Normative europee

GDPR: alcuni suggerimenti pratici su semplici adempimenti

Come effettuare la redazione del registro delle attività di trattamento, la gestione delle terze parti, l’organizzazione della privacy e la formazione

24 Lug 2020

Nicola Scarnera

Sin dalla sua approvazione, il Regolamento (Ue) 2016/679 (di seguito anche “GDPR” o “Regolamento”) ha rappresentato una sfida per tutte le aziende che trattano dati personali. Anche le grandi aziende hanno incontrato non poche insidie nell’adeguarsi ai requisiti della normativa, nonostante le loro ingenti possibilità economiche (si considerino le recenti sanzioni irrogate a società dei settori Telco e Oil&Gas). Ad essere ancora più in difficoltà sono le piccole e medie imprese che scontano tra l’altro la mancanza di competenza “in casa” e la difficoltà di reperirla all’esterno, con il risultato che anche gli adempimenti più banali vengono spesso portati a termine in maniera scorretta. Seguiranno, dunque, alcuni suggerimenti pratici in merito ai seguenti adempimenti: redazione del registro delle attività di trattamento, gestione delle terze parti, organizzazione privacy e formazione.

Redazione del registro delle attività di trattamento

Capita frequentemente a coloro che sono impegnati in progetti di adeguamento al GDPR o attività di audit privacy di riscontrare presso i clienti la mancanza di alcuni elementi fondamentali che dovrebbero far parte del registro delle attività di trattamento. Il che può sembrare strano, in quanto i contenuti che il registro deve presentare per potersi dire adeguato rispetto alla normativa privacy sono prescritti ed esplicitati in maniera sufficientemente chiara dall’articolo 30 del Regolamento (da notare che i contenuti differiscono leggermente in base al ruolo assunto dall’azienda, la quale può operare in veste di titolare o responsabile del trattamento).

Sicuramente, in tutto questo è complice anche la scarsa rilevanza che viene attribuita alla materia da parte del business che, come ormai abbiamo imparato a sapere, la ritiene un’incombenza che distrae risorse dall’attività lavorativa. Personalmente, non aderisco alla retorica di coloro che vedono nella privacy un’“opportunità”. Preferisco semplicemente ricordare che nel 2018, secondo l’ultima relazione annuale del Garante per la protezione dei dati personali, sono state irrogate sanzioni amministrative per una cifra superiore agli 8 milioni di euro.

Al fine di evitare tali sanzioni, si possono adottare alcuni accorgimenti per prepararsi a un’eventuale ispezione del Garante e dimostrare la compliance con la normativa privacy. Nel caso del registro delle attività di trattamento, si può sfruttare l’imposizione normativa per svolgere un’attività di descrizione accurata del ciclo di vita di ogni singolo trattamento, dalla raccolta dei dati alla loro cancellazione in maniera tale da poter dimostrare di aver implementato un’efficace governance dei dati. Dunque, anziché limitarsi a censire le sole informazioni richieste dal Regolamento, svolgere un’attività leggermente più ampia che permetta anche di individuare eventuali modalità di trattamento non a norma, di definire il processo che descriva quelle corrette e di impedire per il futuro che le attività connesse col trattamento in questione possano deviare dal normale flusso di processo.

Da ricordare è che la definizione di trattamento di dati personali fornita dal Regolamento all’articolo 4 è molto ampia e contempla qualsiasi azione applicata a dati personali o insiemi di dati personali. Perciò, durante l’attività di descrizione del ciclo di vita del trattamento è utile andare a esplicitare ogni singola operazione svolta sui dati personali o effettuata tramite il loro ausilio. Giusto a titolo esemplificativo, descrivere come vengono raccolti i dati personali aiuta ad individuare la base legale adeguata che è necessario considerare per lo svolgimento delle attività di trattamento. In seguito alla loro raccolta, una probabile operazione è quella della registrazione a sistema (nel caso di trattamento in forma automatizzata) o di archiviazione (nel caso di trattamento cartaceo) e, in questo caso, la descrizione di questa fase ci sarà utile per censire sistemi e archivi dove i dati vengono conservati e le relative misure di sicurezza fisiche e logiche.

Una particolare attenzione si dovrà dare, in ultimo, all’operazione di cancellazione dei dati. Qualsiasi attività di trattamento deve essere sempre legata al conseguimento di una finalità. Nel momento in cui tale finalità è stata raggiunta non v’è più ragione di conservare o svolgere qualsiasi altra operazione con i dati personali raccolti per quel trattamento. Giungere alla descrizione di questa fase ci consentirà di prendere in considerazione l’individuazione del giusto periodo di conservazione dei dati e delle relative modalità di cancellazione/distruzione sicura.

Gestione delle terze parti

La gestione delle terze parti è di fondamentale importanza in quanto al trattamento svolto da un responsabile per conto del titolare si applicano le stesse prescrizioni in materia di misure di sicurezza tecniche e organizzative previste per il titolare, le quali devono essere adeguate all’attività svolta. L’adeguatezza cui il testo del Regolamento fa riferimento responsabilizza il titolare del trattamento la cui guida per l’implementazione delle misure di sicurezza non deve ritrovarsi in un elenco di misure “minime”, bensì nella considerazione dell’entità dei rischi posti dal trattamento ai soggetti interessati.

DIGITAL EVENT 9 SETTEMBRE
Cyber Security: tra tecnologia e cultura del dato. Ecco cosa fanno i Security People
Legal
Sicurezza

Molto spesso, però, i responsabili del trattamento non vengono nemmeno nominati. Il suggerimento, in questo caso, è quello di formalizzare un documento di processo per la contrattualizzazione con le terze parti che preveda una specifica fase in cui si verifica se il soggetto con cui si andrà a firmare l’accordo dovrà trattare o meno dati personali per il proprio conto. Può essere utile, inoltre, approntare un template standard di nomina a Responsabile del trattamento da perfezionare al momento della contrattualizzazione e da allegare all’accordo contrattuale. Degno di nota è quanto previsto dal Regolamento al paragrafo 2 dell’articolo 28 e spesso dimenticato: se a ricorrere ad un responsabile del trattamento non è il titolare bensì un suo responsabile, questi ha il dovere di sottoporre la nomina all’autorizzazione del titolare del trattamento prima di nominare il sub-responsabile. Anche questa incombenza dovrà essere integrata all’interno del documento procedurale da formalizzare.

Al fine di assicurarsi che il responsabile del trattamento ponga in essere adeguati presidi di sicurezza, sarà necessario somministrargli in fase precontrattuale un questionario (che può assumere la forma di una checklist) affinché questi dichiari quelle che saranno le misure a presidio della protezione dei dati. Anche in questo caso, il suggerimento è quello di approntare un template standard da perfezionare al momento. Tale documento potrebbe anche contemplare la richiesta di acquisizione della copia di eventuali certificazioni che dimostrino l’aderenza a determinati standard di sicurezza dell’informazione (es. ISO/IEC 27001), laddove il responsabile ne fosse provvisto. È bene sottolineare che una simile certificazione non dimostra in sé la compliance con la normativa privacy (non stiamo parlando dei codici di condotta o delle certificazioni di cui agli articoli 40 e 42 del Regolamento). Tuttavia, la presenza di una certificazione come quella richiamata a titolo esemplificativo può essere considerata indice di un buon livello di maturità dei controlli che interessano la sicurezza dell’informazione. Infine, una volta siglato l’accordo unitamente alla nomina a responsabile del trattamento, il titolare (o il responsabile che ricorre ad altro responsabile) ha il compito di monitorare nel tempo lo stato delle misure di sicurezza tecniche e organizzative poste in essere dal responsabile del trattamento. Tale verifica può essere eseguita sottoponendo periodicamente il questionario al fornitore affinché confermi o aggiorni le misure di sicurezza poste in essere. Oppure può assumere la forma ben più definita e strutturata di un’attività di audit con richiesta delle evidenze relative alle misure di sicurezza implementate (questa seconda opzione risulta sicuramente più percorribile per contesti più organizzati).

Organizzazione privacy e formazione

Per chi si occupa di privacy forse la cosa più sconfortante è riscontrare la totale assenza di figure aziendali di riferimento per la gestione in materia, talvolta anche in aziende fortemente interessate dalla normativa privacy. Come detto in apertura, un po’ si fatica a trovare la competenza giusta e un po’ si ritiene la materia un peso per l’azienda. Con il risultato che la gestione della privacy viene affidata a personale non qualificato o che svolge compiti ausiliari rispetto a quello che è il core business dell’azienda.

Inutile dire che in simili contesti va immediatamente invertita la rotta, nominando almeno un referente privacy per l’azienda e cercando di fornirgli gli strumenti minimi con cui affrontare la gestione della materia. L’ideale sarebbe che il referente frequentasse uno degli appositi corsi impartiti ormai da molte università, fondazioni o associazioni che operano nel settore. Tuttavia, per ragioni di budget si può anche ripiegare su qualche corso introduttivo online, purché abbia le giuste referenze.

Rimanendo in tema di formazione, è giusto sottolineare come in verità tutto il personale incaricato al trattamento di dati personali dovrebbe essere formato a tal fine. Anche in questo caso, si possono sfruttare i numerosi corsi online, sempre con le dovute referenze. La formazione andrebbe, inoltre, ripetuta a cadenza regolare, almeno una volta l’anno. Infine, agli incaricati deve essere sottoposta per controfirma la lettera d’incarico al trattamento recante istruzioni e modalità di trattamento in formato cartaceo e digitale dei dati personali. Allegato alla lettera di incarico dovrebbe esserci un disciplinare che riporti alcune informazioni, tra cui ad esempio a) una Clean Desk Policy per assicurarsi che il personale non lasci incustoditi i supporti su cui risiedono i dati personali, b) le modalità di trasmissione dei dati per impedire soprattutto che categorie particolari di dati personali vengano trasmesse tramite comunicazioni di rete poco sicure o con supporti removibili e c) regole di complessità per la scelta delle password al fine di proteggere più adeguatamente gli strumenti informatici a propria disposizione con cui si trattano dati personali. Un “libretto di istruzioni” chiaro e a portata di mano per ridurre errori umani, spesso causa di incidenti che coinvolgono dati personali.

@RIPRODUZIONE RISERVATA
S
Nicola Scarnera
Argomenti trattati

Approfondimenti

G
GDPR

Articolo 1 di 5