Privacy, guida sintetica per le aziende: ecco cosa fare

Privacy, guida sintetica per le aziende:
ecco cosa fare

di Antonio Valentini – LEGGI E PRASSI

Guida completa ed aggiornata in materia di privacy: ecco un
vademecum di fondamentale importanza per la sicurezza delle aziende.
“I tuoi dati sono un tesoro da proteggere insieme” è lo slogan adottato dal
Garante per la protezione dei dati personali nella campagna pubblicitaria in
onda sulle reti nazionali negli ultimi mesi, l’ultima delle numerose iniziative
dell’Autorità susseguitesi a partire dalla piena applicazione del Regolamento
(UE) 2016/679 e finalizzate ad accrescere l’importanza della protezione dei
dati.
La summenzionata normativa (Regolamento Generale Sulla Protezione Dei
Dati – RGPD o GDPR) ha, di fatto, contribuito in maniera significativa a
rendere la protezione dei dati personali un perno del nostro ordinamento.
Il suo campo di applicazione estremamente ampio ci consente di affermare
che, salvo rare eccezioni, ogni azienda e ogni professionista sia chiamato al
rispetto delle disposizioni contenute nel Regolamento stesso e nella normativa
nazionale (d.lgs. n. 196/2003, così come modificato dal d.lgs. n. 101/2018).
Tuttavia, a quasi tre anni dalla piena efficacia del GDPR, ancora oggi
numerose imprese non hanno completato – o, addirittura, intrapreso – il loro
percorso di adeguamento nonostante i considerevoli rischi conseguenti in
termini di impatto diretto sul business e commissione di illeciti amministrativi e
penali (con conseguenti elevate sanzioni).
Nelle righe che seguono si proverà a fornire una sintetica e semplice guida
per l’adeguamento di un’impresa al GDPR e alla normativa privacy in
generale.
Guida agli adempimenti sulla privacy: l’analisi dell’azienda e
l’individuazione delle attività di trattamento
Innanzitutto, ogni azienda, in qualità di Titolare, deve individuare quali sono le
attività di trattamento di dati personali effettuati e quali sono le tipologie di dati
trattati nell’ambito della propria operatività. Quest’analisi preliminare è
fondamentale al fine di individuare la strategia adeguata a garantire la
protezione dei dati.
Spesso si crede, erroneamente, di non trattare dati personali e quindi di
essere “esentati” dal rispetto della normativa.
Difatti, se con riguardo a studi medici, call center, laboratori analisi, software
house il trattamento di dati è connaturato alla natura dell’attività professionale
e, quindi, non sussistono dubbi interpretativi, vi sono invece altri soggetti in
relazione ai quali può risultare non immediata l’individuazione della portata ed
estensione della normativa.
Come comportarsi, infatti, in tutte quelle situazioni meno chiare? Si pensi, ad
esempio, all’attività di un artigiano o di un piccolo negozio di alimentari.
Apparentemente tali soggetti non trattano informazioni, ma in realtà è
sufficiente che sia conservato un elenco di anagrafiche (clienti, fornitori, etc.) o
sia presente anche solo un dipendente per ritrovarsi improvvisamente in
possesso di un database di dati personali non indifferente, le cui informazioni
dovranno essere trattate nel pieno rispetto del GDPR.
Una volta individuate le attività di trattamento (e quindi i dati personali trattati)
sarà necessario analizzarle ponendosi poche e semplici domande:
● in che modo raccolgo queste informazioni/dati?
● per quale motivo tratto queste informazioni/dati (finalità del
trattamento)?
● sono legittimato a trattarle?
● in che modo le conservo?
● per quanto tempo?
Al fine di agevolare tale analisi, si consiglia di:
● effettuare una ricognizione dei moduli di raccolta dati, dei contratti e/o
dei documenti informativi già in uso;
● verificare, ove necessario in relazione alla finalità perseguita,
l’acquisizione dei consensi al trattamento;
● individuare, anche sulla scorta dei moduli utilizzati, le finalità del
trattamento perseguite;
● censire i propri archivi, digitali e cartacei, nonché tutta la
strumentazione utilizzata nelle attività di trattamento dei dati personali
(es. computer, tablet, dispositivi removibili);
● verificare le politiche in uso per la cancellazione dei dati (es. sistema
automatizzato di sovrascrittura, distruzione programmata degli archivi
cartacei).
In merito alla legittimazione a trattare i dati, si rammenta che non è necessario
acquisire il consenso dell’interessato per ogni finalità perseguita.
Si pensi al trattamento dei dati di un cliente per l’esecuzione della prestazione
richiesta: in tal caso, tale trattamento sarà legittimato a monte dalla
sussistenza di un contratto tra le parti.
Tale prima fase consentirà all’azienda di avere un quadro complessivo relativo
all’“impatto” delle proprie attività in ambito privacy.
Guida agli adempimenti privacy per le aziende. Valutazione
dei rischi e implementazione delle misure di sicurezza
Dopo aver raccolto le informazioni suindicate e aver delineato un quadro
generale sulle attività di trattamento svolte, un’azienda deve occuparsi di
valutare i rischi ad esse collegati e, sulla base di tale valutazione,
implementare le misure volte a mitigare tali rischi e garantirne la sicurezza dei
dati e delle informazioni raccolte e trattate.
L’obiettivo di questa operazione consiste nel diminuire il rischio che possa
verificarsi una perdita, modifica o accesso non autorizzato alle informazioni
personali (e non solo) possedute dall’azienda.
Una corretta valutazione del rischio, con conseguente applicazione di idonee
misure di sicurezza, consente:

  1. di ridurre possibili sanzioni e/o richieste di risarcimento danni da parte
    degli Interessati nel caso in cui si verifichi una violazione dei dati
    personali (cd. Data Breach);
  2. di tutelare il proprio patrimonio informativo, elemento che acquista
    sempre più importanza nella vita di ogni azienda.
    Nel predisporre un sistema di protezione delle informazioni è, tuttavia,
    doveroso ricordare che non sono più previste dalla normativa specifiche
    misure di sicurezza che possano essere considerate “adeguate” senza una
    preliminare valutazione.
    Il Regolamento Europeo, infatti, al fine di rendere effettiva la tutela e la
    protezione dei dati personali, accoglie, il principio di privacy by design e il
    principio di accountability.
    Oggi, pertanto, si è chiamati a mettere in atto misure tecniche e organizzative
    che siano idonee a garantire un livello di sicurezza adeguato al rischio.
    Tale cd. adeguatezza viene, quindi, rimessa ad una libera valutazione del
    Titolare, che dovrà adottare le precauzioni ritenute più opportune ed essere
    pronto, in ogni momento, a motivare le scelte effettuate.
    Al fine di adottare misure adeguate, non si può prescindere da una
    approfondita valutazione dei rischi che tenga conto, in caso di ipotetica
    violazione dei dati, degli effetti negativi che potrebbero verificarsi sulle libertà e
    i diritti degli interessati.
    All’esito di tale valutazione il Titolare potrà decidere in autonomia se iniziare il
    trattamento o procedere con un’ulteriore e più specifica analisi (cd Valutazione
    di Impatto o DPIA), che potrebbe concludersi con il dover consultare l’Autorità
    Garante per ottenere indicazioni su come gestire il rischio residuale.
    Se non è possibile determinare a prescindere misure di sicurezza “adeguate”,
    è tuttavia possibile individuare alcune buone prassi da applicare in ogni
    azienda: assicurare un ottimo livello di sicurezza in ambito informatico.
    Si consideri, a tal proposito, che in Italia sono in costante aumento gli attacchi
    cibernetici che mirano ad impossessarsi dei dati di una azienda. Termini come
    ransomware, phishing, data breach sono, infatti, oramai ben noti a tutti.
    Lo scopo, purtroppo, è sempre lo stesso: le informazioni vengono sottratte o
    criptate affinché il cybercriminale possa guadagnare rivendendole a terzi o
    costringendo l’azienda a pagare un riscatto per recuperarle.
    Un buon antivirus, un firewall, una password complessa e cambiata con
    regolarità ed una rete informatica efficacemente gestita, per quanto banali,
    sono ancora i principali baluardi a protezione dei nostri dati riversati in archivi
    digitali.
    È fondamentale, altresì, assicurare la capacità di ripristinare tempestivamente
    la disponibilità e l’accesso dei dati personali in caso di incidente fisico o
    tecnico.
    Poniamo il caso che, nonostante tutti i nostri accorgimenti, il nostro vecchio
    computer abbia improvvisamente smesso di funzionare o sia stato hackerato:
    ebbene, la perdita anche temporanea, della disponibilità dei dati costituisce un
    grave problema per l’azienda.
    Anche in questo caso, una soluzione semplice e alla portata di ogni azienda è
    disponibile: un backup dei dati, se effettuato con regolarità e su dispositivi
    sicuri, è uno strumento “salvavita”.
    Tali accorgimenti devono sempre essere accompagnati da una procedura per
    testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e
    organizzative adottate.
    Tutela protezione dati aziendali: implementare le misure organizzative
    Un rimedio che si dimostra sempre decisamente efficace è quello volto a
    rafforzare le misure di sicurezza organizzative per consentire una gestione
    delle attività ordinata e consapevole, che miri a semplificare l’attività e a
    rendere tutti i soggetti coinvolti partecipi.
    Ciò si può tradurre nella previsione di specifiche procedure che consentano di
    rappresentarsi ex ante le attività da svolgere in ogni evenienza come, ad
    esempio, in caso di violazione delle informazioni, di gestione delle richieste
    degli interessati ovvero per disciplinare l’utilizzo degli strumenti informatici.
    Si tratta di un passaggio fondamentale per garantire a un’azienda di dotarsi di
    una corretta impostazione “a monte” del trattamento dei dati che persista per
    tutta la durata del trattamento.
    Da non dimenticare, infine, tra le misure organizzative, la formazione del
    personale.
    Infatti, tutte le misure di sicurezza che un’azienda può adottare risulteranno
    inefficaci se chi agisce al suo interno (e concretamente tratta dati personali)
    non è stato adeguatamente formato e istruito: investire nella formazione e
    aggiornamento dei propri dipendenti/collaboratori è, oggi, un’attività
    imprescindibile.
    Nomina, ove necessario, di un Responsabile per la protezione
    dei dati (DPO o RPD)
    Il Responsabile della protezione dei dati (RPD) o Data Protection Officer
    (DPO) è una figura a cui il legislatore affida un ruolo determinante, mediante
    la previsione di specifici compiti e poteri tra cui la sensibilizzazione e
    formazione del personale, l’attività di consulenza resa nei confronti del
    Titolare, nonché la sorveglianza sull’osservanza del GDPR.
    La sua designazione, regolata dall’art. 37 del GDPR, è tuttavia obbligatoria
    solo in alcune circostanze:
    a) il trattamento deve essere effettuato da un’autorità pubblica o da un
    organismo pubblico, eccettuate le autorità giurisdizionali quando esercitano le
    loro funzioni giurisdizionali;
    b) le attività principali del titolare del trattamento o del responsabile del
    trattamento devono consistere in trattamenti che, per loro natura, ambito di
    applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico
    degli interessati su larga scala;
    c) le attività principali del titolare del trattamento o del responsabile del
    trattamento devono consistere nel trattamento, su larga scala, di categorie
    particolari di dati personali di cui all’articolo 9 o di dati relativi a condanne
    penali e a reati di cui all’articolo 10 del GDPR.
    Tali elementi solitamente emergono sempre a seguito della prima analisi che
    l’azienda è chiamata a effettuare. Sarà pertanto compito del Titolare valutare
    la necessità o opportunità di nominare un Responsabile della Protezione dei
    dati.
    Predisposizione della c.d. Informativa Privacy per gli
    interessati
    Dopo aver individuato i dati personali trattati e aver impostato una corretta
    politica di raccolta e conservazione, l’azienda dovrà quindi preoccuparsi di
    garantire agli interessati la possibilità di esercitare tutti i diritti previsti dal
    GDPR.
    Tra questi, il primo è senza dubbio il diritto dell’Interessato a essere informato.
    L’azienda, infatti, è tenuta a fornire all’interessato una serie di informazioni tra
    cui, principalmente:
    ● l’identità e i dati di contatto di chi tratterà le sue informazioni (il cd.
    Titolare del trattamento);
    ● i dati di contatto del Responsabile della protezione dei dati (ove
    presente);
    ● le finalità del trattamento e la corrispondente base giuridica;
    ● eventuali destinatari o categorie di destinatari a cui potranno essere
    comunicati i dati personali;
    ● il periodo di conservazione dei dati personali oppure, se non è possibile,
    i criteri utilizzati per determinare tale periodo;
    ● i diritti dell’interessato e i canali per il loro esercizio, nonché in diritto di
    porre reclamo all’Autorità Garante;
    ● l’eventuale obbligatorietà del conferimento dei dati personali nonché le
    possibili conseguenze del mancato conferimento.
    I documenti informativi dovranno essere sempre specifici e personalizzati in
    relazione al loro destinatario (c.d. Interessato): le informazioni contenute nel
    documento destinato ai clienti non potranno, quindi, essere le stesse inserite
    nel documento destinato ai dipendenti.
    Altresì, è possibile prevedere informative specifiche per attività di trattamento.
    Si pensi alle informative che devono essere prodotte, ad esempio, nel caso in
    cui sia presente in azienda un impianto di videosorveglianza.
    L’onere di fornire la cd. “Informativa Privacy” non deve essere
    assolutamente sottovalutata dalle aziende, poiché un’informativa poco
    leggibile e confusionaria potrebbe provocare un doppio effetto nefasto: una
    reazione di sfiducia e di sospetto da parte dell’Utenza, nonché un (probabile)
    intervento sanzionatorio da parte dell’Autorità Garante.
    Quali sono, quindi, le caratteristiche che un’informativa deve rispettare per
    non esporre l’azienda al rischio di sanzioni o di contestazioni?
    Un’informativa corretta deve essere chiara, concisa, precisa e
    trasparente.
    Sono quindi da scartare le informative ridondanti, di difficile interpretazione e
    soprattutto i blasonati modelli “sicuri”, universali e standardizzati: tali soluzioni,
    offrendo solo una sicurezza illusoria, rischiano di rivelarsi un pericoloso
    boomerang per le aziende.
    In questo caso la quantità di informazioni contenute nel documento non è
    quasi mai sinonimo di qualità e lo dimostra lo stesso approccio che molte
    grandi società stanno adottando con comunicazioni privacy sempre più smart
    e focalizzate nel fornire, almeno ad un primo impatto, poche e precise
    informazioni (servendosi anche di iconografie).
    Tali accorgimenti valgono anche per la cd. Privacy Policy, che altro non è che
    un’informativa specifica per i dati personali trattati dalle aziende per mezzo del
    loro sito web.
    Sempre in tema di diritti, dopo aver correttamente informato l’interessato,
    l’azienda è tenuta ad agevolare l’esercizio dei diritti previsti dal GDPR, tra cui
    il diritto di Accesso, di Rettifica e di Cancellazione.
    Tali diritti – per la cui analisi si rinvia alla normativa e in particolare agli artt. 15,
    16 e 17 del Regolamento UE 2016/679 – costituiscono un importantissimo
    strumento di tutela, consentendo all’interessato di incidere e recuperare il
    controllo sui propri dati in qualsiasi momento.
    Al fine di rendere attuale e concreto l’esercizio di tali diritti, il Garante per la
    Protezione dei Dati Personali ha, del resto, avviato una rilevante campagna di
    sensibilizzazione proprio in questo settore offrendo, altresì, strumenti per
    l’effettivo esercizio di tali diritti (modelli editabili, tool di autovalutazione per
    Valutazione di Impatto e Data Breach).
    A tal proposito, dal 15 marzo 2021, è on line una piattaforma digitale gratuita
    (accessibile dal sito www.nomyd.eu) che permette agli interessati e ai
    titolari di rendere più semplice, rispettivamente, l’esercizio dei summenzionati
    diritti e il riscontro alle richieste/reclami degli interessati.
    Mediante questo strumento, per gli interessati sarà possibile precisare le
    richieste che si intendono formulare ai Titolari del trattamento dei propri dati
    (es. chiamate commerciali su prodotti che non ci interessano o sms o e-mail
    da società da cui non abbiamo mai effettuato acquisti) e, nel caso non si sia
    soddisfatti del riscontro ricevuto, inoltrare un reclamo al Garante.
    Anche i Titolari del trattamento potranno giovare di questo strumento, nel caso
    in cui preferiscano addivenire a una composizione bonaria della controversia.
    Infatti, è a loro dedicata un’apposita sezione che consentirà di gestire
    adeguatamente le richieste e/o reclami ricevute dagli interessati senza
    ricorrere al Garante.
    Guida alla normativa privacy per le aziende. Individuazione
    dei ruoli e disciplina dei rapporti con i soggetti coinvolti
    Uno dei passaggi fondamentali nella valutazione e attenuazione dei rischi
    connessi alle operazioni di trattamento consiste, senza ombra di dubbio,
    nell’individuazione di tutti quei soggetti, interni o esterni alla realtà aziendale,
    che effettueranno (ed effettuano) trattamenti di dati personali per conto del
    Titolare.
    Infatti, anche il miglior modello organizzativo privacy è destinato a fallire se il
    Titolare non ha sotto controllo i soggetti che entreranno in contatto con le sue
    informazioni.
    Nel caso in cui questi soggetti siano “interni” all’azienda – come, ad esempio, i
    dipendenti – si parlerà di soggetti autorizzati al trattamento (incaricati, come
    nell’accezione utilizzata ante GDPR).
    Nel caso in cui l’azienda si affidi per alcune operazioni di trattamento a
    consulenti esterni (come spesso avviene, ad esempio, nei confronti del
    consulente del lavoro, dei fornitori di servizi informatici, etc.), tali soggetti
    dovranno essere individuati quali Responsabili del trattamento (come
    disciplinato dall’art. 28 del GDPR).
    Entrambe queste figure, Autorizzati e Responsabili, devono essere
    correttamente individuate e responsabilizzate mediante un idoneo atto
    giuridico (c.d. “nomina”).
    È buona prassi tenere sempre sotto controllo non solo le nomine ai
    Responsabili inoltrate dalla nostra azienda, ma anche quelle ricevute. Una
    nomina a Responsabile Esterno, infatti, se ignorata o firmata frettolosamente,
    può produrre conseguenze rilevanti sotto il profilo giuridico.
    Redazione del Registro delle attività di trattamento
    Il Registro delle attività di trattamento è un documento contenente le principali
    informazioni sulle operazioni di trattamento svolte in azienda.
    È uno dei primi documenti che viene richiesto in caso di ispezione, nonché un
    valido supporto per l’analisi e il controllo dei propri trattamenti.
    L’obbligo di tenuta del Registro è stato spesso sottovalutato dalle aziende,
    anche perché si è diffusa l’errata convinzione che “chi ha meno di 250
    dipendenti non è tenuto ad adempiere a quest’obbligo”.
    In realtà, sebbene l’art. 30, par. 5 del GDPR specifichi che: “Gli obblighi di cui
    ai paragrafi 1 e 2 non si applicano alle imprese o organizzazioni con meno di
    250 dipendenti […]”, questa esenzione non si applica se:
    ● il Titolare effettua trattamenti che possano presentare un rischio –
    anche non elevato – per i diritti e le libertà dell’interessato;
    ● il Titolare effettua trattamenti non occasionali;
    ● il Titolare effettua trattamenti delle categorie particolari di dati di cui
    all’articolo 9, paragrafo 1 GDPR, o di dati personali relativi a condanne
    penali e a reati di cui all’articolo 10 GDPR.
    Di conseguenza qualunque esercizio commerciale o artigiano con almeno un
    dipendente (bar, ristoranti, officine, negozi, piccola distribuzione, ecc.) e/o che
    tratti dati sanitari dei clienti (es. estetisti, ottici, odontotecnici, tatuatori) è
    tenuto alla redazione e conservazione del Registro.
    L’Autorità Garante, nella sua opera di sensibilizzazione e facilitazione degli
    adempimenti privacy, ha messo a disposizione un modello di registro
    “semplificato” per le PMI, con istruzioni particolareggiate per un suo corretto
    utilizzo.
    Normativa privacy e obblighi per le aziende: in conclusione
    Un’azienda deve aver ben chiaro un concetto fondamentale, per adeguarsi ai
    dettami del Regolamento (UE) 2016/679: produrre semplicemente carta non è
    sufficiente.
    Tutta la (voluminosa) documentazione oggi richiesta non è altro che il prodotto
    dei molteplici passaggi di analisi, pianificazione e controllo che devono essere
    periodicamente effettuati.
    L’adeguamento al GDPR è un processo continuo, dinamico, e non deve esser
    visto come un unico adempimento. È richiesto un costante monitoraggio e
    adeguamento delle misure di sicurezza adottate, che possono variare a
    seconda dell’evolversi delle minacce (anche cibernetiche) e dell’attività svolta
    dall’azienda.
    Tutto ciò non deve intimorire od ostacolare un’impresa dall’intraprendere un
    percorso di adeguamento ma, al contrario, deve servire per comprendere il
    giusto approccio da adottare: meno forma e più sostanza.
    La corretta gestione degli adempimenti previsti dalla normativa privacy non
    deve essere considerata come l’ennesima inutile imposizione ma, al contrario,
    come l’opportunità di tutelare una delle risorse più preziose che l’azienda
    possegga: i dati.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.