Il TEST di Autovalutazione Privacy

Definire un'organizzazione privacy interna, risponde a un principio cardine del GDPR

Il Regolamento Europeo 679/2016, richiede che siano sempre definiti con chiarezza i ruoli privacy e le responsabilità dei soggetti che, a diverso titolo, intervengo nel processo di trattamento dei dati personali. Inoltre, impone ai titolari di istruire tutte le risorse coinvolte nei trattamenti affinché sappiano sempre a chi rivolgersi in caso di dubbio o nei casi in cui sia necessario segnalare eventi quali le violazioni di dati.

Il Regolamento pone l’accento sulla “responsabilizzazione” (accountability) di Titolari e responsabili, ossia, sull’ adozione di comportamenti proattivi volti a dimostrare la concreta adozione di misure finalizzate ad assicurare l’applicazione del Regolamento (artt. 23-25, in particolare, e l’intero Capo IV del Regolamento). Dunque, viene affidato ai Titolari il compito di decidere autonomamente le modalità, le garanzie e i limiti del trattamento dei dati personali, nel rispetto delle disposizioni normative e alla luce di alcuni criteri specifici indicati nel Regolamento.

Redigere e condividere un regolamento interno sulla privacy non solo offre un riferimento informativo a tutti i soggetti coinvolti nel trattamento dei dati personali, ma aiuta il titolare dimostrare un buon grado di “responsabilizzazione” come richiesto dal Regolamento.

Il Regolamento UE 679/2016 ricorda in vari punti la necessità e l’importanza della formazione dei soggetti autorizzati al trattamento dei dati personali. In primo luogo, l’articolo 29 del GDPR evidenzia come “il responsabile del trattamento, o chiunque agisca sotto la sua autorità o sotto quella del titolare, che abbia accesso ai dati personali non può trattare tali dati se non è istruito in tal senso dal titolare”.

Anche nell’articolo 32 del GDPR si prevede che “il titolare del trattamento ed il responsabile del trattamento fanno sì che chiunque agisca sotto la loro autorità e abbia accesso a dati personali non tratti tali dati se non è istruito in tal senso dal titolare del trattamento, salvo che lo richieda il diritto dell’Unione o degli Stati membri”.

Rientra, pertanto, tra le misure di sicurezza che dovranno essere applicate dal titolare e dal responsabile del trattamento l’adozione di un piano di formazione/aggiornamento periodico volto ad incrementare la consapevolezza negli individui e ridurre il rischio che si verifichi quell’errore umano che molto spesso è la principale fonte di danni e perdite per il Titolare del trattamento.

Benché il testo del Regolamento non faccia espresso riferimento al termine “Analisi dei rischi”, è evidente che la valutazione di quali siano le misure tecniche ed organizzative adeguate da adottare a protezione dei dati personali, non possa prescindere da una valutazione di quali siano i rischi a cui gli stessi (e gli interessati) sono sottoposti. Il rischio andrà valutato seguendo un approccio basato sulla probabilità che si verifichi l’evento dannoso rapportata alla potenziale gravità dell’impatto sull’interessato. L’obiettivo di questa analisi è mettere in atto misure adeguate per garantire un livello di sicurezza adeguato al rischio calcolato. Questa valutazione dovrebbe portare all’individuazione delle applicabili per ridurre, per quanto possibile, tali rischi e condurre all’identificazione di quei trattamenti che dovranno, poi, essere sottoposti ad una vera e propria valutazione di impatto privacy (o DPIA).

La designazione del DPO riflette il nuovo approccio del Regolamento Europeo, maggiormente responsabilizzante, essendo finalizzata, da un lato, a facilitare l'attuazione del Regolamento da parte del titolare e del responsabile e, dall’altro, a verificare costantemente la sua corretta applicazione. Il DPO è anche il punto di contatto preferito per i rapporti con gli interessati e con il Garante.

Il DPO può essere scelto, evitando scrupolosamente ogni conflitto di interesse, all’interno della struttura del Titolare o conferendo il ruolo ad un soggetto esterno.

La designazione di un DPO è sempre obbligatoria quando ricorra anche solo uno di questi tre casi:

1. Per le amministrazioni e gli enti pubblici (eccetto le autorità giudiziarie nell'esercizio delle loro funzioni).
2. Se l'attività principale svolta dal titolare o dal responsabile del trattamento consiste nel trattamento di dati che per la loro natura, oggetto o finalità, richiedono il controllo regolare e sistematico degli interessati su larga scala.
3. Se l'attività principale consiste nel trattamento su larga scala di dati sensibili, relativi alla salute, alla vita sessuale, genetici, giudiziari e biometrici. Il monitoraggio del comportamento delle persone interessate comprende tutte le forme di monitoraggio e profilazione su Internet, anche ai fini della pubblicità comportamentale.

In ogni caso, anche se non si è obbligati, è sempre possibile e segno di responsabilità nominare un DPO e farsi assistere da un professionista esperto per la corretta gestione di questo ruolo così delicato.

Affinché la conformità sia effettiva, il Titolare deve essere in grado di “darne conto”, ovvero di dimostrare l’adeguatezza delle procedure e delle misure di sicurezza applicate, anche attraverso un riesame e aggiornamento periodico delle stesse. Le misure tecniche e organizzative che devono essere messe in atto ai sensi dell’art. 32 comprendono, infatti, “una procedura per testare, verificare e valutare regolarmente” l’efficacia delle sesse al fine di garantire la sicurezza del trattamento. La compliance alla normativa sulla data protection, infatti, non si esaurisce con la prima implementazione delle attività di adeguamento, ma presuppone un processo dinamico e continuo che, raggiunta la conformità, impone a chi tratta dati altrui di mantenerla nel tempo. Né ci si può fermare all’autoanalisi considerato che una parte essenziale dei controlli dovrà essere posta in essere nei confronti di eventuali responsabili esterni del trattamento.

L'informativa è una comunicazione rivolta all'interessato che ha lo scopo di informarlo sugli elementi fondamentali dei trattamenti operati dal Titolare. L'informativa ha anche lo scopo di permettere che l'interessato possa rendere un valido consenso, se richiesto come base giuridica del trattamento. In questo caso l'informativa non è solo dovuta in base al principio di trasparenza e correttezza, ma è anche una condizione di legittimità del consenso. Gli interessati devono sapere che stai raccogliendo i loro dati, perché li stai elaborando e con chi, eventualmente, li condividi.

Ogni specifica tipologia di trattamento prevede la propria informativa che deve sempre deve essere:

• concisa, trasparente, intelligibile e facilmente accessibile
• scritta in un linguaggio chiaro e semplice, in particolare se indirizzata a un minore
• gratuita, resa per iscritto o con altri mezzi anche elettronici

Il contenuto dell'informativa dipende dal fatto che i dati personali siano stati ottenuti direttamente dall'interessato o da una terza parte. Poiché ogni titolare ha le proprie modalità e finalità per il trattamento dei dati personali che raccoglie, l'informativa dovrà essere specificatamente redatta per rispecchiarne tali peculiarità, con particolare riguardo, soprattutto, ai modi con cui l'interessato può esercitare i propri diritti in riferimento ai dati oggetto di trattamento.

Anche in riferimento alla gestione dei dati incorporati su supporti cartacei risulta necessario impartire istruzioni alle persone autorizzate per lo svolgimento delle operazioni di trattamento degli atti e dei documenti. Risulta importante rammentare, soprattutto quando si ha a che fare con le categorie particolari di dati, che non è possibile lasciare incustoditi questi supporti. Al termine dell’attività lavorativa – ma anche in caso di allontanamento dalla propria postazione – è necessario procedere a collocarli negli appositi archivi da mantenere scrupolosamente chiusi a chiave. Come per qualsiasi altra attività di trattamento, è importante ricordare, inoltre, che la conservazione senza limiti di tempo delle informazioni è ammissibile solo laddove prevista per legge (si pensi, ad esempio, alla conservazione delle cartelle cliniche di ricovero delle strutture sanitarie). Tutte le misure adottate devono essere, anche in questo caso, aggiornate periodicamente per adeguarle alle nuove esigenze organizzative interne o a un mutato livello di rischio.

Una violazione dei dati personali può compromettere la riservatezza, l’integrità o la disponibilità di dati personali.

Alcuni possibili esempi:

- l’accesso o l’acquisizione dei dati da parte di terzi non autorizzati;

- il furto o la perdita di dispositivi informatici contenenti dati personali;

- la deliberata alterazione di dati personali;

- l’impossibilità di accedere ai dati per cause accidentali o per attacchi esterni, virus, malware, ecc.;

- la perdita o la distruzione di dati personali a causa di incidenti, eventi avversi, incendi o altre calamità;

- la divulgazione non autorizzata dei dati personali.

In caso di violazione dei dati personali, Il titolare del trattamento senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza, deve notificare la violazione al Garante a meno che sia improbabile che la violazione dei dati personali comporti un rischio per i diritti e le libertà delle persone fisiche. Vanno notificate unicamente le violazioni di dati personali che possono avere effetti avversi significativi sugli individui, causando danni fisici, materiali o immateriali. Ciò può includere, ad esempio, la perdita del controllo sui propri dati personali, la limitazione di alcuni diritti, la discriminazione, il furto d'identità o il rischio di frode, la perdita di riservatezza dei dati personali protetti dal segreto professionale, una perdita finanziaria, un danno alla reputazione e qualsiasi altro significativo svantaggio economico o sociale.

Il responsabile del trattamento che viene a conoscenza di una eventuale violazione è tenuto a informare tempestivamente il titolare in modo che possa attivarsi. Inoltre, se la violazione comporta un rischio elevato per i diritti delle persone, il titolare deve comunicarla a tutti gli interessati, utilizzando i canali più idonei, a meno che abbia già preso misure tali da ridurne l’impatto. Il titolare del trattamento, a prescindere dalla notifica al Garante, documenta tutte le violazioni dei dati personali, ad esempio predisponendo un apposito registro. Tale documentazione consente all’Autorità di effettuare eventuali verifiche sul rispetto della normativa.