Medico competente: responsabile o titolare del trattamento?

Lo scorso 23 giugno il Garante per la protezione dei dati personali ha presentato la Relazione annuale sulle attività svolte nel 2019. Si parte dai numeri e si scende poi nei dettagli con paragrafi descrittivi di approfondimento. Il n. 13.14, intitolato “I trattamenti di dati da parte del medico competente” affronta in modo esplicito e definitivo la questione della posizione del medico competente nell’ambito del sistema di gestione della privacy aziendale. Tra chi considerava il medico competente un responsabile esterno al trattamento e chi lo riteneva un titolare del trattamento sono i secondi a ricevere la conferma espressa da parte del Garante.

Il medico competente come autonomo titolare

Il Garante lo dice chiaramente:

“il Garante ha tradizionalmente considerato il medico competente un autonomo titolare e, nonostante gli accertamenti volti a verificare l’idoneità alla mansione specifica del dipendente siano obbligatori per legge e svolti a spese e a cura del datore di lavoro (artt. 39, comma 5 e 41, comma 4, d.lgs. n. 81/2008), essi devono essere effettuati esclusivamente tramite il professionista. Egli è, infatti, l’unico soggetto legittimato a trattare i dati sanitari dei lavoratori per le finalità indicate dalla disciplina di settore…”

La questione non è legata alla presenza di un incarico conferito dal datore di lavoro al professionista, ma al fatto che il professionista è l’unico legittimato ex lege a trattare in piena autonomia e competenza tecnica i dati personali di natura sanitaria.

La questione, in sostanza, non è legata alla presenza di un incarico conferito dal datore di lavoro al professionista, ma al fatto che “nello svolgimento dei compiti che la legge gli attribuisce in via esclusiva (attività di sorveglianza sanitaria e tenuta delle cartelle sanitarie e di rischio dei singoli lavoratori), il professionista è l’unico legittimato ex lege a trattare in piena autonomia e competenza tecnica i dati personali di natura sanitaria indispensabili
per tale finalità, non potendo essere in alcun modo trattate dal datore di lavoro informazioni relative, ad esempio, alla diagnosi o all’anamnesi familiare del lavoratore, se non con riferimento al solo giudizio di idoneità alla mansione specifica ed alle eventuali prescrizioni che il professionista fissa come condizioni di lavoro
“.

E non è la tipologia di rapporto tra professionista sanitario e datore di lavoro a influire sulla posizione del medico competente come titolare del trattamento:

“Anche sotto il profilo sanzionatorio, il quadro normativo nazionale distingue chiaramente le responsabilità che ricadono sul datore di lavoro da quelle che invece sono direttamente imputabili al medico competente, sia quando opera in qualità di libero professionista o per conto di strutture convenzionate, sia quando opera in qualità di dipendente del datore di lavoro.”

Non solo non è necessario nominare il medico competente quale responsabile esterno al trattamento dei dati personali, ma questa nomina non risulta corretta dal punto di vista normativo.

Quindi? Quindi non solo non è necessario nominare il medico competente quale responsabile esterno al trattamento dei dati personali, ma questa nomina non risulta corretta dal punto di vista normativo ed è opportuno eliminarla, aggiornando anche la documentazione che descrive la modalità di gestione dalla privacy in azienda che dovesse contenere riferimenti al ruolo del medico competente e lo citasse come responsabile esterno anziché come titolare (ex. DPIA o registro dei trattamenti).

Il data breach: che cos’è e che cosa fare

Con data breach si fa riferimento a un qualunque evento accidentale o deliberato che può compromettere la sicurezza dei dati personali trattati da un titolare.

L’espressione data breach appartiene al mondo della gestione dei dati personali; viene utilizzata per identificare le violazioni dei sistemi di sicurezza messi a punto dal titolare del trattamento dei dati personali, che comportano, accidentalmente o con finalità illecita,

  • la distruzione
  • la perdita
  • la modifica
  • la divulgazione non autorizzata
  • l’accesso

ai dati personali trasmessi, conservati o comunque trattati dal titolare. 

Il furto o la perdita di dispositivi informatici contenenti dati personali è un evento di data breach.

Il concetto può apparire complesso, ma ecco alcuni esempi che lo rendono immediato e mostrano quanto l’eventualità di data breach sia tutt’altro che remota:

  • l’accesso o l’acquisizione dei dati da parte di terzi non autorizzati;
  • il furto o la perdita di dispositivi informatici contenenti dati personali;
  • la deliberata alterazione di dati personali;
  • l’impossibilità di accedere ai dati per cause accidentali o per attacchi esterni, virus, malware; 
  • la perdita o la distruzione di dati personali a causa di incidenti, eventi avversi, incendi o altre calamità;
  • la divulgazione non autorizzata dei dati personali.

La notifica del data breach al Garante

Nei casi in cui la violazione può comportare un rischio per i diritti e le libertà delle persone fisiche, causando danni fisici, materiali  o immateriali, il titolare del trattamento deve notificare la violazione al Garante per la protezione dei dati personali.

Nei casi in cui la violazione può comportare un rischio per i diritti e le libertà delle persone fisiche, il titolare del trattamento deve notificare la violazione al Garante per la protezione dei dati personali.

La notifica deve essere trasmessa entro 72 ore dal momento in cui il titolare viene a conoscenza del data breach e, in caso di trasmissione oltre il termine delle 72 ore, motivando il ritardo.

La notifica deve essere sottoscritta digitalmente o con firma autografa e inviata al Garante tramite posta elettronica certificata.

Tramite il sito del garante è disponibile un modello che garantisce di trasmettere tutti i dati richiesti.

Altri adempimenti

Se la violazione comporta un rischio elevato per i diritti delle persone, il titolare deve comunicarla a tutti gli interessati, utilizzando i canali che ritiene più idonei, a meno che non abbia già preso misure tali da ridurne l’impatto. 

In ogni caso e anche a prescindere dalla notifica al Garante, il titolare del trattamento deve documentare tutte le violazioni dei dati personali.

In ogni caso e anche a prescindere dalla notifica al Garante, il titolare del trattamento deve documentare tutti i data breach.

In genere si predispone un apposito registro che consenta di tracciare tutte le informazioni sufficienti a ricostruire l’accaduto, individuare eventuali responsabili, dare evidenza delle azioni intraprese per gestire la violazione e contenere il suo impatto, registrare la valutazione del rischio per i diritti delle persone in funzione del quale si è fatta seguire o meno la notifica al garante, dimostrare il rispetto del termine delle 72 ore e dettagliare le ragioni dell’eventuale ritardo della notifica. Per altro il registro, tenendo traccia delle violazioni nel tempo, può rappresentare un’utile fonte di informazioni sull’efficacia delle misure di sicurezza messe in atto, indirizzando il titolare nel miglioramento della gestione della privacy della sua organizzazione.

Il DPO, Data Protection Officer

La sigla DPO sta per Data Protection Officer ed equivale alla versione italiana Responsabile della Protezione dei Dati (RPD).

La sigla DPO sta per Data Protection Officer ed equivale alla versione italiana Responsabile della Protezione dei Dati (RPD).

Questa figura è obbligatoria solo in alcuni casi specifici:

  • quando il trattamento dei dati è effettuato da un’autorità pubblica o da un organismo pubblico (a eccezione delle autorità giurisdizionali che effettuano attività giurisdizionali);
  • quando le attività principali del titolare o del responsabile del trattamento consistono in trattamenti che per la loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala;
  • quando le attività principali del titolare o del responsabile del trattamento consistono nel trattamento, su larga scala, di categorie particolari di dati personali o di dati relativi a condanne penali, reati o a connesse misure di sicurezza.

Nei casi in cui la normativa (GDPR) non impone la designazione, è comunque possibile la nomina di un RPD per scelta volontaria e, nel caso di un gruppo di imprese o soggetti pubblici, è possibile nominare un unico DPO.

Chi può svolgere la funzione di DPO?

Il DPO può essere interno o esterno all’organizzazione, e svolgere altre funzioni, ma, al di là della scelta strategica, l'importante è che possieda competenze giuridiche, informatiche, di gestione del rischio e di analisi dei processi.

Il DPO può essere interno o esterno all’organizzazione, e svolgere altre funzioni, ma, al di là della scelta strategica, l’importante è che:

  1. possieda competenze giuridiche, informatiche, di gestione del rischio e di analisi dei processi;
  2. svolga il suo ruolo con indipendenza e senza conflitti di interesse, e questo significa che non può essere lui a decidere finalità e strumenti di trattamento dei dati personali e che il titolare o il responsabile del trattamento devono fornirgli le risorse necessarie per assolvere ai suoi compiti e accedere ai dati personali e ai trattamenti.

Non sono richieste attestazioni formali o l’iscrizione ad appositi albi professionali, anche se la partecipazione a master e corsi professionali sulle tematiche specifiche è un utile strumento per valutare il possesso di un livello adeguato di conoscenze.

La nomina di DPO deve essere formalizzata e il nominativo dell’incaricato, nonché la sua eventuale variazione e revoca, deve essere comunicata al Garante per la protezione dei dati personali attraverso specifica procedura online.

Quali sono i compiti del RDP?

Il responsabile della protezione dei dati è un facilitatore dell’osservanza delle disposizioni del GDRP.

Il responsabile della protezione dei dati è un facilitatore dell’osservanza delle disposizioni del GDRP. I suoi compiti comprendono:

  1. informare e svolgere attività di consulenza verso il titolare o il responsabile del trattamento e gli incaricati del trattamento degli obblighi derivanti dal GDPR e dalle altre norme relative alla protezione dei dati;
  2. sorvegliare sulla corretta gestione del trattamento in osservanza al GDPR e alle altre norme relative alla protezione dei dati, comprese l’attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo;
  3. fornire un parere, se richiesto, in merito alla DPIA e sorvegliare sul suo svolgimento;
  4. cooperare con l’autorità di controllo rispetto alla quale funge da punto di contatto per questioni connesse al trattamento.

Vuoi approfondire la questione? Puoi scaricare le Linee guida sui responsabili della protezione dei dati (RPD) – WP243 adottate dal Gruppo di lavoro Art. 29.

Non sai più che DPO pigliare? Contattami!

La formazione sulla privacy è obbligatoria?

Predisporre i documenti e nominare responsabili e incaricati al trattamento è sufficiente per rispettare il GDPR? No! Manca la formazione sulla privacy.

Predisporre le informative, il registro dei trattamenti, la valutazione d’impatto, nominare responsabili del trattamento e incaricati al trattamento è sufficiente per adempiere gli obblighi previsti dal GDPR? Non del tutto: manca la formazione sulla privacy!

Quali sono le caratteristiche della formazione privacy?

Non esistono riferimenti specifici in relazione a durata e contenuti della formazione in materia di privacy, né in merito alla frequenza di aggiornamento. La logica è quella di formare il personale che partecipa al trattamento dei dati (a partire da chi ha accesso permanente o regolare ai dati) e alle attività di controllo in funzione del tipo di dati trattati, dei trattamenti effettuati e delle misure di protezione messe in atto dal titolare del trattamento.

Non esistono riferimenti specifici in relazione a durata e contenuti della formazione in materia di privacy, né in merito alla frequenza di aggiornamento.

In termini di aggiornamento sarà la variazione di una di queste componenti (dati, trattamenti e sistemi di protezione) a richiedere di adeguare la formazione degli addetti, piuttosto che una variazione della funzione dell’addetto che comporti un diverso accesso ai dati o diverse modalità di trattamento e di gestione.

Come ogni altro aspetto della gestione privacy rispetto al GDPR, quindi, anche la formazione risulta una misura che il titolare deve definire in modo autonomo in funzione dei rischi per la protezione dei dati che ha individuato e valutato.

Chi dice che è obbligatoria?

La formazione può essere una misura organizzativa che il titolare ha definito come necessaria per garantire il rispetto delle procedure di trattamento e protezione dei dati che ha deciso di attuare. E questo sarebbe di per sé sufficiente a rendere obbligatoria l’attività di formazione.

Il GDPR ha previsto in maniera esplicita l'obbligo di formazione all'articolo 29.

Ma il GDPR ha previsto in maniera esplicita l’obbligo di formazione all’articolo 29:

Il responsabile del trattamento, o chiunque agisca sotto la sua autorità o sotto quella del titolare del trattamento, che abbia accesso a dati personali non può trattare tali dati se non è istruito in tal senso dal titolare del trattamento, salvo che lo richieda il diritto dell’Unione o degli Stati membri.

Detto n altre parole, l’articolo 29 dice che, con l’eccezione dei casi in cui il trattamento è previsto dal diritto dell’Unione Europea o degli Stati membri dell’Unione, tanto i responsabili quanto gli incaricati non sono autorizzati a trattare i dati personali se non sono stati formati (istruiti) dal titolare del trattamento.

Se ne può occupare il responsabile della protezione dei dati?

Il DPO è sicuramente una figura competente in materia. Il problema si pone più che altro rispetto alla finalità del suo compito.

La premessa essenziale è che il responsabile della protezione dei dati (o data protection officer – DPO) non è una figura obbligatoria in tutte le organizzazioni, ma è una “prerogativa” delle autorità pubbliche e delle organizzazioni che effettuano trattamenti su larga scala.

Il DPO è sicuramente una figura competente in materia, dato che uno dei requisiti per svolgere la funzione è quella della “conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati“. Il problema si pone più che altro rispetto alla finalità del suo compito, che è informativa e di consulenza verso il titolare e il responsabile del trattamento, e di vigilanza in relazione agli aspetti di formazione del personale.

Sarebbe quindi opportuno che la formazione non venisse svolta da un soggetto qualificato come DPO all’interno della struttura per la quale svolge tale funzione.

Ma ci sono sanzioni?

L’obbligo di formazione sulla privacy non deve essere sottovalutato in quanto la violazione dell’art. 29 che la prevede è soggetta a sanzioni amministrative pecuniarie

L’obbligo di formazione non deve essere sottovalutato in quanto la violazione dell’art. 29 che la prevede è soggetta a sanzioni amministrative pecuniarie. La norma parla di numeri che fanno paura (sanzioni fino a 10 milioni di euro o, per le imprese, fino al 2 % del fatturato mondiale totale annuo dell’esercizio precedente, se superiore). L’ammontare effettivo dipende da una serie di fattori che sono oggetto di valutazione da parte del Garante (ex. natura, gravità e durata della violazione, carattere doloso o colposo della violazione). Questo non toglie il fatto che la mancata formazione in materia di privacy risulta una violazione sanzionabile .

L’informativa trattamento dati: finalità e contenuti

L'informativa sul trattamento dei dati personali è lo strumento attraverso il quale il titolare del trattamento, il soggetto che raccoglie e utilizza i dati, fornisce a chi li cede, l'interessato, i dettagli relativi all'utilizzo dei suoi dati e lo informa dei suoi diritti.

L’informativa sul trattamento dei dati personali è lo strumento attraverso il quale il titolare del trattamento, il soggetto che raccoglie e utilizza i dati, fornisce a chi li cede, l’interessato, i dettagli relativi all’utilizzo dei suoi dati e lo informa dei suoi diritti. Non è invece lo strumento attraverso il quale l’interessato esprime il consenso al trattamento dei dati, ma l’informativa può essere utilizzata anche con questa finalità.

Ma quali sono gli elementi imprescindibili dell’informativa al trattamento dei dati personali? Come va fornita all’interessato?

Contenuti minimi dell’informativa

Il GDPR definisce agli artt. 13 e 14 quali informazioni devono essere fornite all'interessato in relazione al trattamento dei suoi dati, anche al fine di garantire correttezza e trasparenza del trattamento stesso.

Il GDPR definisce agli artt. 13 e 14 quali informazioni devono essere fornite all’interessato in relazione al trattamento dei suoi dati, anche al fine di garantire correttezza e trasparenza del trattamento stesso. I due articoli operano una distinzione tra l’informativa da fornire all’interessato in caso di raccolta dati presso di lui (in sua presenza e con lui come fonte) e di raccolta dati non ottenuti presso di lui, quindi ricavati in sua assenza e da altre fonti che, per altro, devono essere specificate nell’informativa.

Due sono le differenze:

  1. il momento in cui l’informativa deve essere presentata all’interessato, che deve coincidere con il momento della raccolta dati quando questi sono ottenuti dall’interessato e presenta tempistiche differenti in caso contrario;
  2. solo nel caso di dati non ottenuti presso l’interessato si devono specificare anche quali siano le categorie di dati oggetto di trattamento.

Ho riassunto in una tabella comparativa, che potete scaricare QUI, i contenuti delle due informative, evidenziandone le differenze, anche in termini di tempistiche di presentazione all’interessato.

Altre caratteristiche dell’informativa al trattamento dati

Non è sufficiente predisporre il documento per adempiere all'obbligo di informazione verso l'interessato, ma bisogna strutturare il documento in modo che sia conciso, comprensibile e facilmente accessibile.

Non è sufficiente predisporre il documento per adempiere all’obbligo di informazione verso l’interessato, ma bisogna:

  1. strutturare il documento in modo che sia conciso, trasparente, intelligibile (comprensibile) e facilmente accessibile;
  2. utilizzare un linguaggio semplice e chiaro, in particolare nel caso di informazioni destinate ai minori.

L’informativa può essere in formato cartaceo o elettrico e, “se richiesto dall’interessato, le informazioni possono essere fornite oralmente, purché sia comprovata con altri mezzi l’identità dell’interessato“, il che significa che bisogna comunque essere in grado di dimostrare che l’informativa è stata resa all’interessato, quindi è buona cosa richiedere la sottoscrizione di un documento che la contenga, anche nel caso in cui il relativo contenuto sia stato riferito a voce.

Sottoscrizione dell’informativa e consenso al trattamento

L'informativa al trattamento dati non è lo strumento attraverso il quale l'interessato esprime il consenso al trattamento dei dati, ma può essere utilizzata anche con questa finalità.

Condizione indispensabile per poter effettuare un trattamento dei dati personali è che lo stesso sia lecito, ossia basato su uno dei criteri dell’art. 6 del GDPR. La norma individua 6 condizioni alternative perché il trattamento possa dirsi lecito:

  • l’interessato ha espresso il consenso al trattamento;
  • il trattamento è necessario all’esecuzione di un contratto di cui l’interessato è parte o all’esecuzione di misure precontrattuali adottate su sua richiesta;
  • il trattamento è necessario per adempiere un obbligo legale al quale è soggetto il titolare del trattamento;
  • il trattamento è necessario per la salvaguardia degli interessi vitali dell’interessato o di un’altra persona fisica;
  • il trattamento è necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento;
  • il trattamento è necessario per il perseguimento del legittimo interesse del titolare del trattamento o di terzi (a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell’interessato).
Il titolare, se il trattamento risponde a uno dei criteri diversi dal consenso, può procedere al trattamento anche in assenza di consenso dell'interessato, ma questo non lo svincola dall'obbligo di fornire a quest'ultimo le informazioni previste dagli artt. 13 e 14 del GDPR.

Questo significa che il titolare, se il trattamento risponde a uno dei criteri diversi dal consenso, può procedere al trattamento anche in assenza di consenso dell’interessato, ma questo non lo svincola dall’obbligo di fornire a quest’ultimo le informazioni previste dagli artt. 13 e 14 del GDPR. In altre parole:

  1. la sottoscrizione dell’informativa trattamento dati non coincide necessariamente con l’espressione di un consenso da parte dell’interessato;
  2. qualora la liceità del trattamento dipenda dal consenso dell’interessato, allora è necessario che tale consenso venga espresso e che il titolare del trattamento sia in grado di dimostrare che l’interessato lo abbia fatto. Considerato che è possibile raccogliere il consenso nell’ambito di una “dichiarazione scritta che riguarda anche altre questioni“, allora può essere pratico inserire la clausola del consenso nell’informativa sul trattamento dei dati, accertandosi però che la richiesta sia “chiaramente distinguibile dalle altre materie“, comprensibile, facilmente accessibile e presentata con linguaggio semplice e chiaro.

DPIA e rilevazione temperatura corporea

Oggi mi voglio occupare di DPIA sia per non perdere il filo logico sia per una contingenza: il Protocollo condiviso di regolamentazione delle misure per il contrasto e il contenimento della diffusione del virus COVID-19 negli ambienti di lavoro (versione di marzo o di aprile non fa differenza in questa sede) prevede la possibilità e, in alcuni casi, l'obbligo di misurazione della temperatura corporea del personale; questo trattamento dati, finora considerato illecito dallo stesso Garante, comporta nella maggior parte delle realtà aziendali rischi nuovi per la privacy e, quindi, nuovi obblighi.

Prima dell’uragano COVID-19 avevo iniziato a parlare degli elementi “documentali” della gestione privacy in azienda, con l’intento di rendere cristallina la logica del GDPR avanzando per gradi.

La prima considerazione è stata che la gestione della privacy non è così diversa dalla gestione degli aspetti di salute e sicurezza sul lavoro e avevo introdotto il registro dei trattamenti e la DPIA (valutazione d’impatto sulla protezione dei dati); successivamente mi sono soffermata sul registro dei trattamenti e ho fatto un approfondimento sul tema della gestione privacy dei siti web.

L'elenco delle tipologie di trattamenti soggetti al requisito di una valutazione d'impatto (DPIA) sulla protezione dei dati è stato fornito dal Garante nel chiarimento interpretativo dell'11 ottobre 2018.

Oggi mi voglio occupare di DPIA sia per non perdere il filo logico sia per una contingenza: il Protocollo condiviso di regolamentazione delle misure per il contrasto e il contenimento della diffusione del virus COVID-19 negli ambienti di lavoro (versione di marzo o di aprile non fa differenza in questa sede) prevede la possibilità e, in alcuni casi, l’obbligo di misurazione della temperatura corporea del personale; questo trattamento dati, finora considerato illecito dallo stesso Garante, comporta nella maggior parte delle realtà aziendali rischi nuovi per la privacy e, quindi, nuovi obblighi.

Quando la DPIA è obbligatoria?

Quando un trattamento può comportare un rischio elevato per i diritti e le libertà delle persone interessate, ossia per i diritti alla protezione dei dati e alla vita privata, per la libertà di parola, di pensiero, di circolazione, di coscienza e di religione, o può indurre o comportare una discriminazione.

L’elenco delle tipologie di trattamenti soggetti al requisito di una valutazione d’impatto sulla protezione dei dati è stato fornito dal Garante nel chiarimento interpretativo dell’11 ottobre 2018.

Il GDPR obbliga i titolari a svolgere una valutazione di impatto (DPIA) prima di dare inizio al trattamento.

Il GDPR obbliga i titolari a svolgere una valutazione di impatto prima di dare inizio al trattamento, e consultando l’autorità di controllo nel caso in cui ritenessero che le misure tecniche e organizzative individuate per mitigare l’impatto del trattamento non siano sufficienti, cioè il rischio residuale per i diritti e le libertà degli interessati resti elevato.

Quando la DPIA non è obbligatoria?

In questo caso non esistono elenchi univoci, le indicazioni più dettagliate sono contenute nelle “Linee guida in materia di valutazione d’impatto sulla protezione dei dati e determinazione della possibilità che il trattamento “possa presentare un rischio elevato” ai fini del regolamento (UE) 2016/679” del Gruppo di lavoro Articolo 29.

Riporto di seguito l’elenco di interesse che, tuttavia, non risulta di immediata lettura e richiede di conoscere a fondo la materia:

Non esistono elenchi univoci dei trattamenti per i quali la DPIA non è obbligatoria.
  • quando il trattamento non è tale da presentare un rischio elevato per i diritti e le libertà delle persone fisiche;
  • quando la natura, l’ambito di applicazione, il contesto e le finalità del trattamento sono molto simili a un trattamento per il quale è stata svolta una valutazione d’impatto sulla protezione dei dati. In tali casi, si possono utilizzare i risultati della valutazione d’impatto sulla protezione dei dati per un trattamento analogo;
  • quando le tipologie di trattamento sono state verificate da un’autorità di controllo prima del maggio 2018 in condizioni specifiche che non sono cambiate;
  • qualora un trattamento trovi una base giuridica nel diritto dell’Unione o nel diritto dello Stato membro e tale diritto disciplini il trattamento specifico, o sia già stata effettuata una valutazione d’impatto sulla protezione dei dati nel contesto dell’adozione di tale base giuridica (a meno che uno Stato membro non abbia dichiarato che è necessario effettuare tale valutazione prima di procedere alle attività di trattamento);
  • qualora il trattamento sia incluso nell’elenco facoltativo (stabilito dall’autorità di controllo) delle tipologie di trattamento per le quali non è richiesta alcuna valutazione d’impatto sulla protezione dei dati.

Come effettuare la valutazione

In primo luogo può essere utile utilizzare l’allegato 2 delle Linee guida del Gruppo di lavoro Articolo 29 richiamate poco sopra per individuare gli elementi minimi da inserire nella valutazione.

Per le PMI, il Garante propone uno strumento gratuito, un software sviluppato dall’Autorità francese per la protezione dei dati e disponibile anche in versione in lingua italiana. Intuitivo da utilizzare, richiede comunque che il compilatore abbia chiaro quali siano le tipologie di trattamento che devono essere analizzate.

DPIA e COVID-19

La sola operazione di misurazione della temperatura, a prescindere dalla sua registrazione, risulta un trattamento autorizzato direttamente dal DPCM 26 aprile 2020. Il datore di lavoro può quindi procedere in questo senso, anche mediante apparecchi automatici, purché vi sia una valutazione di impatto privacy a monte.

L’art. 5 dello Statuto dei Lavoratori (Legge 300/1970) vieta accertamenti da parte del datore di lavoro sulla idoneità e sulla infermità per malattia o infortunio, ammettendo che il controllo delle assenze per “infermità” possa essere effettuato soltanto attraverso i servizi ispettivi degli istituti previdenziali competenti.

La sola operazione di misurazione della temperatura, a prescindere dalla sua registrazione, risulta un trattamento autorizzato direttamente dal DPCM 26 aprile 2020. Il datore di lavoro può quindi procedere in questo senso, anche mediante apparecchi automatici, purché vi sia una valutazione di impatto privacy a monte, ricadendo il trattamento nel caso previsto al punto 10 dell’elenco delle tipologie di trattamenti soggetti al requisito di una valutazione d’impatto sulla protezione dei dati. Il punto 10 parla infatti di “Trattamenti di categorie particolari di dati ai sensi dell’art. 9“, tra i quali ricadono i dati relativi alla salute.

La gestione privacy del sito web

Nella costruzione della tua privacy policy di trattamento dei dati in azienda, è necessario tu prenda in considerazione la gestione privacy del sito web.

Ho realizzato che in molti ancora oggi, a distanza di quasi due anni dall’entrata in vigore della nuova normativa in materia di privacy, sono perplessi sul fatto che la questione li riguardi, o addirittura pensano di non doversi occupare della faccenda. Data la complessità della questione, voglio continuare a tenerti informato sulla corretta applicazione della disciplina europea di trattamento dei dati. E ti invito anzi a essere fiducioso nel fatto che, se ben affrontata, la gestione della privacy possa migliorare la tua organizzazione, aggiungere qualità ai tuoi servizi.

Nella costruzione della tua privacy policy di trattamento dei dati in azienda, è necessario tu prenda in considerazione la gestione privacy del sito web, strumento preziosissimo nell’era digitale, alleato soprattutto nell’attività commerciale: non ci si può permettere che venga oscurato.

La gestione privacy del sito web

Immagina il tuo sito come una piccola navicella che si muove nell’immenso oceano del web. Al suo interno ci sono i servizi e i prodotti che offri, i tuoi dati di contatto e quelli dei visitatori, soprattutto se compilano con i loro dati i form (o moduli) realizzati per iscriversi alle newsletter, ricevere ulteriori informazioni oppure per concludere gli acquisti.

Immagina il tuo sito come una piccola navicella che si muove nell’immenso oceano del web. Al suo interno ci sono i servizi e i prodotti che offri, i tuoi dati di contatto e quelli dei visitatori, soprattutto se compilano con i loro dati i form (o moduli) realizzati per iscriversi alle newsletter, ricevere ulteriori informazioni oppure per concludere gli acquisti.

Il GDPR non supporta in modo dettagliato la sicurezza informatica nel definire le misure di gestione dei dati. Se ne sta occupando la Commissione Europea e ci dobbiamo aspettare un ulteriore Regolamento “e-Privacy”, che sostituirà la vigente Direttiva del 2002 e si affiancherà al GDPR.

Nell’attesa, ci sono essenzialmente due aspetti che devi definire:   

  • rendere consultabile la privacy policy da parte di tutti i “naviganti”;
  • fare il possibile affinchè tutto quanto contiene la navicella sia sicuro e inattaccabile dai “pirati”. Più la rendiamo sicura e adeguata e più la nostra navigazione avanza forte e acquista visibilità e fiducia, perché chi sale sa di essere al sicuro.
Nella gestione privacy del sito web fai il possibile affinché tutto quanto contiene la navicella sia sicuro e inattaccabile dai “pirati”.

Provo a tracciarti i punti salienti sui quali soffermarti per una breve verifica.

L’informativa o privacy policy

L’informativa concisa, chiara, facilmente accessibile ed intellegibile va pubblicata sul sito web inserendo il collegamento (link) alla versione integrale.

È chi tecnicamente gestisce il tuo sito (web agency) a doverti dare supporto per completare le informazioni di carattere tecnico, come le seguenti:

  • i dati vengono analizzati o profilati?
  • il tuo client, ossia il soggetto che ti ha affittato lo spazio su server che ospita il tuo sito web, effettua trattamenti per tuo conto?
  • sono attivi servizi di terze parti (ex. Google Analytics, Google AdWords, Pixel di Facebook) per cui si deve richiamare il link alle pagine privacy dei fornitori di terze?
  • sono attivi plugin, applicazioni o software che memorizzano i dati dei tuoi utenti?

E questi cookie? Vogliamo capire che cosa sono?

I cookie sono dei piccoli file di testo che vengono inviati dal pc dell’utente al browser durante la navigazione sul web.

I cookie sono dei piccoli file di testo che vengono inviati dal pc dell’utente al browser durante la navigazione sul web. Si dividono in quattro tipologie:

  1. cookie tecnici o di “navigazione”, che permettono al sito di funzionare correttamente;
  2. cookie analytics cherilevano dati statistici (es. numero di visitatori per fascia oraria e area geografica);
  3. cookie di profilazione che rilevano il comportamento di un utente e vengono utilizzati per impostare strategie di marketing;
  4. cookie di profilazione di terze parti che hanno finalità analoghe a quelli del punto 3, ma derivano da siti esterni a quello di navigazione.

Per i primi due tipi non serve consenso, basta il banner (tradotto letteralmente “bandiera”), un riquadro che deve apparire appena si apre una pagina web e deve essere di dimensioni e colore utili a renderlo visibile, con il quale si comunica la presenza di questi cookie.

La gestione privacy del sito web deve essere parte integrante della privacy policy del titolare del trattamento.

Per gli altri due tipi, invece, determinando la profilazione, è necessario chiedere il consenso. Si può partire dal classico banner che informa della presenza di questi cookie, inserendo un messaggio del tipo:

  1. Il sito utilizza cookie per inviarti comunicazioni e servizi in linea con le tue preferenze. Per saperne di più o negare il consenso a tutti o ad alcuni cookie clicca qui (link)”.
  2. Il sito utilizza cookie, anche di terze parti, per inviarti comunicazioni e servizi in linea con le tue preferenze. Per saperne di più o negare il consenso a tutti o ad alcuni cookie clicca qui (link).”

Se però per la profilazione usi solo Google Analytics rendendo anonimo l’indirizzo IP, il consenso non è necessario.

Attenzione a come proponiamo moduli o form di richiesta dati all’utente

Rientra in questa casistica la proposta di iscrizione alla newsletter, per fare un esempio.

Minimizzazione è la parola d’ordine, ossia limitarsi alla richiesta dei soli dati necessari al raggiungimento della finalità e, in ogni caso, prevedere l’espressione del consenso da parte dell’utente con:

  1. link all’informativa privacy;
  2. il consenso per ogni specifica finalità di trattamento, senza caselle pre-spuntate o impostate sul sì.

Sicurezza e backup

Verifica quali strumenti di protezione sono presenti sul tuo sito e chi ne è responsabile. Verifica che vengano fatti periodici monitoraggi, analisi e aggiornamenti. Per quanto protetto, nessun sistema è totalmente immune da attacchi hacker ed è tua responsabilità prevenire ogni possibile cancellazione, distruzione o corruzione dei dati anche mediante il backup.

Verifica quali strumenti di protezione sono presenti sul tuo sito e chi ne è responsabile. Verifica che vengano fatti periodici monitoraggi, analisi e aggiornamenti. Per quanto protetto, nessun sistema è totalmente immune da attacchi hacker ed è tua responsabilità prevenire ogni possibile cancellazione, distruzione o corruzione dei dati anche mediante il backup. Il backup è il salvataggio dei dati del tuo sito web. Devi definirne la frequenza e il corretto funzionamento mediante un monitoraggio periodico.

Tutte queste azioni devono essere oggetto di controllo periodico da parte del titolare del trattamento verso i soggetti esterni cui ha affidato incarico specifico (nominandoli responsabili esterni al trattamento), nel rispetto del principio di accountability (responsabilità) richiamato dal GDPR. La gestione privacy del sito web deve essere parte integrante della privacy policy del titolare del trattamento.

Coronavirus: protocollo sicurezza e privacy

Governo e parti sociali hanno definito le misure che le imprese del territorio nazionale devono mettere in atto se intendono proseguire la proprie attività in corrispondenza del periodo di restrizioni imposte dal DPCM 11 marzo 2020 (il cui termine, a oggi, è previsto per il 25 marzo), garantendo la tutela dei lavoratori dal rischio di infezione dal coronavirus COVID-19.

Il 14 marzo è stato adottato il “Protocollo condiviso di regolamentazione delle misure per il contrasto e il contenimento della diffusione del virus Covid-19 negli ambienti di lavoro“. In tredici punti, Governo e parti sociali hanno definito le misure che le imprese del territorio nazionale devono mettere in atto se intendono proseguire la proprie attività in corrispondenza del periodo di restrizioni imposte dal DPCM 11 marzo 2020 (il cui termine, a oggi, è previsto per il 25 marzo), garantendo la tutela dei lavoratori dal rischio di infezione dal coronavirus COVID-19.

Leggendo nel dettaglio il Protocollo, al punto 2) relativo alle modalità di ingresso in azienda, si indica che “il personale, prima dell’accesso al luogo di lavoro, potrà essere sottoposto al controllo della temperatura corporea“, richiamando in calce, con una nota, le indicazioni da adottare al fine di garantire il rispetto delle disposizioni vigenti in materia di trattamento dati.

Il Protocollo per il contenimento del Coronavirus nei luoghi di lavoro prevede che il personale, prima dell’accesso al luogo di lavoro, potrà essere sottoposto al controllo della temperatura corporea.

Il problema è che il Garante per la protezione dei dati personali si è espresso sull’argomento in modo nettamente distinto lo scorso 2 marzo, precisando che “i datori di lavoro devono invece astenersi dal raccogliere, a priori e in modo sistematico e generalizzato, anche attraverso specifiche richieste al singolo lavoratore o indagini non consentite, informazioni sulla presenza di eventuali sintomi influenzali del lavoratore e dei suoi contatti più stretti o comunque rientranti nella sfera extra lavorativa. La finalità di prevenzione dalla diffusione del Coronavirus deve infatti essere svolta da soggetti che istituzionalmente esercitano queste funzioni in modo qualificato“.

La situazione è certamente complessa: alle paure connesse alla salute si aggiungono quelle economiche, e trovare l’equilibrio tra norme e pareri contrastanti risulta anche più difficile di quanto non sia in condizioni normali. Come ridurre il rischio di errore? Mi sono confrontata con la principale associazione di riferimento in Italia dei professionisti della privacy e della protezione dei dati personali per riuscire a fornire, nei limiti consentiti dalla confusione del momento, informazioni precise.

Il protocollo per la gestione del Coronavirus richiama con una nota le indicazioni da adottare al fine di garantire il rispetto delle disposizioni vigenti in materia di trattamento dati. Il Garante però non sembra essere concorde.

Sulla base di questo confronto, posso dire che:

  1. si riscontra una distonia, se non un contrasto, tra il Protocollo sicurezza del 14 marzo e il comunicato del Garante del 2 marzo;
  2. il Garante, al termine del proprio comunicato, “invita tutti i titolari del trattamento ad attenersi scrupolosamente alle indicazioni fornite dal Ministero della salute e dalle istituzioni competenti per la prevenzione della diffusione del Coronavirus, senza effettuare iniziative autonome che prevedano la raccolta di dati anche sulla salute di utenti e lavoratori che non siano normativamente previste o disposte dagli organi competenti”;
  3. se il datore di lavoro attua il Protocollo, si può ritenere non metta in campo un’iniziativa autonoma, fermo restando che il trattamento dei dati non vada oltre le finalità di contenimento dell’emergenza e rispetti i vincoli imposti dal provvedimento. Pertanto, in questo senso, la distonia (o contrasto) potrebbe dirsi superata o superabile.

Il registro dei trattamenti è obbligatorio?

Il registro dei trattamenti è un obbligo con deroghe, questo significa che la normativa (art. 30 del GDPR) prevede che ogni titolare e responsabile del trattamento debbano redigere il registro fatta eccezione per alcuni casi specifici che vengono elencati dal testo di legge.

Il registro dei trattamenti è il documento che il GDPR, nuovo Regolamento europeo in materia di privacy, ha disposto venga predisposto in forma scritta, e che possa essere conservato anche in formato elettronico, al fine di dare evidenza della modalità di gestione dei dati personali da parte del titolare del trattamento e del responsabile del trattamento (o dal loro rappresentante*).

Il registro dei trattamenti è un obbligo con deroghe, questo significa che la normativa (art. 30 del GDPR) prevede che ogni titolare e responsabile del trattamento debbano redigere il registro fatta eccezione per alcuni casi specifici che vengono elencati dal testo di legge.

Gli obblighi […] non si applicano alle imprese o organizzazioni con meno di 250 dipendenti, a meno che il trattamento che esse effettuano possa presentare un rischio per i diritti e le libertà dell’interessato, il trattamento non sia occasionale o includa il trattamento di categorie particolari di dati di cui all’articolo 9, paragrafo 1, o i dati personali relativi a condanne penali e a reati di cui all’articolo 10.

Il registro dei trattamenti è il documento che il GDPR, nuovo Regolamento europeo in materia di privacy, ha disposto venga predisposto in forma scritta, e che possa essere conservato anche in formato elettronico, al fine di dare evidenza della modalità di gestione dei dati personali da parte del titolare del trattamento e del responsabile del trattamento (o dal loro rappresentante).

Il sito del Garante ha messo a punto una guida ragionata all’applicazione del GDPR, organizzata in forma di domande frequenti (FAQ) che consente, a chi è armato di santa pazienza, di orientarsi con un ottimo grado di precisione nella normativa in vigore. È presente anche una sezione dedicata al registro dei trattamenti, comprensiva di modelli semplificati per le PMI, motivo per cui non mi dilungo sugli aspetti relativi ai contenuti e alle modalità di conservazione del registro.

In quali casi non è quindi obbligatorio?

Il titolare e il responsabile del trattamento possono non predisporre il registro dei trattamenti nel caso di imprese od organizzazioni con meno di 250 dipendenti e purché non sussista una delle 3 condizioni seguenti:

  1. il trattamento dei dati che l’impresa o l’organizzazione effettua può presentare un rischio per i diritti e le libertà dell’interessato;
  2. il trattamento non è occasionale;
  3. il trattamento include categorie particolari di dati (art. 9, paragrafo 1) o i dati personali relativi a condanne (penali e a reati di cui all’art. 10).
Il titolare e il responsabile del trattamento possono non predisporre il registro dei trattamenti nel caso di imprese od organizzazioni con meno di 250 dipendenti e purché non sussista una delle 3 condizioni definite dal GDPR.

Per capire meglio queste disposizioni è molto utile la lettura del documento interpretativo del 19 aprile 2018 del Gruppo ex art. 29 ( Comitato europeo per la protezione dei dati). Il documento è disponibile solo in inglese, ma eccovi qui la sostanza:

  • i tre tipi di trattamento a cui la deroga nella tenuta del registro non si applica sono alternativi e il verificarsi di anche solo uno di questi innesca l’obbligo di predisposizione e conservazione del registro dei trattamenti;
  • nelle organizzazioni con meno di 250 dipendenti che effettuano sia trattamenti che non ricadono nelle 3 condizioni sopra elencate sia trattamenti che ricadono in una delle 3 condizioni in questione, è necessario predisporre il registro dei trattamenti per le sole attività che comportano una delle 3 condizioni elencate poco sopra.

L’esempio che viene prestato è quello di una piccola organizzazione che tratta con regolarità i dati relativi ai propri dipendenti. Come conseguenza, dice il documento, questo trattamento non può essere considerato occasionale e deve quindi essere incluso in un registro dei trattamenti. Altre attività che fossero occasionali non dovranno essere incluse nel registro dei trattamenti, a condizione che non comportino un rischio per i diritti e le libertà dell’interessato e non comprendano categorie particolari di dati o i dati personali relativi a condanne.

Il Garante sposa il contenuto del documento interpretativo del 19 aprile 2018 e ne ribadisce anche la considerazione finale in merito al vantaggio di predisposizione del registro dei trattamenti.

La posizione del Garante in relazione all’obbligatorietà del registro dei trattamenti

Il Garante sposa il contenuto del documento interpretativo del 19 aprile 2018 e ne ribadisce anche la considerazione finale, e cioè che, sebbene la normativa preveda esplicitamente delle deroghe all’obbligo di tenuta del registro dei trattamenti, questo documento agevola l’effettiva valutazione del rischio connesso alle attività di trattamento dei dati e l’identificazione e l’implementazione delle adeguate misure di sicurezza, entrambe componenti chiave del principio di responsabilità su cui si fonda il GDPR.

Per tale ragione “[…] anche alla luce del considerando 82 del RGPD, il Garante ne raccomanda la redazione a tutti i titolari e responsabili del trattamento“.


* «rappresentante»: la persona fisica o giuridica stabilita nell’Unione che, designata dal titolare del trattamento o dal responsabile del trattamento per iscritto ai sensi dell’articolo 27, li rappresenta per quanto riguarda gli obblighi rispettivi a norma del presente regolamento.

Registro dei trattamenti e DPIA: a che cosa servono?

La protezione dei dati deve essere gestita come la prevenzione e protezione della salute e sicurezza sul lavoro, ossia realizzando una vera e propria valutazione dei rischi che porti a definire le misure di prevenzione e protezione necessarie alla gestione dei rischi individuati e valutati. E, se è vero che il legislatore "si è liberato" dell'onere di individuare la modalità di gestione dei dati, è altrettanto vero che individua alcuni strumenti per rendere specifica e dimostrabile la sua progettazione: registro dei trattamenti e DPIA.

Ai titolari spetta il compito di decidere autonomamente le modalità, le garanzie e i limiti del trattamento dei dati personali, anche attraverso un apposito processo di valutazione che tenga conto dei rischi noti o evidenziabili e delle misure tecniche e organizzative (anche di sicurezza) necessarie per mitigare tali rischi, eventualmente consultando il Garante alla luce di questa valutazione.

Così recita la scheda di sintesi del GDPR predisposta per aziende ed enti dal Garante per la protezione dei dati personali. Ma in pratica che cosa bisogna fare? Partire da registro dei trattamenti e DPIA può essere una buona soluzione.

Progettare la gestione dei dati

Il GDPR sgombra il campo da soluzioni tecniche e organizzative standardizzate o, comunque, definite dal legislatore o dal Garante, e attribuisce ai soggetti titolari del trattamento dei dati l'onere di individuare le modalità di trattamento dei dati che consentano di rispettare i requisiti del Regolamento.

Sta diventando un tormentone l’espressione inglese ” data protection by default and by design“, che nella sua traduzione italiana perde forza e concisione (protezione dei dati fin dalla progettazione e protezione per impostazione predefinita). Nella sostanza, il GDPR sgombra il campo da soluzioni tecniche e organizzative standardizzate o, comunque, definite dal legislatore o dal Garante, e attribuisce ai soggetti titolari del trattamento l’onere di individuare le modalità di trattamento dei dati che consentano di rispettare i requisiti del Regolamento, tenendo conto di:

  • stato dell’arte;
  • costi di attuazione;
  • natura dei dati e del trattamento;
  • ambito di applicazione;
  • contesto;
  • finalità del trattamento;
  • rischi per i diritti e le libertà delle persone fisiche determinati dal trattamento.

Il Garante, nella sua guida online di applicazione del Regolamento, precisa che si deve trattare di “un’analisi preventiva e un impegno applicativo da parte dei titolari che devono sostanziarsi in una serie di attività specifiche e dimostrabili“.

Per fare un paragone con una materia nota e (forse) più famigliare, potremmo dire che la protezione dei dati deve essere gestita come la prevenzione e protezione della salute e sicurezza sul lavoro, ossia realizzando una vera e propria valutazione dei rischi che porti a definire le misure (di prevenzione e protezione) necessarie alla gestione dei rischi individuati e valutati. E, se è vero che il legislatore “si è liberato” dell’onere di individuare la modalità di gestione dei dati, è altrettanto vero che individua alcuni strumenti per rendere specifica e dimostrabile la sua progettazione.

Registro dei trattamenti

Si tratta di un vero e proprio registro, i cui contenuti non sono affatto da inventare, ma sono dettagliati in forma di elenco dall’art. 30 (Registri delle attività di trattamento) del GDPR.

Lo presento come strumento al servizio dei soggetti titolari del trattamento dei dati in quanto, anche se la normativa prevede delle deroghe alla sua obbligatorietà, questo non toglie nulla alla sua utilità nel rendere evidente e tangibile l’attività di progettazione della protezione dei dati.

Il registro dei trattamenti è un vero e proprio registro, i cui contenuti non sono affatto da inventare, ma sono dettagliati in forma di elenco dall'art. 30 del GDPR.

DPIA: Data Protection Impact Assessment

In italiano, valutazione d’impatto sulla protezione dei dati. Anche in questo caso il suo contenuto è definito dal Regolamento (art. 35), e non si tratta di un obbligo applicabile a tutti i soggetti titolari del trattamento dei dati. Ancora più del registro dei trattamenti, però, si presta molto bene alla progettazione della protezione dei dati richiedendo, tra l’altro, di

  1. realizzare una valutazione dei rischi per i diritti e le libertà degli interessati;
  2. definire le misure previste per affrontare i rischi, includendo le garanzie, le misure di sicurezza e i meccanismi per garantire la protezione dei dati personali e dimostrare la conformità al Regolamento, tenuto conto dei diritti e degli interessi legittimi degli interessati e delle altre persone in questione.

È lo stesso Garante della privacy a raccomandare di andare oltre la lettura testuale degli obblighi introdotti dal Regolamento, per cogliere il senso della “nuova” gestione della privacy:

Lo stesso Garante della privacy raccomanda di andare oltre la lettura testuale degli obblighi introdotti dal Regolamento per cogliere il senso della "nuova" gestione della privacy.
Fonte: https://www.garanteprivacy.it/regolamentoue/approccio-basato-sul-rischio-e-misure-di-accountability-responsabilizzazione-di-titolari-e-responsabili