Privacy, guida sintetica per le aziende: ecco cosa fare
Privacy, guida sintetica per le aziende:
ecco cosa fare
di Antonio Valentini – LEGGI E PRASSI
Guida completa ed aggiornata in materia di privacy: ecco un
vademecum di fondamentale importanza per la sicurezza delle aziende.
“I tuoi dati sono un tesoro da proteggere insieme” è lo slogan adottato dal
Garante per la protezione dei dati personali nella campagna pubblicitaria in
onda sulle reti nazionali negli ultimi mesi, l’ultima delle numerose iniziative
dell’Autorità susseguitesi a partire dalla piena applicazione del Regolamento
(UE) 2016/679 e finalizzate ad accrescere l’importanza della protezione dei
dati.
La summenzionata normativa (Regolamento Generale Sulla Protezione Dei
Dati – RGPD o GDPR) ha, di fatto, contribuito in maniera significativa a
rendere la protezione dei dati personali un perno del nostro ordinamento.
Il suo campo di applicazione estremamente ampio ci consente di affermare
che, salvo rare eccezioni, ogni azienda e ogni professionista sia chiamato al
rispetto delle disposizioni contenute nel Regolamento stesso e nella normativa
nazionale (d.lgs. n. 196/2003, così come modificato dal d.lgs. n. 101/2018).
Tuttavia, a quasi tre anni dalla piena efficacia del GDPR, ancora oggi
numerose imprese non hanno completato – o, addirittura, intrapreso – il loro
percorso di adeguamento nonostante i considerevoli rischi conseguenti in
termini di impatto diretto sul business e commissione di illeciti amministrativi e
penali (con conseguenti elevate sanzioni).
Nelle righe che seguono si proverà a fornire una sintetica e semplice guida
per l’adeguamento di un’impresa al GDPR e alla normativa privacy in
generale.
Guida agli adempimenti sulla privacy: l’analisi dell’azienda e
l’individuazione delle attività di trattamento
Innanzitutto, ogni azienda, in qualità di Titolare, deve individuare quali sono le
attività di trattamento di dati personali effettuati e quali sono le tipologie di dati
trattati nell’ambito della propria operatività. Quest’analisi preliminare è
fondamentale al fine di individuare la strategia adeguata a garantire la
protezione dei dati.
Spesso si crede, erroneamente, di non trattare dati personali e quindi di
essere “esentati” dal rispetto della normativa.
Difatti, se con riguardo a studi medici, call center, laboratori analisi, software
house il trattamento di dati è connaturato alla natura dell’attività professionale
e, quindi, non sussistono dubbi interpretativi, vi sono invece altri soggetti in
relazione ai quali può risultare non immediata l’individuazione della portata ed
estensione della normativa.
Come comportarsi, infatti, in tutte quelle situazioni meno chiare? Si pensi, ad
esempio, all’attività di un artigiano o di un piccolo negozio di alimentari.
Apparentemente tali soggetti non trattano informazioni, ma in realtà è
sufficiente che sia conservato un elenco di anagrafiche (clienti, fornitori, etc.) o
sia presente anche solo un dipendente per ritrovarsi improvvisamente in
possesso di un database di dati personali non indifferente, le cui informazioni
dovranno essere trattate nel pieno rispetto del GDPR.
Una volta individuate le attività di trattamento (e quindi i dati personali trattati)
sarà necessario analizzarle ponendosi poche e semplici domande:
● in che modo raccolgo queste informazioni/dati?
● per quale motivo tratto queste informazioni/dati (finalità del
trattamento)?
● sono legittimato a trattarle?
● in che modo le conservo?
● per quanto tempo?
Al fine di agevolare tale analisi, si consiglia di:
● effettuare una ricognizione dei moduli di raccolta dati, dei contratti e/o
dei documenti informativi già in uso;
● verificare, ove necessario in relazione alla finalità perseguita,
l’acquisizione dei consensi al trattamento;
● individuare, anche sulla scorta dei moduli utilizzati, le finalità del
trattamento perseguite;
● censire i propri archivi, digitali e cartacei, nonché tutta la
strumentazione utilizzata nelle attività di trattamento dei dati personali
(es. computer, tablet, dispositivi removibili);
● verificare le politiche in uso per la cancellazione dei dati (es. sistema
automatizzato di sovrascrittura, distruzione programmata degli archivi
cartacei).
In merito alla legittimazione a trattare i dati, si rammenta che non è necessario
acquisire il consenso dell’interessato per ogni finalità perseguita.
Si pensi al trattamento dei dati di un cliente per l’esecuzione della prestazione
richiesta: in tal caso, tale trattamento sarà legittimato a monte dalla
sussistenza di un contratto tra le parti.
Tale prima fase consentirà all’azienda di avere un quadro complessivo relativo
all’“impatto” delle proprie attività in ambito privacy.
Guida agli adempimenti privacy per le aziende. Valutazione
dei rischi e implementazione delle misure di sicurezza
Dopo aver raccolto le informazioni suindicate e aver delineato un quadro
generale sulle attività di trattamento svolte, un’azienda deve occuparsi di
valutare i rischi ad esse collegati e, sulla base di tale valutazione,
implementare le misure volte a mitigare tali rischi e garantirne la sicurezza dei
dati e delle informazioni raccolte e trattate.
L’obiettivo di questa operazione consiste nel diminuire il rischio che possa
verificarsi una perdita, modifica o accesso non autorizzato alle informazioni
personali (e non solo) possedute dall’azienda.
Una corretta valutazione del rischio, con conseguente applicazione di idonee
misure di sicurezza, consente:
- di ridurre possibili sanzioni e/o richieste di risarcimento danni da parte
degli Interessati nel caso in cui si verifichi una violazione dei dati
personali (cd. Data Breach); - di tutelare il proprio patrimonio informativo, elemento che acquista
sempre più importanza nella vita di ogni azienda.
Nel predisporre un sistema di protezione delle informazioni è, tuttavia,
doveroso ricordare che non sono più previste dalla normativa specifiche
misure di sicurezza che possano essere considerate “adeguate” senza una
preliminare valutazione.
Il Regolamento Europeo, infatti, al fine di rendere effettiva la tutela e la
protezione dei dati personali, accoglie, il principio di privacy by design e il
principio di accountability.
Oggi, pertanto, si è chiamati a mettere in atto misure tecniche e organizzative
che siano idonee a garantire un livello di sicurezza adeguato al rischio.
Tale cd. adeguatezza viene, quindi, rimessa ad una libera valutazione del
Titolare, che dovrà adottare le precauzioni ritenute più opportune ed essere
pronto, in ogni momento, a motivare le scelte effettuate.
Al fine di adottare misure adeguate, non si può prescindere da una
approfondita valutazione dei rischi che tenga conto, in caso di ipotetica
violazione dei dati, degli effetti negativi che potrebbero verificarsi sulle libertà e
i diritti degli interessati.
All’esito di tale valutazione il Titolare potrà decidere in autonomia se iniziare il
trattamento o procedere con un’ulteriore e più specifica analisi (cd Valutazione
di Impatto o DPIA), che potrebbe concludersi con il dover consultare l’Autorità
Garante per ottenere indicazioni su come gestire il rischio residuale.
Se non è possibile determinare a prescindere misure di sicurezza “adeguate”,
è tuttavia possibile individuare alcune buone prassi da applicare in ogni
azienda: assicurare un ottimo livello di sicurezza in ambito informatico.
Si consideri, a tal proposito, che in Italia sono in costante aumento gli attacchi
cibernetici che mirano ad impossessarsi dei dati di una azienda. Termini come
ransomware, phishing, data breach sono, infatti, oramai ben noti a tutti.
Lo scopo, purtroppo, è sempre lo stesso: le informazioni vengono sottratte o
criptate affinché il cybercriminale possa guadagnare rivendendole a terzi o
costringendo l’azienda a pagare un riscatto per recuperarle.
Un buon antivirus, un firewall, una password complessa e cambiata con
regolarità ed una rete informatica efficacemente gestita, per quanto banali,
sono ancora i principali baluardi a protezione dei nostri dati riversati in archivi
digitali.
È fondamentale, altresì, assicurare la capacità di ripristinare tempestivamente
la disponibilità e l’accesso dei dati personali in caso di incidente fisico o
tecnico.
Poniamo il caso che, nonostante tutti i nostri accorgimenti, il nostro vecchio
computer abbia improvvisamente smesso di funzionare o sia stato hackerato:
ebbene, la perdita anche temporanea, della disponibilità dei dati costituisce un
grave problema per l’azienda.
Anche in questo caso, una soluzione semplice e alla portata di ogni azienda è
disponibile: un backup dei dati, se effettuato con regolarità e su dispositivi
sicuri, è uno strumento “salvavita”.
Tali accorgimenti devono sempre essere accompagnati da una procedura per
testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e
organizzative adottate.
Tutela protezione dati aziendali: implementare le misure organizzative
Un rimedio che si dimostra sempre decisamente efficace è quello volto a
rafforzare le misure di sicurezza organizzative per consentire una gestione
delle attività ordinata e consapevole, che miri a semplificare l’attività e a
rendere tutti i soggetti coinvolti partecipi.
Ciò si può tradurre nella previsione di specifiche procedure che consentano di
rappresentarsi ex ante le attività da svolgere in ogni evenienza come, ad
esempio, in caso di violazione delle informazioni, di gestione delle richieste
degli interessati ovvero per disciplinare l’utilizzo degli strumenti informatici.
Si tratta di un passaggio fondamentale per garantire a un’azienda di dotarsi di
una corretta impostazione “a monte” del trattamento dei dati che persista per
tutta la durata del trattamento.
Da non dimenticare, infine, tra le misure organizzative, la formazione del
personale.
Infatti, tutte le misure di sicurezza che un’azienda può adottare risulteranno
inefficaci se chi agisce al suo interno (e concretamente tratta dati personali)
non è stato adeguatamente formato e istruito: investire nella formazione e
aggiornamento dei propri dipendenti/collaboratori è, oggi, un’attività
imprescindibile.
Nomina, ove necessario, di un Responsabile per la protezione
dei dati (DPO o RPD)
Il Responsabile della protezione dei dati (RPD) o Data Protection Officer
(DPO) è una figura a cui il legislatore affida un ruolo determinante, mediante
la previsione di specifici compiti e poteri tra cui la sensibilizzazione e
formazione del personale, l’attività di consulenza resa nei confronti del
Titolare, nonché la sorveglianza sull’osservanza del GDPR.
La sua designazione, regolata dall’art. 37 del GDPR, è tuttavia obbligatoria
solo in alcune circostanze:
a) il trattamento deve essere effettuato da un’autorità pubblica o da un
organismo pubblico, eccettuate le autorità giurisdizionali quando esercitano le
loro funzioni giurisdizionali;
b) le attività principali del titolare del trattamento o del responsabile del
trattamento devono consistere in trattamenti che, per loro natura, ambito di
applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico
degli interessati su larga scala;
c) le attività principali del titolare del trattamento o del responsabile del
trattamento devono consistere nel trattamento, su larga scala, di categorie
particolari di dati personali di cui all’articolo 9 o di dati relativi a condanne
penali e a reati di cui all’articolo 10 del GDPR.
Tali elementi solitamente emergono sempre a seguito della prima analisi che
l’azienda è chiamata a effettuare. Sarà pertanto compito del Titolare valutare
la necessità o opportunità di nominare un Responsabile della Protezione dei
dati.
Predisposizione della c.d. Informativa Privacy per gli
interessati
Dopo aver individuato i dati personali trattati e aver impostato una corretta
politica di raccolta e conservazione, l’azienda dovrà quindi preoccuparsi di
garantire agli interessati la possibilità di esercitare tutti i diritti previsti dal
GDPR.
Tra questi, il primo è senza dubbio il diritto dell’Interessato a essere informato.
L’azienda, infatti, è tenuta a fornire all’interessato una serie di informazioni tra
cui, principalmente:
● l’identità e i dati di contatto di chi tratterà le sue informazioni (il cd.
Titolare del trattamento);
● i dati di contatto del Responsabile della protezione dei dati (ove
presente);
● le finalità del trattamento e la corrispondente base giuridica;
● eventuali destinatari o categorie di destinatari a cui potranno essere
comunicati i dati personali;
● il periodo di conservazione dei dati personali oppure, se non è possibile,
i criteri utilizzati per determinare tale periodo;
● i diritti dell’interessato e i canali per il loro esercizio, nonché in diritto di
porre reclamo all’Autorità Garante;
● l’eventuale obbligatorietà del conferimento dei dati personali nonché le
possibili conseguenze del mancato conferimento.
I documenti informativi dovranno essere sempre specifici e personalizzati in
relazione al loro destinatario (c.d. Interessato): le informazioni contenute nel
documento destinato ai clienti non potranno, quindi, essere le stesse inserite
nel documento destinato ai dipendenti.
Altresì, è possibile prevedere informative specifiche per attività di trattamento.
Si pensi alle informative che devono essere prodotte, ad esempio, nel caso in
cui sia presente in azienda un impianto di videosorveglianza.
L’onere di fornire la cd. “Informativa Privacy” non deve essere
assolutamente sottovalutata dalle aziende, poiché un’informativa poco
leggibile e confusionaria potrebbe provocare un doppio effetto nefasto: una
reazione di sfiducia e di sospetto da parte dell’Utenza, nonché un (probabile)
intervento sanzionatorio da parte dell’Autorità Garante.
Quali sono, quindi, le caratteristiche che un’informativa deve rispettare per
non esporre l’azienda al rischio di sanzioni o di contestazioni?
Un’informativa corretta deve essere chiara, concisa, precisa e
trasparente.
Sono quindi da scartare le informative ridondanti, di difficile interpretazione e
soprattutto i blasonati modelli “sicuri”, universali e standardizzati: tali soluzioni,
offrendo solo una sicurezza illusoria, rischiano di rivelarsi un pericoloso
boomerang per le aziende.
In questo caso la quantità di informazioni contenute nel documento non è
quasi mai sinonimo di qualità e lo dimostra lo stesso approccio che molte
grandi società stanno adottando con comunicazioni privacy sempre più smart
e focalizzate nel fornire, almeno ad un primo impatto, poche e precise
informazioni (servendosi anche di iconografie).
Tali accorgimenti valgono anche per la cd. Privacy Policy, che altro non è che
un’informativa specifica per i dati personali trattati dalle aziende per mezzo del
loro sito web.
Sempre in tema di diritti, dopo aver correttamente informato l’interessato,
l’azienda è tenuta ad agevolare l’esercizio dei diritti previsti dal GDPR, tra cui
il diritto di Accesso, di Rettifica e di Cancellazione.
Tali diritti – per la cui analisi si rinvia alla normativa e in particolare agli artt. 15,
16 e 17 del Regolamento UE 2016/679 – costituiscono un importantissimo
strumento di tutela, consentendo all’interessato di incidere e recuperare il
controllo sui propri dati in qualsiasi momento.
Al fine di rendere attuale e concreto l’esercizio di tali diritti, il Garante per la
Protezione dei Dati Personali ha, del resto, avviato una rilevante campagna di
sensibilizzazione proprio in questo settore offrendo, altresì, strumenti per
l’effettivo esercizio di tali diritti (modelli editabili, tool di autovalutazione per
Valutazione di Impatto e Data Breach).
A tal proposito, dal 15 marzo 2021, è on line una piattaforma digitale gratuita
(accessibile dal sito www.nomyd.eu) che permette agli interessati e ai
titolari di rendere più semplice, rispettivamente, l’esercizio dei summenzionati
diritti e il riscontro alle richieste/reclami degli interessati.
Mediante questo strumento, per gli interessati sarà possibile precisare le
richieste che si intendono formulare ai Titolari del trattamento dei propri dati
(es. chiamate commerciali su prodotti che non ci interessano o sms o e-mail
da società da cui non abbiamo mai effettuato acquisti) e, nel caso non si sia
soddisfatti del riscontro ricevuto, inoltrare un reclamo al Garante.
Anche i Titolari del trattamento potranno giovare di questo strumento, nel caso
in cui preferiscano addivenire a una composizione bonaria della controversia.
Infatti, è a loro dedicata un’apposita sezione che consentirà di gestire
adeguatamente le richieste e/o reclami ricevute dagli interessati senza
ricorrere al Garante.
Guida alla normativa privacy per le aziende. Individuazione
dei ruoli e disciplina dei rapporti con i soggetti coinvolti
Uno dei passaggi fondamentali nella valutazione e attenuazione dei rischi
connessi alle operazioni di trattamento consiste, senza ombra di dubbio,
nell’individuazione di tutti quei soggetti, interni o esterni alla realtà aziendale,
che effettueranno (ed effettuano) trattamenti di dati personali per conto del
Titolare.
Infatti, anche il miglior modello organizzativo privacy è destinato a fallire se il
Titolare non ha sotto controllo i soggetti che entreranno in contatto con le sue
informazioni.
Nel caso in cui questi soggetti siano “interni” all’azienda – come, ad esempio, i
dipendenti – si parlerà di soggetti autorizzati al trattamento (incaricati, come
nell’accezione utilizzata ante GDPR).
Nel caso in cui l’azienda si affidi per alcune operazioni di trattamento a
consulenti esterni (come spesso avviene, ad esempio, nei confronti del
consulente del lavoro, dei fornitori di servizi informatici, etc.), tali soggetti
dovranno essere individuati quali Responsabili del trattamento (come
disciplinato dall’art. 28 del GDPR).
Entrambe queste figure, Autorizzati e Responsabili, devono essere
correttamente individuate e responsabilizzate mediante un idoneo atto
giuridico (c.d. “nomina”).
È buona prassi tenere sempre sotto controllo non solo le nomine ai
Responsabili inoltrate dalla nostra azienda, ma anche quelle ricevute. Una
nomina a Responsabile Esterno, infatti, se ignorata o firmata frettolosamente,
può produrre conseguenze rilevanti sotto il profilo giuridico.
Redazione del Registro delle attività di trattamento
Il Registro delle attività di trattamento è un documento contenente le principali
informazioni sulle operazioni di trattamento svolte in azienda.
È uno dei primi documenti che viene richiesto in caso di ispezione, nonché un
valido supporto per l’analisi e il controllo dei propri trattamenti.
L’obbligo di tenuta del Registro è stato spesso sottovalutato dalle aziende,
anche perché si è diffusa l’errata convinzione che “chi ha meno di 250
dipendenti non è tenuto ad adempiere a quest’obbligo”.
In realtà, sebbene l’art. 30, par. 5 del GDPR specifichi che: “Gli obblighi di cui
ai paragrafi 1 e 2 non si applicano alle imprese o organizzazioni con meno di
250 dipendenti […]”, questa esenzione non si applica se:
● il Titolare effettua trattamenti che possano presentare un rischio –
anche non elevato – per i diritti e le libertà dell’interessato;
● il Titolare effettua trattamenti non occasionali;
● il Titolare effettua trattamenti delle categorie particolari di dati di cui
all’articolo 9, paragrafo 1 GDPR, o di dati personali relativi a condanne
penali e a reati di cui all’articolo 10 GDPR.
Di conseguenza qualunque esercizio commerciale o artigiano con almeno un
dipendente (bar, ristoranti, officine, negozi, piccola distribuzione, ecc.) e/o che
tratti dati sanitari dei clienti (es. estetisti, ottici, odontotecnici, tatuatori) è
tenuto alla redazione e conservazione del Registro.
L’Autorità Garante, nella sua opera di sensibilizzazione e facilitazione degli
adempimenti privacy, ha messo a disposizione un modello di registro
“semplificato” per le PMI, con istruzioni particolareggiate per un suo corretto
utilizzo.
Normativa privacy e obblighi per le aziende: in conclusione
Un’azienda deve aver ben chiaro un concetto fondamentale, per adeguarsi ai
dettami del Regolamento (UE) 2016/679: produrre semplicemente carta non è
sufficiente.
Tutta la (voluminosa) documentazione oggi richiesta non è altro che il prodotto
dei molteplici passaggi di analisi, pianificazione e controllo che devono essere
periodicamente effettuati.
L’adeguamento al GDPR è un processo continuo, dinamico, e non deve esser
visto come un unico adempimento. È richiesto un costante monitoraggio e
adeguamento delle misure di sicurezza adottate, che possono variare a
seconda dell’evolversi delle minacce (anche cibernetiche) e dell’attività svolta
dall’azienda.
Tutto ciò non deve intimorire od ostacolare un’impresa dall’intraprendere un
percorso di adeguamento ma, al contrario, deve servire per comprendere il
giusto approccio da adottare: meno forma e più sostanza.
La corretta gestione degli adempimenti previsti dalla normativa privacy non
deve essere considerata come l’ennesima inutile imposizione ma, al contrario,
come l’opportunità di tutelare una delle risorse più preziose che l’azienda
possegga: i dati.
