Il rispetto delle regole in materia di trattamento dati personali è questione che interessa sempre più le aziende e ciò accade per due ragioni: la prima è la necessità di evitare sanzioni (alquanto salate) e l’altra è poter assolvere alle richieste privacy dei clienti (persone fisiche o committenti) che potrebbero preferire la concorrenza qualora offra loro maggiori garanzie di riservatezza. Si pensi a fornitori ai fornitori di servizi IT, scegliere il fornitore giusto permette di scongiurare indesiderati data breach. Per operare questo tipo di verifica dobbiamo chiederci se, al di là delle peculiarità delle singole realtà, da indagarsi caso per caso, esista un nucleo minimo di attività di adeguamento privacy aziendale, tale da permettere – anche al Titolare più inesperto – di capire se la compliance aziendale sia stata impostata in modo corretto.
Una domanda che si sono posti in tanti, ma che per quanto abbia una risposta positiva necessita di qualche precisazione. In particolare la check list che ci apprestiamo a stilare, così come qualsiasi altra lista, non potrà mai sostituire una verifica professionale e inoltre lo strumento di verifica che segue è soltanto una traccia, una base di partenza in quanto ogni realtà aziendale o comunque lavorativa presenta proprie peculiarità anche per i trattamenti più diffusi e pertanto lo strumento della checklist è quanto necessario a capire in linea di massima l’andamento del lavoro e potersi orientare, come Titolare non esperto dell’argomento, nella giungla delle consulenze privacy.
Indice degli argomenti
I requisiti da verificare per l’adeguamento privacy aziendale
Attualmente l’attività di consulenza in materia di privacy non è riservata a un ristretto nucleo di soggetti specializzati o certificati (es. appartenenti a un Albo) e trattandosi di una materia trasversale che tocca più ambiti: legale, informatico, di verifica dei processi (Audit), etc. è ancora difficile reperire consulenti che possano racchiudano tutte queste competenze e a costi sostenibili per tutti. La novità della materia e l’esplosione della domanda di adeguamento – nata dal timore di sanzioni – ha prodotto una platea di consulenti poco preparati e poco esperti. Per questa ragione la prima cosa da indagare è il profilo professionale del consulente assoldato, diffidando prima di tutto dagli adeguamenti a basso costo e standardizzati (salvo convenzioni ottenute tramite associazioni o enti che possano garantire un vaglio adeguato delle competenze del professionista). Un consulente privacy preparato vi dirà sempre che la standardizzazione è un concetto posto agli antipodi dell’attuale normativa privacy. Ottimizzare i processi è una cosa, standardizzare senza indagine un’altra.
Venendo ai requisiti da verificare:
- per un’adeguata consulenza sulla normativa privacy e la sua corretta applicazione il consulente dovrà avere esperienza o appartenere al campo legale (avvocati, figure professionali provenienti da reparti legal con considerevole esperienza, etc.);
- mentre per quanto attiene alla consulenza pratico-operativa relativa alla predisposizione di misure di sicurezza informatiche a protezione dei dati è opportuno che l’azienda coinvolga il soggetto proposto a tale funzione (quale il tecnico sistemista, la società di consulenza HW e SW, ingegneri, etc.) e che questo sia in possesso di nozioni privacy e abbia approfondito temi ad essa collegati (cybersecurity, conoscenza sistemi malevoli, capacità di organizzare sistemi di backup, gestione incidenti, etc.).
Appare evidente che con adeguata formazione e un periodo di esperienza numerose altre figure professionali: commercialisti, consulenti in materia di lavoro, ingegneri, responsabili aziendali, auditor potranno svolgere l’attività di adeguamento, ma certamente non ci si può improvvisare tali. La normativa di settore attinge da numero fonti (sovranazionali, nazionali, amministrative: negli ambiti più disparati, si pensi ad esempio all’ambito giuslavoristico: in questo settore l’Ispettorato del Lavoro ha emesso diverse circolari interpretative riguardanti l’ambito privacy, soprattutto in materia di controlli a distanza, disciplinando di fatto la materia. Un non addetto ai lavori pertanto non potrebbe attingere da queste fonti e il Titolare, di conseguenza, potrebbe incorrere in violazioni dello statuto dei lavoratori senza accorgersene); inoltre la normativa è in continua evoluzione e interessa soprattutto le nuove tecnologie che non sono argomento alla portata di tutti da un punto di vista tecnico. Non è possibile affidare questa materia a chi non ne abbia esperienza o approfondita conoscenza.
Coloro che abbiano scelto consulenti esterni pensando di adeguare la loro attività da un punto di vista solo documentale mancheranno di aver adeguatamente implementato il c.d. principio di accountability (che richiede una rendicontazione delle scelte[1] privacy effettuate dal Titolare all’interno della propria organizzazione). Cuore dell’attività di compliance.
Scegliere il giusto consulente privacy è la prima cosa da fare per ridurre il rischio di sanzioni e non perdere quote di mercato rispetto ai propri concorrenti. I costi di un consulente variano molto in questo momento storico e non si sono ancora stabilizzati, ma se l’azienda sa cosa cercare troverà quanto le serve al prezzo più giusto per le sue tasche. Il criterio del minor prezzo non è consigliabile in questo ambito e anche le pubbliche amministrazioni che abbiano indetto gare d’appalto a ribasso, piuttosto che per competenze specifiche, potrebbero essere destinatarie di contestazioni da parte dell’Autorità Garante.
La check list degli adempimenti principali della normativa sulla privacy
Fatto questo primo passaggio veniamo adesso alla verifica delle attività principali dell’adeguamento, ossia l’analisi di partenza di un consulente privacy che voglia iniziare l’adeguamento (la check list è strutturata su un’azienda che svolge attività produttiva di beni e vendita degli stessi a clienti finali). La tabella che segue è una sorta di checklist che dovrebbe utilizzare ogni consulente nel suo lavoro per avviare la c.d. gap analisys (ossia la verifica dello stato di compliance del Titolare rispetto agli obblighi imposti dalla normativa) e la stessa lista può essere utilizzata dal Titolare per verificare che il consulente incaricato stia effettivamente a conoscenza degli obblighi della normativa.
La check list è suddivisa in aree tematiche all’interno delle quali vi è indicazione più analitica degli adempimenti che devono in genere essere assolti. È prevista una spunta per il SI (che significa: adempimento eseguito e implementato e per questa voca è da indicarsi anche la DATA di esecuzione o ultima revisione); una spunta per il NO (che significa che non è stata svolta alcuna attività) e uno spazio per le NOTE (ad esempio in caso di revisione o diversa modalità di adempimento).
| Adempimento | SI | NO | DATA | NOTE | |
| Sezione DPO – Data Protection Officer | |||||
| 1 | Verifica delle previsioni di cui all’art. 37 GDPR: obbligo di nomina del Data Protection Officer (il Titolare ha l’obbligo di nominare un DPO?) | ||||
| 2 | Individuazione del Data Protection Officer secondo i requisiti di cui al GDPR (soggetto in possesso di adeguata competenza ed esperienza in materia di privacy; soggetto privo di ruolo in conflitto di interessi con l’incarico, etc.) | ||||
| 3 | Nomina Data Protection Officer (art. 37 GDPR) – è stata eseguita la procedura formale di invio telematico all’autorità Garante? E’ stato sottoscritto formale incarico? Etc. | ||||
| 4 | Se nominato i DPO: esiste una relazione periodica dell’operato del Data Protection Officer | ||||
| Sezione Registro del Trattamento | |||||
| 1 | Mappatura dei processi come Titolare (art. 4 GDPR e 30 GDPR comma 1) – descrizione del trattamento, tipologia di dati, base giuridica, tempi conservazione, trasferimento paesi terzi, presenza responsabili o subresponsabili, etc. | ||||
| 2 | Mappatura dei processi come Responsabile (art. 28 GDPR e 30 comma 2 GDPR) | ||||
| 3 | Predisposizione di un sistema di revisione e aggiornamento del Registro art. 30 comma 1 – Registro del Titolare | ||||
| 4 | Predisposizione di un sistema di revisione e aggiornamento del Registro art. 30 comma 2 – Registro del Responsabile | ||||
| Sezione documentazione interessati (interni) | |||||
| 1 | Sono state predisposte autorizzazioni per i dipendenti ex art. 2 quaterdecies codice privacy? | ||||
| 2 | Esistono Informative destinate ai dipendenti (art. 13 GDPR)? | ||||
| 3 | Esiste un’informativa per Candidati (per un contratto di lavoro)? | ||||
| 4 | Sono predisposte informativa per l’eventuale videosorveglianza aziendale? Qualora vi siano dipendenti è stata ottenuta autorizzazione sindacale o amministrativa (art. 4 L.300/70) ? (verifica anche per l’autorizzazione e accesso alle immagini e DPIA ex art 35 GDPR, v. sezione apposita) | ||||
| 5 | In caso di procedure anti-contagio Covid-19 per dipendenti e fornitori (se presente una procedura per ingresso e uscita, es. rilevazione temperatura o autodichiarazione) è stata predisposta idonea informativa privacy e eventuale lettera di incarico al trattamento per coloro che si occupano della raccolta dati? | ||||
| 6 | Mappatura dei fornitori che svolgo per conto del Titolare servizi che comportano il trattamento di dati personali di: dipendenti, collaboratori e fornitori (es. commercialista, consulente del lavoro, società consulenza in materia di sicurezza sul lavoro, etc.), è stato predisposto un elenco e questo è periodicamente aggiornato? | ||||
| 7 | Nomina art. 28 GDPR dei fornitori di cui al punto 6, sono state predisposte e vi è una procedura di loro periodica revisione? | ||||
| 8 | Informativa per fornitori art. 13 GDPR (persone fisiche o legali rappresentanti di persone giuridiche) | ||||
| 9 | Procedura di verifica per l’aggiornamento periodico dei fornitori o altra modalità di revisione | ||||
| 10 | Procedura di verifica per l’avvenuta restituzione della nomina al Titolare | ||||
| 11 | Esiste un impegno alla riservatezza sottoscritto da soci, membri cda, revisori e cariche come da statuto? (relativo alle loro attività di trattamento dati) | ||||
| 12 | Informativa per soci e cariche di cui al punto 11 | ||||
| 13 | Formazione del personale in materia di privacy – viene eseguita periodicamente? | ||||
| c.14 | È prevista una verifica di apprendimento corso di formazione di cui al punto 13? | ||||
| 15 | Integrazione della normativa privacy a procedure di gestione interne o policy (es. utilizzo strumentazione informatica, utilizzo, e-mail, etc.): esistono tali procedure? Sono state esaminate anche lato privacy? | ||||
| Sezione documentazione interessati (esterni) | |||||
| 1 | Informativa Clienti (es. per raccolta dati durante attività di vendita: fatture, registrazione acquisiti per raccolta punti, sconti, etc.) | ||||
| 2 | Informativa Utenti- Clienti (acquisiti online) | ||||
| 3 | Informativa Utenti sito web – cookie | ||||
| 4 | Informativa Utenti sito web – newsletter | ||||
| 5 | Informativa Utenti – richiesta informazioni e altre funzionalità del sito (lavora con noi; campagne lead, etc.) | ||||
| 6 | Informativa/liberatoria pubblicazione immagini (qualora sul sito siano pubblicate foto di interessati) | ||||
| 7 | Informativa/liberatoria contributi audio o audio/video (qualora siano pubblicati contributi editoriali o podcast o altro) | ||||
| Ulteriore Documentazione per la Compliance Privacy | |||||
| 1 | Mappatura misure di sicurezza tecniche (a livello informatico) e organizzative (documentazione e attività) effettivamente implementate. | ||||
| 2 | Valutazione Rischio Privacy dei trattamenti censiti (secondo criteri prestabiliti, es. ENISA) e programma di mitigazione del rischio | ||||
| 3 | DPIA – Documento di Privacy Impact Assestment (es. in caso di videosorveglianza, trattamenti mediante nuove tecnologie e automatizzati, etc.) | ||||
| 4 | Procedura per l’esercizio dei diritti artt. 15-22 GDPR da parte degli interessati e gestione di eventuali richieste | ||||
| 5 | Procedura di gestione Data Breach | ||||
| 6 | Nomina Amministratore di Sistema (Provv. 2011) – eventualmente incaricato ex art 2 quaterdecies Codice Privacy con medesime funzioni | ||||
| 7 | Nomina Medico del Lavoro (persona fisica, titolare autonomo a cui si potrà richiedere un impegno alla riservatezza) | ||||
| 8 | Redazione Modello Organizzativo Privacy (secondo il principio di Accountability) o di altro documento dal quale poter comprendere le scelte di compliance eseguite dal Titolare | ||||
| 9 | Piano di Audit periodico (interni: per i trattamenti come Titolare, e Responsabile o sub-Responsabile; esterni: da eseguirsi verso resp. Art. 28 GDPR) | ||||
| 10 | Verifica dell’applicazione di Codici di Condotta dell’Autorità Garante (es. giornalisti) |
Conclusioni
La presente check list non ha la pretesa di essere esaustiva di tutte le attività di adeguamento necessarie e soprattutto è costruita su una realtà piuttosto semplice (lato privacy), molte attività professionali, imprenditoriali o comunque molti Titolari del trattamento svolgono elaborazione di dati complesse o trattano categorie di dati particolari che necessitano di un più approfondito lavoro. Questa checklist vuole essere un suggerimento, una base di lavoro da cui poter partire e che può essere utile ai Titolari del trattamento per verificare l’attività dei propri consulenti.
La novità del tema della privacy e della sua recente revisione normativa, oltre alla specificità della materia, non permette al Titolare di avere piena contezza dei suoi obblighi e questo documento potrebbe rappresentare una prima verifica interna, del proprio livello di adeguamento aziendale, per poi poter verificare di aver scelto un professionista adeguato o essere in grado di individuare il professionista che possa accompagnarlo nell’attività di adeguamento nel modo corretto.
Note
- Il principio dell’Accountability rappresenta uno dei pilastri su cui si fonda l’impianto normativo del Regolamento Europeo 2016/679 che si concretizza in più di una disposizione dando vita ad un impianto normativo che cambia completamente il punto di vista del “sistema privacy”.
In questo delicato percorso viene richiesto ad ogni soggetto coinvolto di comprendere e implementare gli obblighi della normativa in materia di tutela dei dati personali (titolare, responsabile e soggetti autorizzati) e rendicontarne le proprie scelte tecniche e organizzative. Ciò che in particolare viene richiesto ai Titolari è un approccio proattivo con focus su obblighi e comportamenti che prevengano in modo effettivo il possibile evento di danno, ponendo in essere misure di sicurezza costruite sulle specificità dei diversi trattamenti cui si riferiscono. Tutto ciò come già esplicitamente chiarito anche nel parere (Opinion 3/2010 – WP art.29) espresso dal Gruppo di Lavoro Articolo 29, significativamente intitolato “Opinion 3/2010 on the principle of accountability”, per approfondimenti https://www.avvocatovictoriaparise.com/. ↑
