolare e/o dal responsabile e che deve essere mantenuto nel tempo, recependo eventuali variazioni di trattamenti e processi che dovessero intercorrere.
Esempi di registro del titolare del trattamento e del responsabile del trattamento sono stati mostrati nell’articolo dal titolo «Privacy e safety la parola agli esperti» di Silvana Bresciani e Sabastiano Plutino.
Il registro del titolare è più ricco di dettagli rispetto a quello del responsabile, ma la gran parte delle informazioni da annotare sono desumibili dal contenuto dell’informativa messa a disposizione degli interessati: se l’informativa è ben costruita e pensata – quindi se il titolare del trattamento o il consulente che lo ha supportato hanno condotto una buona fase di analisi – la redazione di questo documento è abbastanza veloce.
I responsabili del trattamento, invece, devono prestare particolare attenzione alle operazioni di trattamento svolte per conto terzi; le aziende che curano il servizio di prevenzione e prevenzione o che svolgono servizi di medicina del lavoro dovranno redigerlo includendo in esso tutti i trattamenti svolti per i propri clienti. Il registro deve essere redatto in forma scritta – cartacea o elettronica – e deve essere tenuto a disposizione per eventuali verifiche. È molto probabile che sarà il primo documento a essere visionato in caso di ispezioni dell’autorità Garante, perché è quello che, più di tutti, offre la possibilità di comprendere velocemente quali siano le caratteristiche essenziali delle operazioni di trattamento svolte dall’azienda.

Strumenti di gestione
Quali sono gli altri documenti di cui è necessario dotarsi? Dalla lettura attenta della normativa si evince che il titolare del trattamento non può fare a meno di predisporre alcuni documenti essenziali per dimostrare di aver ottemperato al principio di responsabilizzazione e di aver rispettato i principi applicabili a ogni trattamento di
dati personali, così come imposto dal Gdpr.

Individuare e gestire i rischi
Individuare e gestire i rischi connessi al trattamento dei dati personali è uno degli obblighi principali del titolare del trattamento; anzi, nessuna operazione di trattamento può essere e effettuata senza una
preventiva e documentata analisi dei rischi. Documentata, appunto. Se i rischi sono stati valutati – e devono esserlo – sono state anche individuate soluzioni per mitigarli o eliminarli; di tutto questo occorre lasciare traccia. Allo stesso modo, devono essere tracciati gli esiti dei successivi controlli che devono essere programmati per la verifica periodica delle attività di trattamento o per il miglioramento delle misure di sicurezza tecniche e organizzative implementate.
Per soddisfare questo requisito normativo, è sufficiente applicare i comuni strumenti di valutazione e gestione del rischio alle operazioni di trattamento svolte dall’azienda.
In ogni caso, è bene che l’azienda documenti tutte le analisi e effettuate e tutte le azioni implementate per migliorare la sicurezza del trattamento.

Gestire le violazioni
Un altro obbligo stringente che il Gdpr pone sulle spalle del titolare è la comunicazione al Garante, e in alcuni casi particolari anche agli interessati, delle violazioni di dati personali accertate all’interno del proprio perimetro di trattamento; questo include anche le aree affidate a terzi, per esempio in outsourcing.
La stampa specializzata ci informa che le violazioni di dati sono in preoccupante aumento e gli analisti prevedono che gli attacchi ai sistemi informativi delle aziende continueranno a crescere. Escludendo gli eventi di violazione legati ad azioni mirate, una buona parte di esse è causata da negligenze, disattenzioni o dalla mancata o ritardata adozione di misure di protezione, anche delle più elementari.
In ogni caso, il Gdpr impone che la comunicazione di una violazione, corredata da una serie di informazioni obbligatorie, sia inoltrata all’Autorità entro 72 ore dal suo accertamento. Se il titolare non ha predisposto una procedura per la gestione di questi eventi, non è semplice raccogliere le informazioni per strutturare coerentemente la comunicazione nei tempi previsti.
Per questo motivo, è necessario che il titolare del trattamento predisponga una procedura per governare gli eventi di violazione e che la porti a conoscenza di tutte le componenti aziendali.
Nella malaugurata ipotesi che si verifichi, per qualunque motivo, una perdita o una sottrazione di dati, l’intera organizzazione deve sapere come comportarsi e come cooperare con le strutture aziendali incaricate di gestire l’evento.
La procedura per la gestione delle violazioni, la cui complessità o semplicità dipende dal modo di funzionare dell’impresa, deve illustrare in modo chiaro compiti e responsabilità delle risorse aziendali coinvolte nella corretta gestione di questo delicato momento e deve, quindi, diventare patrimonio condiviso.

Rispondere agli interessati
Il titolare del trattamento deve inoltre organizzarsi al meglio per rispondere alle eventuali richieste che gli interessati possono sottoporgli in riferimento all’esercizio dei diritti loro riconosciuti dalla normativa.
I beni (i dati personali), i diritti inalienabili – cioè dei singoli individui – sono “al centro” del Gdpr e tutti coloro che svolgono operazioni di trattamento di dati personali devono tenerlo ben presente.
Quando gli interessati chiedono, il titolare deve rispondere, al massimo entro un mese.
«Stai trattando mie informazioni personali? Quali dati relativi alla mia persona sono in tuo possesso? Perché li hai e per cosa li Se si è lavorato correttamente per prepararsi alla scadenza del 25 maggio 2018, data di applicabilità del Gdpr, sarà stata fatta un’analisi della situazione corrente e sarà stata colta l’opportunità di mettere ordine ed eliminare le informazioni vecchie e non più utilizzabili; sarà stata fatta anche una mappatura di processi e applicazioni per comprendere dove e come sono conservati i dati (incluse eventuali copie di sicurezza. In ogni caso, qualunque richiesta degli interessati comporta oneri per il titolare del trattamento che deve, lo ricordiamo, riscontrare la richiesta in modo tempestivo dopo essersi accertato dell’identità del richiedente; e per essere sicuri di intercettare tutte le richieste e di evaderle nella maniera corretta con il minor impiego possibile di risorse (persone e mezzi) è bene che i titolari del trattamento implementino una procedura che permetta loro di governare efficacemente i rapporti con gli interessati. risorsa alla quale è affidata la responsabilità di rispondere; chi ha ricevuto l’incarico di svolgere questo compito all’interno dell’azienda deve conoscere le possibili implicazioni, anche tecniche e legali, di simili richieste e può essere agevolato dalla disponibilità di modelli di risposta adatti alla maggior parte delle casistiche che potranno presentarglisi.
La procedura per la gestione delle richieste degli interessati è, quindi, un documento utilissimo per consentire all’organizzazione di rispondere alle richieste in modo efficiente e di dimostrare il rispetto del Gdpr.
Non disporne significa non aver compreso quanta attenzione sia dovuta agli interessati e soprattutto quanto l’adozione di misure organizzative efficaci renda più agevole la conformità alla legislazione vigente.
Tutte le componenti aziendali, anche in questo frangente, devono essere informate sul comportamento da tenere e sulle modalità di collaborazione con la funzione/ usi?». Le aziende potrebbero sentirsi porre questa domanda sempre più spesso, e rispondere potrebbe non essere così semplice o immediato. Molte sono le aziende che hanno le idee “confuse” sulla quantità di dati in loro possesso o sul luogo di memorizzazione; se pensiamo alla quantità di carta spesso conservata per anni in armadi che nessuno più apre, ci rendiamo conto della portata di una simile richiesta (sì, anche conservare documenti cartacei che contengono dati personali è un’attività di trattamento.)

In che modo occorre procedere con i documenti obbligatori
Va sottolineato che la vita delle aziende non è “immobile”, anzi è soggetta a continui mutamenti, che possono essere dettati a novità normative, da esigenze di business o cambiamenti del mercato, da modifiche dei processi. Tutti questi mutamenti possono comportare – e spesso comportano – la necessità di apportare modifiche ai documenti di cui s’è parlato. Si tratta, quindi, di documentazione “viva”, che richiede verifiche periodiche e, quando necessario, aggiornamenti.
La “storia” dev’essere conservata, per documentare la correttezza delle azioni del titolare del trattamento in presenza di determinate condizioni e in un determinato momento della vita dell’azienda; le vecchie versioni dei documenti destinati agli interessati, del registro dei trattamenti e/o delle procedure interne devono essere mantenute con indicazione del periodo di validità. Il titolare del trattamento fa dunque in modo che gli interessati abbiano sempre a disposizione la versione più recente dell’informativa; nei riguardi dei dipendenti, li rende consapevoli delle modifiche apportate alle le procedure in vigore e della necessità di fare riferimento ai documenti aggiornati.
Per quanto riguarda il registro dei trattamenti, potrebbe essere direttamente il Garante a chiedere che le siano mostrate le precedenti versioni del documento. È quindi necessario gestire i documenti della privacy e le aziende devono organizzarsi per farlo in modo efficiente. Le decisioni in merito al “come” fare sono lasciate al titolare del trattamento, ma è fondamentale che questo si organizzi per la conservazione delle evidenze che gli consentiranno di dimostrare di aver agito nel rispetto della normativa.

Altri adempimenti
Un’azienda con un buon livello di sensibilità rispetto al tema della protezione dei dati personali può decidere di predisporre altra documentazione per facilitare la corretta applicazione del Gdpr.
È quindi evidente che ci sono ancora molte cose che un’azienda può fare per diffondere la cultura della protezione dei dati personali e aumentare la consapevolezza dei propri addetti al trattamento. Le misure “organizzative”, insieme a quelle tecniche, rientrano nell’insieme più ampio delle misure di sicurezza che i soggetti che svolgono attività di trattamento di dati personali sono tenuti a implementare; tra le misure organizzative è possibile includere sia le istruzioni che il titolare del trattamento impartisce ai propri collaboratori per aiutarli a svolgere correttamente le proprie mansioni sia gli impegni che il titolare del trattamento assume nei confronti dei propri interessati. Predisporre un documento di politica che illustra alle parti interessate gli impegni che l’azienda assume in riferimento alla protezione dei dati personali a lei affidati; redigere un regolamento interno che indica con chiarezza quali sono i doveri e i comportamenti richiesti ai dipendenti quando svolgono trattamenti di dati personali; programmare periodicamente, anche su base annuale, un seminario per dipendenti allo scopo di “rinfrescare” le istruzioni chiave e accertarsi che siano ben comprese: si tratta di ulteriori opzioni che il titolare del trattamento ha a disposizione per contribuire al salto culturale di cui si è parlato all’inizio di questo intervento. C’è ampia libertà, insomma, e ampio spazio per la fantasia.
Ancora una volta è importante ribadire che tutti questi documenti sono soggetti allo stesso tipo di gestione dei documenti che abbiamo definito obbligatori. Tutto quello che l’azienda fa in questo ambito deve essere documentato e mantenuto aggiornato.

La formazione
Un’ultima importante notazione: il titolare e il responsabile del trattamento hanno l’obbligo di formaretutti coloro che trattano dati sotto la loro autorità.
La formazione può avvenire mediante documenti, seminari, corsi in aula o strumenti per la formazione a distanza; la decisione è libera e ciascuno sceglierà il mezzo che meglio soddisfa le proprie esigenze. L’evidenza di aver formato dipendenti e collaboratori deve però essere conservataper dimostrare di aver ottemperato agli obblighi normativi.