Data processing agreement e responsabili esterni

Se le attività affidate a terzi richiedono il trattamento dati, bisogna verificare i fornitori e vincolarli con il data processing agreement.

Per soddisfare la nostra e altrui richiesta di garanzie, il GDPR ha messo a carico del titolare del trattamento, e di altre figure con lui coinvolte nel trattamento dei dati, alcuni obblighi. Ecco perché, ogniqualvolta il titolare affidi il trattamento di un dato a partner o fornitori (responsabili esterni), egli è chiamato a verificare e acquisire garanzie ancora prima di affidare loro l’incarico, e a sottoscrivere il data processing agreement (DPA).

Quando si ha a che fare con un responsabile esterno?

Quando si verificano contemporaneamente queste 3 condizioni si ha a che fare con un responsabile esterno del trattamento:

  1. si affidano a terzi servizi che comprendono il trattamento di dati;
  2. il fornitore offre supporto strumentale e competenze e ha discrezionalità sulle modalità operative;
  3. nonostante la discrezionalità operativa, non determina autonomamente le caratteristiche del trattamento dei dati.
Quando si affidano a terzi servizi che comprendono il trattamento di dati e il fornitore offre supporto strumentale e competenze e, pur potendo operare con discrezionalità decisionale nelle modalità operative, non agisce autonomamente sul trattamento dei dati, allora il fornitore si configura come responsabile esterno del trattamento.

Qualche esempio? I fornitori di servizi informatici, cloud, web, marketing, elaborazione paghe, servizi di hosting, consulenti ai quali si affidano incarichi di audit per analisi di gestione se finalizzati a sviluppi di strategie di business, aziende che gestiscono la videosorveglianza aziendale.

Non sono responsabili esterni le banche nella gestione dei servizi di incasso e pagamento, le figure di audit per il controllo dei libri contabili se effettuati sulla base di norme obbligatorie, organismi per attività di certificazione di sistemi di gestione, il medico competente e gli organismi di vigilanza 231.

Valutare il responsabile esterno in base alle garanzie

Il responsabile esterno deve essere valutato dal titolare in termini di garanzie che è in grado di fornire in materia di tutela dei dati personali che gli vengono affidati.

Il responsabile esterno deve essere valutato dal titolare in termini di garanzie che è in grado di fornire in materia di tutela dei dati personali che gli vengono affidati.

La prima fase è precontrattuale: si tratta di valutare la competenza in merito alle misure organizzative e tecniche di sicurezza a tutela dei dati, a prescindere dalla competenza settoriale, richiedendo gli elementi utili a verificare e dimostrare la sua compliance in tema di protezione dei dati.

Una volta affidato l’incarico, la valutazione deve essere gestita con verifiche periodiche.

Il data processing agreement

Il rapporto tra titolare e responsabile deve essere oggetto di un contratto o di altro atto giuridico a norma del diritto dell'Unione o degli Stati membri, chiamato data processing agreement,

Secondo il GDPR, il rapporto tra titolare e responsabile deve essere oggetto di un contratto o di altro atto giuridico a norma del diritto dell’Unione o degli Stati membri. Questo atto deve vincolare il responsabile del trattamento al titolare e definire:

  • la materia disciplinata;
  • la durata del trattamento;
  • natura e finalità del trattamento;
  • il tipo di dati personali e le categorie di interessati;
  • gli obblighi e i diritti del titolare del trattamento.

Tale atto vien chiamato anche data processing agreement (DPA). La sua assenza espone a sanzione sia il titolare sia il responsabile, che si troverebbe a trattare dati illecitamente.

La pratica e le clausole standard dell’Autorità danese

Nella pratica si assiste a una presentazione unilaterale del DPA da parte del titolare al responsabile esterno, solo per non rimarne privi.

Sarebbe opportuno che il responsabile e il titolare “componessero” un atto sottoponendo ognuno le proprie garanzie per l’esecuzione dei trattamenti. Nella pratica si assiste a una presentazione unilaterale del documento da parte del titolare al responsabile esterno, solo per non rimarne privi.

In tale contesto, l’autorità di controllo danese ha predisposto delle clausole contrattuali standard che, sottoposte alla valutazione dello European Data Protection Board, sono state integrate e rese un modello utilizzabile da tutti i titolari del trattamento verso i responsabili esterni.

L’autorità di controllo danese ha predisposto delle clausole contrattuali standard che sono state approvate dello European Data Protection Board.

Lo standard è costituito da un documento contrattuale e quattro appendici (allegati).

La parte contrattuale definisce i vincoli che regolano il rapporto tra titolare e responsabile esterno, dettagliando le previsioni dell’art. 28 del GDPR, in particolare la suddivisione degli obblighi tra le due parti in causa.

Le quattro appendici contengono informazioni di dettaglio.

  1. L’Appendice A descrive i dati oggetto di trattamento, le finalità, la natura e la durata del trattamento, le categorie di interessati, la lista dei sub-responsabili. I sub-responsabili sono i soggetti a cui il responsabile, previa autorizzazione generale o puntuale del titolare, può a sua volta affidare parte dei trattamenti da svolgere.
  2. L’Appendice B contiene l’elenco dei sub-responsabili autorizzati.
  3. L’Appendice C contiene le istruzioni relative all’uso dei dati personali fornite dal titolare del trattamento al responsabile
  4. L’Appendice D è lo spazio per ulteriori clausole.
Se un responsabile esterno al trattamento non può proseguire l’incarico che cosa può fare il titolare?

Se un responsabile non può proseguire l’incarico?

L’Autorità danese ha previsto tale eventualità, attribuendo al titolare la facoltà di richiedere direttamente ai sub-responsabili l’esecuzione del contratto stipulato con il responsabile o la cancellazione o restituzione dei dati personali trattati.

Incendio OVH: l’inaspettato accade, e va previsto.

Il rogo del data center OHV mostra la vulnerabilità dei sistemi di salvataggio dati e l’importanza di identificare e mitigare gli imprevisti.

Nella notte tra il 9 e il 10 marzo 2021 un rogo è divampato all’interno di una stanza del data center SBG2, uno dei data center più grandi d’Europa di proprietà della OVH, azienda francese di web hosting. Si stima che più di un milione di siti e servizi siano stati coinvolti nell’incidente di Strasburgo; pur trovandosi geograficamente distanti, molte aziende, anche italiane, sono state coinvolte. Fortunatamente il rogo non ha causato vittime, ma i conti si fanno comunque, con danni materiali e immateriali arrecati ai clienti che avevano affidato i propri dati ai server ospitati negli edifici distrutti.

Il fondatore di OVH, Octave Klaba, ha comunicato tramite Twitter alla propria clientela di prevedere il restart dei data center SBG1 e SBG4, oltre che del network, entro lunedì 15 marzo, e quello del data center SBG3 entro venerdì 19 marzo, definendo il piano di recupero per le prossime due settimane e offrendo supporto ai clienti danneggiati.

Quanto accaduto alla OVH costituisce a tutti gli effetti una situazione di data breach e, in quanto tale, è soggetta alla notifica all’autorità di controllo entro 72 ore dal momento in cui il titolare ne viene a conoscenza.

L’incidente mette in luce la vulnerabilità di ogni sistema di salvataggio dei dati e l’importanza di identificare gli imprevisti e mitigarli, con azioni preventive e strategiche di recupero. Per quanto si possa considerare improbabile un evento simile, non si può pensare che non venga calcolato: qualsiasi insediamento ne tiene conto già in fase progettuale, prevedendo misure preventive ed elaborando piani di emergenza per contenerne i danni; le misure di prevenzione incendi sono parte integrante di ogni attività, si predispongono estintori e idranti in caso serva intervenire.

Ma siamo altrettanto preparati a contenere i danni in caso di perdita o distruzione di dati?

Siamo preparati a contenere i danni in caso di perdita o distruzione di dati?

L’approccio preventivo e protettivo da parte di ogni titolare del trattamento dati, come lo stesso Regolamento Europeo UE 2016/679 richiede, risiede anche nella scelta di un cloud provider conforme. Già in fase contrattuale è necessario acquisire ogni garanzia che vi siano misure atte a trattare in sicurezza i dati e che, in caso di “incidenti”, l’organizzazione a cui ci affidiamo abbia previsto strategie idonee in grado di mitigarne l’impatto negativo. Tali garanzie soddisfano il principio dell’accountability (responsabilità) che nell’ambito del trattamento dei dati coinvolge tutti i soggetti coinvolti. Nel caso in cui il titolare affidi il trattamento di dati a un terzo esterno indentificandolo come responsabile al trattamento, come può essere il caso dei servizi hosting, cloud e provider, dovrà valutarne attentamente l’affidabilità a tutela dei dati degli interessati di cui intende affidargli il trattamento.

L’approccio preventivo e protettivo da parte di ogni titolare del trattamento dati, come lo stesso Regolamento Europeo UE 2016/679 richiede, risiede anche nella scelta di un cloud provider conforme.

Va ricordato inoltre che, in caso di eventi simili, vi è il coinvolgimento in un data breach, ovvero la violazione di sicurezza che comporta, accidentalmente o in modo illecito, la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati. Quanto accaduto alla OVH costituisce a tutti gli effetti una situazione di data breach e, in quanto tale, è soggetta alla notifica all’autorità di controllo entro 72 ore dal momento in cui il titolare ne viene a conoscenza. Nel caso in cui tale violazione comporti un rischio elevato per i diritti delle persone, necessita anche la comunicazione a tutti gli interessati coinvolti. La OVH, pertanto, si trova a dover gestire le reazioni dei clienti per il disservizio e risponderà all’autorità di controllo in merito alle misure adottate per dimostrare la conformità al Regolamento Europeo.

Anche piccole e medie imprese ormai si basano su dati che viaggiano in rete, e non possono permettersi di non prevedere un adeguato disaster recovery plan.

Oltre ogni adempimento imposto, il management aziendale si deve fondare sul buon senso. Non è certamente la dimensione aziendale a fare la differenza, anche piccole e medie imprese ormai si basano su dati che viaggiano in rete, e non possono permettersi di non prevedere un adeguato disaster recovery plan, una procedura che descriva azioni finalizzate a fronteggiare tempestivamente emergenze, quali eventi naturali di seria gravità (terremoti, alluvioni), incendi, attacchi informatici (cybercrime), furti e rapine, incidenti causati da errori umani, malfunzionamenti e danni di natura informatica.

Quando succede qualcosa di imprevisto questo prende il sopravvento su tutto il resto, stravolgendo piani, progetti e priorità. Tempi di inattività e la perdita dei dati costano cari e possono mettere a serio rischio l’esistenza stessa delle aziende, con riflessi negativi sull’affidabilità e la reputazione.

Quali verifiche vanno effettuate prima di affidare i dati a un cloud o a un gestore di servizi in rete?

art. 32 del GDPR: procedura obbligatoria di valutazione

L'art. 32 del GDPR, al comma 1 lettera d), richiede al titolare di definire una procedura per testare, verificare e valutare regolarmente l'efficacia delle misure tecniche e organizzative. Di che cosa si tratta?

In diversi punti il GDPR lascia intendere che il titolare del trattamento deve definire delle procedure per rispondere ai requisiti di protezione dei dati personali. L’unico caso, però, in cui il testo di legge parla esplicitamente di “procedura” è all’articolo sulla sicurezza del trattamento. L’art. 32 del GDPR, al comma 1 lettera d), richiede al titolare di definire una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative. Di che cosa si tratta?

Che cosa non è la procedura dell’art. 32 del GDPR

La procedura di valutazione dell’efficacia non è né la verifica della conformità normativa né l’attività di controllo prevista dall’art. 39 a carico del DPO. Non ha quindi come obiettivo quello di verificare che il trattamento dei dati avvenga nel rispetto dei requisiti di legge e non è un’attività riservata alle sole realtà che dispongano, per scelta o per obbligo, del DPO.

Questa procedura non ha nemmeno a che vedere con l’aggiornamento del registro dei trattamenti o dell’analisi dei rischi, e non equivale all’esecuzione di verifiche / audit regolari.

La procedura di valutazione dell'efficacia non è né la verifica della conformità normativa né l'attività di controllo prevista dall'art. 39 a carico del DPO.

A che cosa serve la procedura dell’art. 32 del GDPR?

Si tratta di un obbligo che si applica al titolare del trattamento (o al responsabile) e ha come obiettivo quello di testare, verificare e valutare l’efficacia delle misure definite dall’organizzazione. Questo significa che:

  1. la procedura deve essere in grado di dimostrare che le misure tecniche e organizzative consentono di raggiungere l’obiettivo di protezione dei dati personali trattati dall’organizzazione;
  2. il titolare ha la possibilità di fare un bilanciamento (valutazione) delle misure rispetto agli interessi e al rischio che deve gestire, per cui la procedura serve per valutare se non siano troppo rigide o dispendiose le misure in atto o se, al contrario, non sia opportuno un loro rafforzamento;
  3. l’attività di test, verifica e valutazione deve essere effettuata con regolarità. Questa regolarità deve essere definita in funzione dell’esposizione al rischio connesso al trattamento dei dati, con una frequenza crescente al crescere dell’esposizione. Tenendo presente che quest’ultima cresce sia in funzione della tipologia e della quantità di dati trattati, sia in funzione della variabilità del contesto interno o esterno (ex. rapidità con cui è necessario apportare modiche tecnologiche o documentali).
Il titolare ha la possibilità di fare un bilanciamento (valutazione) delle misure rispetto agli interessi e al rischio che deve gestire, per cui la procedura serve per valutare se non siano troppo rigide o dispendiose le misure in atto o se, al contrario, non sia opportuno un loro rafforzamento.

In che cosa consiste questa procedura

Per chi ha famigliarità con i sistemi di gestione, può essere utile paragonare la procedura dell’art. 32 del GDPR all’attività di monitoraggio mediante indicatori di prestazione. Si tratta quindi di individuare degli aspetti che si ritengono essere capaci di rappresentare lo stato della situazione nel tempo, di avere in ogni istante il polso della situazione.

Gli indicatori sono valori numerici espressi in termini relativi ( percentuali) in modo che si possa valutare un dato evento in funzione della massa complessiva di dati/ eventi che si stanno considerando. Per ciascun indicatore vengono definiti dei valori di riferimento rispetto ai quali risulti possibile stabilire se la situazione procede in modo sostenibile o se si stanno registrando degli scostamenti potenzialmente problematici.

Ecco un esempio.

Per chi ha famigliarità con i sistemi di gestione, può essere utile paragonare la procedura dell'art. 32 del GDPR all'attività di monitoraggio mediante indicatori di prestazione.

Un esempio di indicatore

La sicurezza informatica è un aspetto importante di ogni realtà aziendale. La scelta dei sistemi informatici è il primo passo per la protezione dei dati personali trattati digitalmente. Testarne, verificarne e valutarne l’efficacia significa in questo caso valutare quanti tentativi di hackeraggio il sistema è stato capace di rilevare, affrontare e impedire. Così facendo, oltre a dimostrare che il processo di gestione della privacy è effettivo, si può anche rilevare la causa di un’eventuale problema, distinguere tra problematiche strutturali (ex. in caso di incapacità del sistema di neutralizzare gli attacchi) e problematiche di investimento (ex. in caso di una spesa ingente rispetto al numero di attacchi registrati), aggiustando il tiro delle misure tecniche e organizzative messe in atto.

Privacy e servizi informatici: software e cloud

Software e servizi cloud sono presenti in ogni azienda: i servizi informatici hanno implicazioni sulla privacy che le imprese devono gestire.

L’utilizzo di software con accessi da remoto o installati localmente (su postazioni di lavoro o server) e i servizi cloud rientrano tra le tipologie di trattamento di dati personali ormai tipici di ogni realtà aziendale. Forse per via del carattere di necessità per la quotidianità lavorativa, molte aziende tendono a sottovalutare il legame tra privacy e servizi informatici, complice anche l’impossibilità per l’utente di incidere realmente sulla modalità di gestione dei dati da parte dei fornitori di alcuni di questi servizi. Rispetto alla normativa privacy, però, i processi informatici devono essere considerati al pari di ogni trattamento dati e, quindi, valutati e gestiti.

Inventariare i trattamenti

Della necessità od opportunità di inventariare i trattamenti per poterne valutare i rischi in relazione alla sicurezza dei dati ho già parlato in precedenza. Oggi voglio sottolineare l’importanza di includere i servizi informatici nella propria analisi, inserendo tutti i dettagli opportuni per mettere a fuoco chi interviene nel trattamento e con quali responsabilità.

La gestione privacy e i software

L'utilizzo di software con accessi da remoto o installati localmente (su postazioni di lavoro o server) e i servizi cloud rientrano tra le tipologie di trattamento di dati personali ormai tipici di ogni realtà aziendale.

I software installati localmente (on-premises) prevedono sul fronte privacy aziendale il coinvolgimento del fornitore e del cliente. In questo caso il fornitore si qualifica come responsabile esterno del trattamento e come tale deve essere incaricato dal titolare, prevedendo contrattualmente i relativi compiti e vincoli. Il titolare, invece, dovrà formare e incaricare il proprio personale all’uso corretto dello strumento informatico. In caso di uso illecito da parte del titolare o dei suoi incaricati, il fornitore non può essere considerato responsabile.

In relazione ai software on-premises bisogna fare attenzione all’eventuale distinzione tra il fornitore del software e l’organizzazione che fornisce assistenza all’impresa durante l’uso del prodotto. Se così fosse, si dovrà avere chiaro com’è stata definita la catena contrattuale per disciplinare i rapporti anche sul fronte privacy: se il rapporto contrattuale tra utente e assistenza è diretto , allora si dovrà provvedere alla nomina di un secondo responsabile esterno, altrimenti sarà il fornitore del software a dover vincolare “a cascata” il servizio di assistenza al rispetto della normativa in materia di trattamento dei dati personali.

Nel caso di software in cloud, oltre al fornitore, all'utente (titolare del trattamento) e all'eventuale servizio assistenza, può entrare in gioco un quarto soggetto, il gestore del data center.

Nel caso di software in cloud, oltre al fornitore, all’utente (titolare del trattamento) e all’eventuale servizio assistenza, può entrare in gioco un quarto soggetto, il gestore del data center (il soggetto titolare della struttura fisica che ospita il software in cloud). E qui passiamo al secondo capitolo di oggi, perché le aziende che offrono servizi in cloud non si qualificano come responsabili del trattamento.

La gestione privacy dei servizi cloud

Il responsabile del trattamento è un soggetto che tratta i dati per conto del titolare, cioè è una sorta di braccio operativo, che deve sottostare alle regole definite dal titolare, regole che devono rientrare tra i vincoli contrattuali per esplicita previsione di legge.

Considerato che il titolare del trattamento può influire poco o nulla sulle modalità di gestione di un cloud provider, questo finisce per qualificarsi come un autonomo titolare come accade per tutti i soggetti che, pur trattando dati per conto del titolare, lo fanno con forte o totale autonomia (ex. medico competente), al punto che le clausole contrattuali non sono definibili, e finisce per venire meno anche il carattere strumentale del rapporto con il titolare del trattamento.

Il titolare del trattamento non può né deve nominare il cloud provider come titolare, ma può tracciarne la funzione all'interno del registro dei trattamenti.

Il titolare del trattamento non può né deve nominare il cloud provider come titolare, ma può tracciarne la funzione all’interno del registro dei trattamenti. Inoltre il titolare non deve dimenticarsi che resta a suo carico la responsabilità di scegliere un soggetto adeguato, capace di fornire garanzie alla sicurezza dei dati personali trattati. Quindi dovrebbe verificarne periodicamente l’operato e, nel caso in cui rilevi violazioni, valutare di rivolgersi ad altri fornitori, capaci di offrire maggiori garanzie.

OdV 231: quale responsabilità per la privacy?

L'OdV 231 è una figura d'impresa di cui non è scontato inquadrare il ruolo in materia di privacy. L'aiuto arriva dal Garante!

Ci sono figure che operano nell’ambito d’impresa che non è scontato inquadrare in termini di ruolo in materia di trattamento dei dati personali, al punto che il Garante, di sua iniziativa o su richiesta di associazioni di categoria, fornisce valutazioni volte alla loro corretta individuazione. Dopo la figura del medico competente, da considerare titolare autonomo del trattamento al pari dell’azienda per la quale svolge il proprio incarico, oggi parlo dell’Organismo di Vigilanza 231 (OdV 231).

Che cos’è l’OdV 231?

Con il decreto legislativo 231 del 2001, il legislatore ha individuato una serie di reati per i quali, oltre alla responsabilità della persona fisica che li ha commessi o che se ne assume la responsabilità per il ruolo che ricopre all’interno di una data organizzazione, è prevista la possibilità, in fase di giudizio, di coinvolgere la responsabilità dell’organizzazione (ente).

Una delle caratteristiche del Modello 231 è quella di comprendere l'affidamento delle funzioni di vigilanza sull'efficacia e sull'attuazione delle procedure a una o più persone, con la formale costituzione dell'Organismo di Vigilanza.

Allo stesso tempo, il decreto ha individuato la possibilità per l’organizzazione di dotarsi di un modello di organizzazione e gestione (Modello 231), ossia di un insieme di procedure che, se in possesso di specifiche caratteristiche e se attuato in modo efficace, può rappresentare uno strumento per dimostrare l’estraneità dell’ente dal reato e, quindi, escluderne la responsabilità.

Una delle caratteristiche del Modello 231 è quella di comprendere l’affidamento delle funzioni di vigilanza sull’efficacia e sull’attuazione delle procedure a una o più persone, con la formale costituzione dell’Organismo di Vigilanza.

Quale responsabilità per la privacy?

Il Garante per la protezione dei dati personali ha pubblicato in data 12 maggio 2020 un “parere sulla qualificazione soggettiva ai fini privacy degli Organismi di Vigilanza previsti dall’art. 6, d.lgs. 8 giugno 2001, n. 231“.

Il Garante per la protezione dei dati personali ha pubblicato in data 12 maggio 2020 un "parere sulla qualificazione soggettiva ai fini privacy degli Organismi di Vigilanza previsti dall'art. 6, d.lgs. 8 giugno 2001, n. 231".

La posizione del Garante è netta e sintetizzabile in 4 punti:

  1. l’OdV 231, anche se dotato di potere d’iniziativa e controllo per svolgere la propria funzione in modo autonomo, non può essere considerato titolare del trattamento perché i suoi compiti non sono autodeterminati ma definiti dall’organo dirigente dell’organizzazione che lo ha incaricato e che ne definisce le modalità di funzionamento e le risorse a disposizione;
  2. l’OdV 231 non può essere considerato nemmeno responsabile del trattamento in quanto eventuali sue omissioni non ricadono sull’organismo ma sull’organizzazione, laddove la normativa in materia di privacy prevede che il responsabile del trattamento abbia a proprio carico una serie di obblighi e sia direttamente responsabile in caso della loro inosservanza;
  3. l’OdV 231 è parte dell’ente che, quale titolare del trattamento, deve designare i singoli membri dell’OdV come soggetti autorizzati al trattamento, che dovranno attenersi alle istruzioni del titolare;
  4. le istruzioni che il titolare definisce per i membri dell’OdV 231 quali soggetti autorizzati non devono minarne l’autonomia e l’indipendenza rispetto agli organi societari, che sono requisiti necessari per lo svolgimento della funzione dell’OdV 231 ai sensi del decreto 231/01.
L'OdV 231 non ha un "incarico privacy" in senso collegiale, ma ciascuno dei suoi membri deve essere individuato come incaricato del trattamento.

Quindi l’OdV 231 non ha un “incarico privacy” in senso collegiale, ma ciascuno dei suoi membri deve essere individuato come incaricato del trattamento.

I contenuti della formazione sulla privacy

La formazione sulla privacy è obbligatoria e la sua assenza sanzionabile. Ma durata e contenuti non sono definiti, quindi che cosa fare?

La formazione in materia di privacy è obbligatoria e la sua assenza è sanzionabile. Ma non esistono riferimenti precisi in fatto di durata, contenuti e aggiornamenti in merito. Come organizzarla, quindi?

Concetti generali e operatività

Una formazione in materia di privacy che voglia essere efficace deve prevedere quindi contenuti generali e specifici (sì, come avviene per la sicurezza), dove i primi servono per conoscere il linguaggio della privacy e i secondi servono a tradurre in azioni concrete i principi generali.

L’obiettivo della formazione sulla privacy è quella di mettere chi raccoglie e tratta i dati nella condizione di essere consapevole della sua influenza sul rispetto delle disposizioni di legge previsti in materia di trattamento di dati personali, e anche delle azioni che l’organizzazione ha previsto a suo carico per la gestione dei dati in modo conforme.

Una formazione in materia di privacy che voglia essere efficace deve prevedere quindi contenuti generali e specifici.

Una traccia dei contenuti della formazione sulla privacy

Di seguito la mia proposta di un’ossatura della formazione che può essere arricchita di dettagli a seconda della tipologia e della dimensione dell’organizzazione ma che consente di passare dalla teoria alla pratica, rispondendo all’obbligo di formazione e anche all’esigenza di operatività di ogni organizzazione.

  1. Si parte dalla normativa di riferimento, anche solo per evitare confusione tra vecchia e nuova modulistica e per capire quale sia l’argomento in questione quando si vedono sigle e numeri.
  2. Si passa a termini e definizioni perché nel linguaggio tecnico le parole assumono un significato preciso, che consente di distinguere ruoli e responsabilità in modo univoco. Imparare a conoscere e a utilizzare termini specifici evita fraintendimenti e velocizza l’operatività.
  3. Calare la teoria nella realtà dell’organizzazione, dando nome e cognome al titolare del trattamento, ai responsabili esterni, agli addetti al trattamento, al DPO e illustrando i contenuti della documentazione predisposta per la gestione dei trattamenti dei dati, a partire dall’individuazione dei dati personali oggetto di trattamento.
  4. Individuare le situazioni potenzialmente pericolose e illustrare la procedura del data breach.
  5. Illustrare le sanzioni previste e alcuni esempi di applicazione da parte del Garante, con riferimento a tipologie di trattamenti analoghe a quelle dell’organizzazione per la quale si sta erogando la formazione.
  6. Proporre esercitazioni ed esempi, compilando la modulistica predisposta e affrontando le situazioni più comuni e quelle meno frequenti ma potenzialmente rischiose.
Di seguito la mia proposta di un'ossatura dei contenuti della formazione sulla privacy.

Durata e frequenza di aggiornamento

La durata del percorso dipende dal numero di persone che partecipano alla formazione, dalla complessità dell’organizzazione e dei trattamenti e dalla possibilità o meno di suddividere la formazione tra figure con uguale responsabilità in relazione al trattamento dei dati.

Nulla vieta di considerare come formazione già l’illustrazione dei documenti ai referenti di funzione, ma pensare di demandare loro la formazione ai loro sottoposti, in un percorso a cascata, risulta rischioso: un eventuale fraintendimento rischia di diffondersi in modo incontrollato tra colleghi e collaboratori.

La frequenza di aggiornamento, infine, è legata più alle variazioni delle tipologie di dati trattate o alle modifiche delle procedure di trattamento piuttosto che al passare del tempo. Per analogia si può parlare di integrazione o aggiornamento della formazione nel caso cambi il ruolo aziendale (e quindi l'”uso” dei dati in azienda).

Dati personali e rapporto di lavoro

Nell'ambito di un rapporto di lavoro le categorie di dati personali raccolti e trattati dal datore di lavoro sono ampie e non tutte necessarie per adempiere agli obblighi connessi al rapporto di lavoro.

Nell’ambito di un rapporto di lavoro, le categorie di dati personali raccolti e trattati dal datore di lavoro sono ampie e non tutte necessarie per adempiere agli obblighi connessi al rapporto di lavoro. Sapere quali dati rientrano in questa categoria e quali, invece, sono raccolti per attuare procedure aziendali che vanno al di là dei vincoli dei contratti di lavoro è essenziale per definire le corrette modalità di trattamento e di informativa nei confronti dei lavoratori.

Dati personali richiesti per definire e gestire il rapporto di lavoro

I dati anagrafici del dipendente, i suoi dati fiscali e quelli dei familiari a carico, o comunque componenti il suo nucleo familiare, e gli estremi del suo conto corrente bancario sono necessari per l’elaborazione e il pagamento della retribuzione e gli adempimenti legislativi connessi (ex. pagamento dei contributi previdenziali e assistenziali).

I dati anagrafici del dipendente, i suoi dati fiscali e quelli dei familiari a carico, o comunque componenti il suo nucleo familiare, e gli estremi del suo conto corrente bancario sono necessari per l’elaborazione e il pagamento della retribuzione e gli adempimenti legislativi connessi.

Ci sono anche dati sensibili dei quali il datore di lavoro può venire a conoscenza per adempiere agli obblighi di legge connessi al rapporto di lavoro:

  • conoscere la condizione di invalidità o di maternità determina la possibilità di pagare le indennità economiche previste dai contratti collettivi di lavoro;
  • conoscere l’adesione a un sindacato serve per gestire eventuali richieste di trattenuta per quote di associazione sindacale;
  • conoscere l’adesione a un partito politico è necessaria per giustificare richieste di permessi o aspettativa per cariche pubbliche elettive o assenze retribuite per lo svolgimento dell’incarico di rappresentante di lista);
  • conoscere le convinzioni religiose serve per gestire le richiesta di fruizione di festività religiose.

Utilizzo di immagini

Nei casi in cui è necessario esibire un tesserino di identificazione (nell'ambito dei lavori di appalto), la fototessera diventa un dato personale richiesto per adempiere a un obbligo di legge da parte del datore di lavoro.

Nei casi in cui è necessario esibire un tesserino di identificazione (nell’ambito dei lavori di appalto), la fototessera diventa un dato personale richiesto per adempiere a un obbligo di legge da parte del datore di lavoro, il che è comunque diverso dagli obblighi imposti dalla gestione del rapporto di lavoro.

Diverso è invece il caso in cui l’azienda definisca procedure interne di sicurezza che prevedono l’utilizzo di cartellini con fototessera o l’installazione di impianti di videosorveglianza, oppure proceda alla raccolta di materiale video o fotografico per attività di marketing e promozione della società: in questi due casi è il legittimo interesse del titolare che giustifica il trattamento.

La raccolta di materiale video o fotografico per attività di marketing e promozione della società è raccolta  di dati personali.

Quindi le immagini sono dati personali che possono essere trattati nell’ambito di un rapporto di lavoro, ma la ragione che ne determina la possibilità di utilizzo può variare tra l’obbligo contrattuale e l’interesse del datore di lavoro.

Posizione dei lavoratori

Che sia l’utilizzo di mezzi aziendali provvisti di sistemi satellitari o l’affidamento di telepass e carte di credito per agevolare le attività, il risultato è che le procedure di gestione della logistica o, più semplicemente, la rendicontazione periodica di questi strumenti fornisce al datore di lavoro i dati relativi alla posizione geografica e agli orari di utilizzo degli strumenti assegnati. Anche questi sono dati personali se consentono di risalire in modo univoco agli utilizzatori dei mezzi e dei dispositivi.

La rendicontazione periodica di questi strumenti fornisce al datore di lavoro i dati relativi alla posizione geografica e agli orari di utilizzo degli strumenti assegnati.

E adesso?

Avere chiaro che tra i dati personali dei dipendenti rientrano più categorie di dati, e non solo quelli anagrafici, la cui raccolta e il cui trattamento sono determinate da ragioni diverse, è essenziale per adempiere in modo corretto agli obblighi imposti dalla normativa in materia di trattamento dati personali.

In particolare:

  1. per predisporre informative complete e corrette e, se necessarie, le richieste di consenso;
  2. per individuare eventuali necessità di autorizzazione;
  3. per utilizzare correttamente gli strumenti aziendali;
  4. per definire le procedure di gestione dei dati rispettose dei vincoli di legge.

Privacy: attenzione alla gestione delle e-mail aziendali

La gestione delle e-mail aziendali è un aspetto della privacy policy. E non è solo questione di disattivare gli account degli ex dipendenti.

L’obbligo di disattivare gli account e-mail alla conclusione del rapporto di lavoro e il divieto di accedere ai messaggi ricevuti dagli account di ex-dipendenti sono due aspetti della gestione delle e-mail aziendali in relazione alle disposizioni di legge in materia di privacy. Nel 2007, infatti, il Garante per la protezione dei dati personali ha prescritto ai datori di lavoro la definizione di un disciplinare interno relativo sia all’utilizzo della posta elettronica sia della rete internet nel rispetto delle sue linee guida.

In che modo il titolare del trattamento deve gestire le e-mail aziendali?

Gli account di posta elettronica degli ex- dipendenti

Per tale motivo il Garante ha previsto che, in caso di cessazione di un rapporto di lavoro, il titolare del trattamento deve disattivare gli account di posta elettronica riconducibili all'ex-dipendente.

Per quanto sia indiscutibile che il titolare del trattamento abbia interesse ad accedere alle informazioni necessarie alla gestione della propria attività, tale esigenza deve fare i conti con l’obbligo di tutela della riservatezza del personale (anche ex dipendente) e dei terzi coinvolti nelle comunicazioni.

In sostanza la questione è che le e-mail consentono di conoscere dati personali anche solo in relazione alle informazioni di contorno all’oggetto della comunicazione: data e ora di invio e nominativi di mittente e destinatario sono sempre leggibili.

Per tale motivo il Garante ha previsto che, in caso di cessazione di un rapporto di lavoro, il titolare del trattamento deve disattivare gli account di posta elettronica riconducibili all’ex-dipendente. Per garantire la funzionalità delle comunicazioni, può adottare misure tecniche che, pur impedendo la visualizzazione dei messaggi in arrivo al “vecchio indirizzo”, consentano a chi vi scrive di ricevere la risposta automatica da un indirizzo differente, contenente i riferimenti aggiornati per la trasmissione delle comunicazioni.

Il disciplinare interno

Con le linee guida del 2007, il Garante ha di fatto prescritto ai datori di lavoro pubblici e privati di "specificare le modalità di utilizzo della posta elettronica e della rete Internet da parte dei lavoratori, indicando chiaramente le modalità di uso degli strumenti messi a disposizione e se, in che misura e con quali modalità vengano effettuati controlli".

Con le linee guida del 2007, il Garante ha di fatto prescritto ai datori di lavoro pubblici e privati di “specificare le modalità di utilizzo della posta elettronica e della rete Internet da parte dei lavoratori, indicando chiaramente le modalità di uso degli strumenti messi a disposizione e se, in che misura e con quali modalità vengano effettuati controlli“.

Il disciplinare interno, come viene chiamato dal Garante, può essere un’informativa individualizzata o una policy aziendale, e rappresenta lo strumento attraverso il quale i lavoratori ricevono indicazioni sulle soluzioni tecniche e organizzative messe in atto dall’organizzazione per gestire le e-mail aziendali nel rispetto dei diritti di tutti i soggetti coinvolti e della normativa applicabile.

Alcune misure di gestione delle e-mail aziendali

Il Garante propone alcune soluzioni tecniche e operative di gestione delle e-mail aziendali per bilanciare le esigenze aziendali con i diritti di tutela dei lavoratori.

Il Garante propone alcune soluzioni tecniche e operative per bilanciare le esigenze aziendali con i diritti di tutela dei lavoratori, per esempio prevede:

  • la messa a disposizione di indirizzi di posta elettronica condivisi tra più lavoratori (ex. amministrazione@xyz.it), eventualmente affiancandoli a quelli individuali (ex. rossimario@xyz.it), per consentire una distinzione tra un canale “pubblico” e uno privato;
  • la messa a disposizione di funzionalità tecniche di facile utilizzo per l’invio automatico di messaggi in caso di assenze programmate (le cosiddette risposte automatiche), con i riferimenti di altri soggetti o delle modalità di contatto dell’organizzazione in assenza del singolo lavoratore;
  • il diritto del singolo lavoratore, qualora sia necessario accedere all’account di posta elettronica a lui dedicato per assenza improvvisa o prolungata o necessità improrogabili, di delegare un altro lavoratore (fiduciario) alla verifica dei messaggi e all’inoltro al titolare del trattamento di quelli rilevanti per lo svolgimento dell’attività lavorativa;
  • l’inserimento nel testo delle e-mail di un messaggio di avvertimento ai destinatari in merito all’eventuale natura non personale del messaggio, specificando se le risposte potranno essere conosciute da altri soggetti dell’organizzazione di appartenenza del mittente.

Conservazione delle e-mail aziendali

Il Garante non definisce limiti di tempo accettabili o modalità di conservazione specifiche delle e-mail aziendali, ma stabilisce che il titolare del trattamento valuti in modo selettivo quali comunicazioni e documenti debbano essere archiviati e per quanto tempo

La conservazione sistematica dei dati esterni e del contenuto di tutte le comunicazioni elettroniche scambiate dai dipendenti attraverso gli account aziendali, allo scopo di poter ricostruire gli scambi di comunicazioni tra gli uffici interni nonché tutti i rapporti intrattenuti con gli interlocutori esterni (clienti, fornitori, enti assicurativi, tour operator), anche in vista di possibili contenziosi, effettuata da soggetti diversi dal titolare della specifica casella di posta elettronica per l’intera durata del rapporto di lavoro e successivamente all’interruzione dello stesso, non risulta […] conforme ai principi di liceità, necessità e proporzionalità del trattamento.

Registro dei provvedimenti n. 53 del 1° febbraio 2018

In sostanza il Garante afferma che:

  1. non è necessaria la conservazione di tutta la posta elettronica aziendale, e senza limiti temporali, per consentire lo svolgimento dell’attività lavorativa e che, al contrario, questa modalità di gestione viola i principi di gestione dei dati personali, consentendo al contempo un controllo sull’attività dei lavoratori contraria allo Statuto dei lavoratori;
  2. che la conservazione delle e-mail per finalità di tutela dei propri diritti in giudizio deve riferirsi a contenziosi in atto o a situazioni che stanno dando luogo a contenziosi, ma non a ipotesi astratte e indeterminate.

Il Garante non definisce limiti di tempo accettabili o modalità di conservazione specifiche, ma stabilisce che il titolare del trattamento valuti in modo selettivo quali comunicazioni e documenti debbano essere archiviati e per quanto tempo.

Chi è il responsabile privacy in azienda?

Ci sono diverse figure introdotte dal GDPR in relazione alla gestione della privacy in azienda ma in nessun caso si parla di "responsabile privacy": non esiste un unico soggetto che possa farsi carico in maniera esclusiva e autonoma della questione.

Per alcuni il responsabile privacy è l’ufficio del personale, per altri l’ufficio qualità (soprattutto se si tratta di aziende certificate), per altri è il legale rappresentante dell’impresa. Ci sono diverse figure introdotte dal GDPR in relazione alla gestione della privacy in azienda ma in nessun caso si parla di “responsabile privacy”: non esiste un unico soggetto che possa farsi carico in maniera esclusiva e autonoma della questione; la privacy è un aspetto dell’attività aziendale che richiede attenzione da parte di tutte (o quasi) le funzioni d’impresa.

Non esiste un ruolo di “responsabile privacy”

Il fatto che non parli di responsabile privacy non è un caso, e non è solo una questione di termini. Chi chiede o si chiede chi debba essere il responsabile privacy in un'organizzazione indica in realtà di non avere chiaro che cosa richieda il nuovo Regolamento europeo sulla protezione dei dati personali.

Il GDPR parla di:

  • titolare del trattamento dei dati personali;
  • persone autorizzate al trattamento (o incaricati al trattamento);
  • responsabile del trattamento;
  • destinatario dei dati personali;
  • rappresentante del titolare dei dati personali;
  • interessato;
  • responsabile della protezione dei dati personali (DPO).

Il fatto che non parli di responsabile privacy non è un caso, e non è solo una questione di termini. Chi chiede o si chiede chi debba essere il responsabile privacy in un’organizzazione non ha chiaro che cosa richieda il nuovo Regolamento europeo.

L'obiettivo del Regolamento non è quello di mettere in capo a un unico soggetto tutte le questioni formali, ma di fare in modo che i diversi soggetti che trattano i dati personali nell'ambito di un'organizzazione lo facciano nel rispetto dei requisiti del GDPR.

L’obiettivo del Regolamento non è quello di mettere in capo a un unico soggetto tutte le questioni formali, ma di fare in modo che i diversi soggetti che trattano i dati personali nell’ambito di un’organizzazione lo facciano nel rispetto dei requisiti del GDPR.

Ovviamente il grado di responsabilità cambia a seconda che si parli del titolare del trattamento, delle persone autorizzate al trattamento o del DPO, per esempio, ma l’attività di valutazione iniziale svolta dal titolare e la definizione delle procedure per il corretto trattamento dei dati all’interno dell’organizzazione servono ben poco se le persone autorizzate non mettono in atto quanto è stato definito ed è stato loro insegnato.

La privacy come aspetto della gestione aziendale

La privacy non è un argomento che può essere affrontato prescindendo dal contesto aziendale, ma è un filo rosso di cui bisogna rintracciare il percorso attraverso gli uffici e le attività aziendali.

La privacy non è un argomento che può essere affrontato prescindendo dal contesto aziendale, ma è un filo rosso di cui bisogna rintracciare il percorso attraverso gli uffici e le attività aziendali, per poterne ricostruire una mappa, con tanto di segnali di pericolo, di obbligo e di divieto: a qualcuno spetterà disegnare la mappa, a qualcuno spetterà definire la segnaletica, e a tutti quelli che ne incroceranno la strada spetterà il compito di rispettarne le indicazioni.

Servizi fotografici aziendali e consenso privacy

I servizi fotografici aziendali determinano l'acquisizione di immagini fotografiche o riprese video che ritraggono dipendenti, clienti o visitatori, e, per tale ragione, richiedono di essere gestiti in termini di privacy.

I servizi fotografici aziendali determinano l’acquisizione di immagini fotografiche o riprese video che ritraggono dipendenti, clienti o visitatori e costituiscono dati personali, da gestire in termini di privacy.

In particolare, anche se i dati personali sono acquisiti per predisporre materiale promozionale, divulgativo e di comunicazione, quindi il trattamento avviene in modo lecito per il perseguimento del legittimo interesse del titolare, è necessario il consenso espresso da parte del soggetto interessato, perché così prevede la legge sul diritto d’autore. L’unica eccezione è il caso in cui “la riproduzione è collegata a fatti, avvenimenti, cerimonie di interesse pubblico o svoltisi in pubblico“.

Privacy e servizi fotografici aziendali

Le immagini che ritraggono dipendenti, collaboratori, visitatori e clienti sono dati personali e, in quanto tali, devono essere gestiti secondo nel rispetto delle regole definite dal Regolamento europeo 2016/679.

Fotografie, video e materiali multimediali possono essere realizzati da un’azienda per comunicare la propria attività e professionalità verso l’esterno, caricando il materiale sul sito aziendale e le piattaforme social (ex. Facebook, Instagram, LinkedIn, YouTube), inviandolo alla stampa o inserendolo nel proprio materiale pubblicitario (ex. depliant e brochure).

Le immagini che ritraggono dipendenti, collaboratori, visitatori e clienti sono dati personali e, in quanto tali, devono essere gestiti nel rispetto delle regole definite dal Regolamento europeo 2016/679.

La liceità del trattamento e il diritto d’autore

Nel caso delle immagini che ritraggono persone, i requisiti del GDPR si combinano con quelli della sezione II (Diritti relativi al ritratto) della legge n.633/41 sul diritto d'autore.

Perché un trattamento di dati personali possa essere effettuato, è necessario che sia determinato da una delle ragioni previste dalla normativa (base giuridica del trattamento).

Nel caso specifico, la motivazione che sta alla base del trattamento dei dati è la promozione dell’attività dell’impresa, che equivale al perseguimento del legittimo interesse del titolare del trattamento dei dati e che è una base giuridica ammessa dal GDPR. Allo stesso tempo, però, i requisiti del Regolamento si combinano con quelli della sezione II (Diritti relativi al ritratto) della legge n.633/41, conosciuta come legge sul diritto d’autore.

Art. 96

Il ritratto di una persona non può essere esposto, riprodotto o messo in commercio senza il consenso di questa, salve le disposizioni dell’articolo seguente.

[…]

Art. 97

Non occorre il consenso della persona ritrattata quando la riproduzione dell’immagine è giustificata dalla notorietà o dall’ufficio pubblico coperto, da necessità di giustizia o di polizia, da scopi scientifici, didattici o colturali, o quando la riproduzione è collegata a fatti, avvenimenti, cerimonie di interesse pubblico o svoltisi in pubblico.

Il ritratto non può tuttavia essere esposto o messo in commercio, quando l’esposizione o messa in commercio rechi pregiudizio all’onore, alla reputazione od anche al decoro della persona ritrattata.

Non è previsto l'obbligo di consenso espresso da parte dell'interessato in caso di riproduzione collegata a fatti, avvenimenti, cerimonie di interesse pubblico o svoltisi in pubblico.

Come si deve procedere?

L’informativa sul trattamento dei dati personali non deve mai mancare: il titolare del trattamento deve informare l’interessato in merito ai dettagli relativi all’utilizzo dei suoi dati e ai suoi diritti. Ricordo che l’informativa può includere una sezione per esprimere il consenso al trattamento ma non nasce con questa finalità.

Quindi, oltre a predisporre l’informativa relativa al trattamento delle immagini ed è necessario prevedere un modulo di consenso, eventualmente come parte terminale dell’informativa.

In relazione ai casi in cui non è previsto l’obbligo di consenso (riproduzione collegata a fatti, avvenimenti, cerimonie di interesse pubblico o svoltisi in pubblico), l’interessato deve comunque essere informato del trattamento quindi è opportuno inserire nell’informativa sul trattamento delle immagini i dettagli relativi.

oltre a predisporre l'informativa relativa al trattamento delle immagini ed è necessario prevedere un modulo di consenso, eventualmente come parte terminale dell'informativa.

Ti lascio un esempio.

“Nel caso di eventi pubblici quali, a titolo esemplificativo ma non esaustivo, conferenze stampa, eventi pubblici o manifestazioni pubbliche alle quali l’impresa dovesse prendere parte, non è necessario il consenso espresso da parte del soggetto interessato che si presenta presso i luoghi e gli spazi (ex. sale convegni, ambienti sia in interno che in esterno presso i quali si svolgono eventi – sale comunali, spazi cittadini, ecc.) nei quali è stato attivato un servizio di riprese fotografiche o video.

L’attivazione di tali attività video/fotografiche sarà chiaramente identificata con apposita segnaletica.

Al di fuori della fattispecie suddetta, gli interessati potranno esprimere il proprio consenso al trattamento dei dati mediante compilazione della sezione conclusiva della presente informativa.”