Il set documentale privacy, tra must-have e nice-to-have

di Giuseppe Marinelli


Il nuovo sistema di gestione della privacy, tra tutela dell’interessato ed accountability del titolare

A circa un anno dall’entrata in vigore del Regolamento Europeo UE 2016/679 (sin d’ora Regolamento o GDPR) non pare siano stati superati gli ostacoli interpretativi ed operativi per la piena comprensione e conseguente corretta attuazione dello stesso.

Le informazioni divulgate, spesso a mo’ di spot pubblicitario, anziché condurre ad un lucido ripensamento delle vecchie categorie, hanno diffuso l’ansia da dead line del 25 maggio 2018[1]ed il timore di incappare nelle roboanti sanzioni previste dal Regolatore europeo.

La necessità di essere a norma alla scadenza fissata ha spesso determinato un approccio difensivo nell’adeguamento delle organizzazioni aziendali al ripensato assetto normativo in tema di trattamento dei dati personali.

In tale contesto l’aspetto che più d’ogni altro ha prevalso è stato un adattamento meramente documentale, tanto al cospetto della diffidenza delle organizzazioni nell’implementare sistemi di gestione già in essere o di generare ex novo un sistema di gestione privacy.

Informative da predisporre, registri da compilare, incarichi da documentare, attività da perfezionare e da registrare, accordi da formalizzare, tuttavia, sono soltanto un punto di partenza nel percorso complesso che porta alla conformità normativa.

In verità, la complessità è solo apparente. Finalmente, infatti, ciascun ente si trova dinanzi alla possibilità di scegliere la strada giusta per conformarsi alle prescrizioni, per lo più di principio, imposte dal Regolatore. A ciascun titolare – che, giova premettere, è il soggetto che determina la finalità ed i mezzi del trattamento dei dati – è richiesto di valutare il proprio rischio privacy e, correlativamente, di minimizzarlo, al di fuori dall’applicazione di griglie rigide e schemi fissi.

Con il presente articolo non si vuole – né tantomeno si può – sminuire il portato burocratico del Regolamento, tuttavia si cercherà di far rientrare tale burocrazia nei binari dei principi cui il GDPR si ispira.

Il set documentale predisposto dal titolare svolge un ruolo di primaria importanza, infatti, nella duplice direzione di fornire adeguata tutela ai diritti degli interessati e di consentire al titolare del trattamento di essere compliant e accountable.

Sul primo versante sarà inevitabile far riferimento all’importanza delle informative, strumento indispensabile per rendere ciascun interessato consapevole circa la sorte dei propri dati ed edotto sugli strumenti di cui dispone per renderne effettiva la tutela.

Sul versante compliance sarà necessario analizzare le prescrizioni regolamentari che impongono l’adozione di ulteriori adempimenti (must have) che – come si avrà modo di vedere – possono rappresentare la base per una gestione aziendale efficiente.

Per soddisfare il principio di accountability, invece, occorrerà individuare quella documentazione che, seppur non strettamente necessaria, consentirà al titolare di gestire in maniera efficiente ed adeguata il rischio privacy, di monitorarlo costantemente e di verificare la validità dell’assetto organizzativo rispetto alle variazioni del contesto, interno o esterno.

Must have”: la documentazione necessaria

1. Il set basico per la compliance: le informative, il registro dei trattamenti, gli accordi con i responsabili del trattamento, il registro dei data breach.

Fulcro del Regolamento è la tutela dei diritti dell’interessato, ovvero della persona fisica – quantomeno identificabile – cui si riferiscono i dati personali trattati in ambito aziendale.

In quest’ottica, tutto il sistema di gestione privacy non potrà che orientarsi verso un assetto che sia in grado di dare attuazione ai principi di correttezza e trasparenza, resi espliciti nei Considerando 58-62, nelle operazioni di trattamento del dato.

Il primo adempimento necessario, pertanto, diviene la revisione delle informative rivolte alle singole categoriedi interessato. La predisposizione delle informative necessita di una previa identificazione dei soggetti coinvolti nelle operazioni di trattamento, onde dettagliare il percorso del dato acquisito.

Il Regolamento focalizza l’attenzione sulla necessità di rendere concise, facilmente accessibili e di facile comprensione le informative, sicché raccomanda l’uso di un linguaggio semplice e chiaro, reso maggiormente intellegibile anche mediante l’utilizzo di icone.

La formulazione didascalica delle norme regolamentari (artt. 13 e 14 del GDPR) agevola non poco la stesura di tale documentazione. Ed infatti è richiesto al titolare del trattamento di indicare:

  1. i propri dati di contatto, la propria identità e dell’eventuale DPO;
  2. la finalità e base giuridica del trattamento dei dati trattati;
  3. l’eventuale legittimo interesse del titolare;
  4. i destinatari dei dati personali;
  5. l’eventuale destinazione dei dati presso Paesi Terzi o organizzazioni internazionali e relativa presenza di decisioni di adeguatezza da parte della Commissione;
  6. il periodo di conservazione dei dati;
  7. i diritti dell’interessato (il diritto di chiedere al titolare l’accesso ai propri dati, la rettifica, la cancellazione degli stessi o la limitazione del trattamento, il diritto di opposizione al trattamento, il diritto alla portabilità dei dati; la possibilità di revocare il consenso prestato – ove questo sia la base giuridica del trattamento -; il diritto di proporre reclamo all’autorità di controllo);
  8. la presenza di un processo decisionale automatizzato, compresa la profilazione e, in tale caso, le informazioni significative sulla logica utilizzata, nonché l’importanza e le conseguenze previste di tale trattamento per l’interessato.

Trasparenza e piena consapevolezza dell’interessato, come osservato, devono guidare l’azienda in questo adempimento. All’uopo si consiglia di approfondire la lettura delle Linee Guida in materia di trasparenza (wp 260) rese dal Gruppo di Lavoro ex Articolo 29[2].

Particolare importanza va attribuita alle modalità in cui è redatta l’informativa nei casi in cui la base giuridica del trattamento dei dati dell’interessato sia il consenso, il quale deve espressamente essere libero, specifico, informato, inequivocabile, esplicito e dimostrabile.

Proseguendo nell’individuazione del set documentale indispensabile per l’adeguamento aziendale, non può non essere citato il registro dei trattamenti.

Giova sgomberare il campo da un equivoco di fondo: seppur l’articolo 30 par. 5 contenga una clausola di esclusione che pare esonerare gran parte delle PMI dall’obbligo della tenuta del registro, è opinione comune che si tratti di un obbligo cogente[3]e diffuso.

Si tratta, del resto, di uno strumento fondamentale per un’idonea gestione del rischio privacy, non solo sotto l’aspetto della mera compliance, quant’anche in un’ottica di accountability del titolare.

La necessità di un’adeguata mappatura dei trattamenti è un’esigenza primaria e funzionale ad un procedimento di valutazione e di analisi del rischio.

Anche in questo caso, le informazioni che devono essere contenute ed associate nel registro sono analiticamente specificate all’art. 30 par. 1:

  1. nome e dati di contatto del titolare del trattamento;
  2. dati identificativi di eventuali ulteriori figure privacy (contitolare, rappresentante, DPO);
  3. le finalità del trattamento;
  4. una descrizione delle categorie di interessati e delle categorie dei dati personali;
  5. le categorie di destinatari dei dati;
  6. l’indicazione dei trasferimenti dei dati personali verso un paese terzo;
  7. una descrizione – seppur generale – delle misure di sicurezza e delle tecniche poste in essere per garantire il livello di sicurezza adeguato al rischio.

Rientra senz’altro nel processo di adeguamento minimol’individuazione dei responsabili del trattamento. Si tratta di soggetti che trattano dati «per conto del titolare del trattamento» (art. 4 GDPR). Tale esternalizzazione del trattamento comporta la necessità di estendere le tutele a beneficio dell’interessato, risultato raggiungibile mediante la formalizzazione di un accordo tra titolare e responsabile in ordine alle garanzie fornite in ambito data protection.

Tale contratto – che solitamente integrerà il rapporto economico preesistente – sarà volto a circoscrivere e vincolare il trattamento dei dati ricevuti dal responsabile e ad assicurare l’adeguamento tecnico ed organizzativo di quest’ultimo rispetto ai requisiti fissati dal Regolamento. L’art. 28 del GDPR fornisce gli strumenti utili per dettagliare il contenuto della nominada responsabile.

Ultimo adempimento generalizzato riguarda la tenuta del cd. Registro dei data breach, volto a tener traccia di qualsiasi violazione di dati personali occorsa, specificandone le circostanze, le conseguenze ed i provvedimenti adottati per porvi rimedio (art. 33 GDPR)

2. Il set necessario per esigenze eventuali: gli accordi di contitolarità, l’atto di designazione del DPO, la DPIA.

La complessità dell’organizzazione dei titolari del trattamento può talvolta richiedere ulteriori adempimenti documentali, che gravitano essenzialmente attorno a particolari figure individuate dal Regolamento o a particolari tipi di trattamento.

Si è in presenza della figura di contitolari del trattamento (art. 16 del GDPR), allorquando due o più soggetti concorrono a determinare le finalità ed i mezzi del trattamento.

In tale evenienza, il Regolamento – in ossequio ai richiamati principi di trasparenza e correttezza – prevede la formalizzazione di un accordo volto a ripartire le responsabilità tra i soggetti coinvolti in ambito data protection.

Figura di rilievo – per portata innovativa – è quella del Responsabile della protezione dei dati, noto come DPO. Si tratta di un soggetto eventuale nel sistema di gestione della privacy, obbligatorio solo a determinate condizioni, evidenziate all’art. 37 del GDPR.

Stringendo il campo alle realtà aziendali, l’obbligatorietà sussisterà ove il titolare effettui come attività principale trattamenti che, per natura, finalità o ambito di applicazione, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala.

Occorrerà, in tali casi, o designare un soggetto interno all’organizzazione aziendale quale DPO o individuare un soggetto esterno all’organizzazione, con il quale sottoscrivere un contratto di servizi secondo i canoni declinati dagli artt. 37-39 del GDPR.

La DPIA (Data Protection Impact Assestment) rappresenta il punto di emersione del processo di valutazione e gestione del rischio legato al trattamento dei dati personali.

Si è più volte ripetuto che l’implementazione del sistema di gestione privacy necessita di un’analisi e di una valutazione del rischio. In taluni casi, tuttavia, sarà necessario formalizzare tale processo nella DPIA. Il WP29 ha chiarito che la valutazione d’impatto sulla protezione dei dati è «un processo inteso a descrivere il trattamento, valutarne la necessità e la proporzionalità, nonché a contribuire a gestire i rischi per i diritti e le libertà delle persone fisiche derivanti dal trattamento di dati personali, valutando detti rischi e determinando le misure per affrontare»[4].

La stesura della DPIA è richiesta obbligatoriamente nei casi di:

  1. valutazione sistematica e globale di aspetti personali relativi a persone fisiche, basata su trattamenti automatizzati e sulla quale si fondano decisioni che hanno effetti giuridici o incidono in modo analogo significativamente sulle persone fisiche;
  2. trattamenti su larga scala delle particolari categorie di dati personali di cui all’art. 9;
  3. sorveglianza su larga scala di una zona accessibile al pubblico.

Il paragrafo 7 dell’art. 35 ne specifica il contenuto minimo, individuato in:

  1. una descrizione sistematica dei trattamenti previsti e delle finalità del trattamento;
  2. una valutazione della necessità e proporzionalità dei trattamenti in relazione alle finalità;
  3. una valutazione dei rischi per i diritti e le libertà degli interessati;
  4. un’indicazione delle misure previste per affrontare i rischi individuati.

Nice to have”: tra accountability, creatività ed esigenze organizzative

L’accountability è la cifra dominante dell’intero sistema di gestione della privacy nelle organizzazioni. Essere accountablerappresenta una netta inversione di tendenza per gli operatori economici nazionali in ordine ad adempimenti imposti dal Regolatore.

Griglie serrate e schemi fissi cui aderire lasciano spazio a motivate valutazioni sul proprio operato e sulla capacità di dimostrare la logica sottostante le misure organizzative e tecniche individuate per la minimizzazione o, meglio, l’eliminazione dei rischi.

Gli artt. 24 e 25 del GDPR attribuiscono al titolare l’obbligo di mettere «in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al presente regolamento», imponendo altresì l’obbligo di procedere a costante riesame ed aggiornamento delle misure tecniche. La seconda, invece, introduce i concetti di privacy by design («Protezione dei dati fin dalla progettazione») e by default («Protezione dei dati per impostazione predefinita»), imponendo, pertanto, una prognosi sulle modalità di trattamento e protezione dei dati.

Al titolare, pertanto, viene richiesto non più un mero adempimento formale che tenga conto degli interventi da effettuarsi in caso di violazione, bensì l’adozione di comportamenti effettivi ed efficaci volti a prevenire le violazioni e gli abusi che possono limitare o provocare danni a diritti e libertà individuali.

In tal modo, l’action plan posto in essere deve essere dimostrabile in caso di controlli dell’autorità o di auditor.

Sarà opportuno strutturare un organigramma aziendale, attribuendo ruoli e funzioni, che dovranno essere dimostrabili (ad esempio, mediante la tenuta di un apposito registro); sarà opportuno impartire e documentare le norme comportamentali individuate come obbligatorie da adottare sia nelle dinamiche interne (disciplina sull’utilizzo dei sistemi informatici; disciplina sulla consultazione degli archivi cartacei; comportamenti da adottare in caso del riscontro di anomalie) che nei comportamenti verso l’esterno (istruzioni sulle modalità di distribuzione delle informative e sulla gestione dei consensi; istruzioni sui comportamenti da tenere in caso di esercizi dei diritti da parte degli interessati); sarà opportuno, ancora, documentare le diverse attività effettuate al fine di rendere consapevoli gli incaricati sulrischio privacye sull’importanza delle protezione del dato (ad esempio mediante la tenuta di registri che attestino la frequenza a percorsi formativi).

Osservazioni conclusive

Il modello concepito con il GDPR, tipico dei sistemi di common law, seppur lontano dalla nostra tradizione giuridica, consente agli operatori economici di porre in essere un processo graduale – seppur cogente – di compliance, che andrà di pari passo con una sempre maggior consapevolezza dell’importanza che i dati personali rivestono nel modo di fare business.

L’abbandono di regole fisse lascia spazio alla creatività organizzativa, libera e plasmabile sulle esigenze di ogni singola entità, purché orientata alla tutela dei diritti degli interessati.


[1]Data di entrata in vigore del Regolamento.

[2]Linee Guida liberamente consultabili al seguente link: https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/8423810

[3]Si riporta un estratto del documento “FAQ sul registro delle attività di trattamento”, consultabile al seguente linkhttps://www.garanteprivacy.it/home/faq/registro-delle-attivita-di-trattamento:

«Alla luce di quanto detto sopra, sono tenuti all’obbligo di redazione del registro, ad esempio:  

– esercizi commerciali, esercizi pubblici o artigiani con almeno un dipendente (bar, ristoranti, officine, negozi, piccola distribuzione, ecc.) e/o  che  trattino dati sanitari dei clienti (es. parrucchieri, estetisti, ottici, odontotecnici, tatuatori ecc.);

– liberi professionisti con almeno un dipendente e/o che trattino dati sanitari e/o dati relativi a condanne penali o reati (es. commercialisti, notai, avvocati, osteopati, fisioterapisti, farmacisti, medici in generale);

– associazioni, fondazioni e comitati ove trattino “categorie particolari di dati” e/o dati relativi a condanne penali o reati (i.e. organizzazioni di tendenza; associazioni a tutela di soggetti c.d. “vulnerabili” quali ad esempio malati, persone con disabilità, ex detenuti ecc.; associazioni che perseguono finalità di prevenzione e contrasto delle discriminazioni di genere, razziali, basate sull’orientamento sessuale, politico o religioso ecc.; associazioni sportive con riferimento ai dati sanitari trattati; partiti e movimenti politici; sindacati; associazioni e movimenti a carattere religioso);

– il condominio ove tratti “categorie particolari di dati” (es. delibere per interventi volti al superamento e all’abbattimento delle barriere architettoniche ai sensi della L. n. 13/1989; richieste di risarcimento danni comprensive di spese mediche relativi a sinistri avvenuti all’interno dei locali condominiali).

Infine, si precisa che le imprese e organizzazioni con meno di 250 dipendenti obbligate alla tenuta del registro potranno comunque beneficiare di alcune misure di semplificazione, potendo circoscrivere l’obbligo di redazione del registro alle sole specifiche attività di trattamento sopra individuate (es. ove il trattamento delle categorie particolari di dati si riferisca a quelli inerenti un solo lavoratore dipendente, il registro potrà essere predisposto e mantenuto esclusivamente con riferimento a tale limitata tipologia di trattamento).

Al di fuori dei casi di tenuta obbligatoria del Registro, anche alla luce del considerando 82 del RGPD, il Garante ne raccomanda la redazione a tutti i titolari e responsabili del trattamento, in quanto strumento che,  fornendo piena contezza del tipo di trattamenti svolti, contribuisce a meglio attuare, con modalità semplici e accessibili a tutti, il principio di accountability e, al contempo, ad agevolare in maniera dialogante e collaborativa l’attività di controllo del Garante stesso.»

[4]Le linee guida sulla DPIA sono consultabili ai seguenti link: https://www.garanteprivacy.it/regolamentoue/DPIAe https://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=611236.


Bibliografia

Bernardi N., Perego M., Soffientini M., Polacchini M. e Al., Privacy Officer La figura chiave della data protection europea, IPSOA, 2013

Bolognini L., Pelino E., Bistolfi C.,Il Regolamento Europeo – Commentario sulla nuova disciplina sulla protezione dei dati personali, GIUFFRÈ EDITORE, 2016

Caridi G., Milano L.,Il Regolamento europeo sulla protezione dei dati: specificità e risvolti economic, in Ciberspazio e diritto, 2018, pp. 3-20

Cassano G., Colarocco V, Gallus G..B., Micozzi F. P. e Al, Il Processo di adeguamento al GDPR, GIUFFRè FRANCIS LEFEBRE, 2018

Emegian F., Perego M., Privacy & audit, WOLTERS KLUWER, 2017


Autore

it_ITItaliano
en_USEnglish it_ITItaliano