Privacy, guida sintetica per le aziende: ecco cosa fare
di Antonio Valentini – LEGGI E PRASSI
Guida completa ed aggiornata in materia di privacy: ecco un vademecum di fondamentale importanza per la sicurezza delle aziende. “I tuoi dati sono un tesoro da proteggere insieme” è lo slogan adottato dal Garante per la protezione dei dati personali nella campagna pubblicitaria in onda sulle reti nazionali negli ultimi mesi, l’ultima delle numerose iniziative dell’Autorità susseguitesi a partire dalla piena applicazione del Regolamento (UE) 2016/679 e finalizzate ad accrescere l’importanza della protezione dei dati. La summenzionata normativa (Regolamento Generale Sulla Protezione Dei Dati – RGPD o GDPR) ha, di fatto, contribuito in maniera significativa a rendere la protezione dei dati personali un perno del nostro ordinamento. Il suo campo di applicazione estremamente ampio ci consente di affermare che, salvo rare eccezioni, ogni azienda e ogni professionista sia chiamato al rispetto delle disposizioni contenute nel Regolamento stesso e nella normativa nazionale (d.lgs. n. 196/2003, così come modificato dal d.lgs. n. 101/2018). Tuttavia, a quasi tre anni dalla piena efficacia del GDPR, ancora oggi numerose imprese non hanno completato – o, addirittura, intrapreso – il loro percorso di adeguamento nonostante i considerevoli rischi conseguenti in termini di impatto diretto sul business e commissione di illeciti amministrativi e penali (con conseguenti elevate sanzioni). Nelle righe che seguono si proverà a fornire una sintetica e semplice guida per l’adeguamento di un’impresa al GDPR e alla normativa privacy in generale. Guida agli adempimenti sulla privacy: l’analisi dell’azienda e l’individuazione delle attività di trattamento Innanzitutto, ogni azienda, in qualità di Titolare, deve individuare quali sono le attività di trattamento di dati personali effettuati e quali sono le tipologie di dati trattati nell’ambito della propria operatività. Quest’analisi preliminare è fondamentale al fine di individuare la strategia adeguata a garantire la protezione dei dati. Spesso si crede, erroneamente, di non trattare dati personali e quindi di essere “esentati” dal rispetto della normativa. Difatti, se con riguardo a studi medici, call center, laboratori analisi, software house il trattamento di dati è connaturato alla natura dell’attività professionale e, quindi, non sussistono dubbi interpretativi, vi sono invece altri soggetti in relazione ai quali può risultare non immediata l’individuazione della portata ed estensione della normativa. Come comportarsi, infatti, in tutte quelle situazioni meno chiare? Si pensi, ad esempio, all’attività di un artigiano o di un piccolo negozio di alimentari. Apparentemente tali soggetti non trattano informazioni, ma in realtà è sufficiente che sia conservato un elenco di anagrafiche (clienti, fornitori, etc.) o sia presente anche solo un dipendente per ritrovarsi improvvisamente in possesso di un database di dati personali non indifferente, le cui informazioni dovranno essere trattate nel pieno rispetto del GDPR. Una volta individuate le attività di trattamento (e quindi i dati personali trattati) sarà necessario analizzarle ponendosi poche e semplici domande: ● in che modo raccolgo queste informazioni/dati? ● per quale motivo tratto queste informazioni/dati (finalità del trattamento)? ● sono legittimato a trattarle? ● in che modo le conservo? ● per quanto tempo? Al fine di agevolare tale analisi, si consiglia di: ● effettuare una ricognizione dei moduli di raccolta dati, dei contratti e/o dei documenti informativi già in uso; ● verificare, ove necessario in relazione alla finalità perseguita, l’acquisizione dei consensi al trattamento; ● individuare, anche sulla scorta dei moduli utilizzati, le finalità del trattamento perseguite; ● censire i propri archivi, digitali e cartacei, nonché tutta la strumentazione utilizzata nelle attività di trattamento dei dati personali (es. computer, tablet, dispositivi removibili); ● verificare le politiche in uso per la cancellazione dei dati (es. sistema automatizzato di sovrascrittura, distruzione programmata degli archivi cartacei). In merito alla legittimazione a trattare i dati, si rammenta che non è necessario acquisire il consenso dell’interessato per ogni finalità perseguita. Si pensi al trattamento dei dati di un cliente per l’esecuzione della prestazione richiesta: in tal caso, tale trattamento sarà legittimato a monte dalla sussistenza di un contratto tra le parti. Tale prima fase consentirà all’azienda di avere un quadro complessivo relativo all’“impatto” delle proprie attività in ambito privacy. Guida agli adempimenti privacy per le aziende. Valutazione dei rischi e implementazione delle misure di sicurezza Dopo aver raccolto le informazioni suindicate e aver delineato un quadro generale sulle attività di trattamento svolte, un’azienda deve occuparsi di valutare i rischi ad esse collegati e, sulla base di tale valutazione, implementare le misure volte a mitigare tali rischi e garantirne la sicurezza dei dati e delle informazioni raccolte e trattate. L’obiettivo di questa operazione consiste nel diminuire il rischio che possa verificarsi una perdita, modifica o accesso non autorizzato alle informazioni personali (e non solo) possedute dall’azienda. Una corretta valutazione del rischio, con conseguente applicazione di idonee misure di sicurezza, consente:
di ridurre possibili sanzioni e/o richieste di risarcimento danni da parte degli Interessati nel caso in cui si verifichi una violazione dei dati personali (cd. Data Breach);
di tutelare il proprio patrimonio informativo, elemento che acquista sempre più importanza nella vita di ogni azienda. Nel predisporre un sistema di protezione delle informazioni è, tuttavia, doveroso ricordare che non sono più previste dalla normativa specifiche misure di sicurezza che possano essere considerate “adeguate” senza una preliminare valutazione. Il Regolamento Europeo, infatti, al fine di rendere effettiva la tutela e la protezione dei dati personali, accoglie, il principio di privacy by design e il principio di accountability. Oggi, pertanto, si è chiamati a mettere in atto misure tecniche e organizzative che siano idonee a garantire un livello di sicurezza adeguato al rischio. Tale cd. adeguatezza viene, quindi, rimessa ad una libera valutazione del Titolare, che dovrà adottare le precauzioni ritenute più opportune ed essere pronto, in ogni momento, a motivare le scelte effettuate. Al fine di adottare misure adeguate, non si può prescindere da una approfondita valutazione dei rischi che tenga conto, in caso di ipotetica violazione dei dati, degli effetti negativi che potrebbero verificarsi sulle libertà e i diritti degli interessati. All’esito di tale valutazione il Titolare potrà decidere in autonomia se iniziare il trattamento o procedere con un’ulteriore e più specifica analisi (cd Valutazione di Impatto o DPIA), che potrebbe concludersi con il dover consultare l’Autorità Garante per ottenere indicazioni su come gestire il rischio residuale. Se non è possibile determinare a prescindere misure di sicurezza “adeguate”, è tuttavia possibile individuare alcune buone prassi da applicare in ogni azienda: assicurare un ottimo livello di sicurezza in ambito informatico. Si consideri, a tal proposito, che in Italia sono in costante aumento gli attacchi cibernetici che mirano ad impossessarsi dei dati di una azienda. Termini come ransomware, phishing, data breach sono, infatti, oramai ben noti a tutti. Lo scopo, purtroppo, è sempre lo stesso: le informazioni vengono sottratte o criptate affinché il cybercriminale possa guadagnare rivendendole a terzi o costringendo l’azienda a pagare un riscatto per recuperarle. Un buon antivirus, un firewall, una password complessa e cambiata con regolarità ed una rete informatica efficacemente gestita, per quanto banali, sono ancora i principali baluardi a protezione dei nostri dati riversati in archivi digitali. È fondamentale, altresì, assicurare la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico. Poniamo il caso che, nonostante tutti i nostri accorgimenti, il nostro vecchio computer abbia improvvisamente smesso di funzionare o sia stato hackerato: ebbene, la perdita anche temporanea, della disponibilità dei dati costituisce un grave problema per l’azienda. Anche in questo caso, una soluzione semplice e alla portata di ogni azienda è disponibile: un backup dei dati, se effettuato con regolarità e su dispositivi sicuri, è uno strumento “salvavita”. Tali accorgimenti devono sempre essere accompagnati da una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative adottate. Tutela protezione dati aziendali: implementare le misure organizzative Un rimedio che si dimostra sempre decisamente efficace è quello volto a rafforzare le misure di sicurezza organizzative per consentire una gestione delle attività ordinata e consapevole, che miri a semplificare l’attività e a rendere tutti i soggetti coinvolti partecipi. Ciò si può tradurre nella previsione di specifiche procedure che consentano di rappresentarsi ex ante le attività da svolgere in ogni evenienza come, ad esempio, in caso di violazione delle informazioni, di gestione delle richieste degli interessati ovvero per disciplinare l’utilizzo degli strumenti informatici. Si tratta di un passaggio fondamentale per garantire a un’azienda di dotarsi di una corretta impostazione “a monte” del trattamento dei dati che persista per tutta la durata del trattamento. Da non dimenticare, infine, tra le misure organizzative, la formazione del personale. Infatti, tutte le misure di sicurezza che un’azienda può adottare risulteranno inefficaci se chi agisce al suo interno (e concretamente tratta dati personali) non è stato adeguatamente formato e istruito: investire nella formazione e aggiornamento dei propri dipendenti/collaboratori è, oggi, un’attività imprescindibile. Nomina, ove necessario, di un Responsabile per la protezione dei dati (DPO o RPD) Il Responsabile della protezione dei dati (RPD) o Data Protection Officer (DPO) è una figura a cui il legislatore affida un ruolo determinante, mediante la previsione di specifici compiti e poteri tra cui la sensibilizzazione e formazione del personale, l’attività di consulenza resa nei confronti del Titolare, nonché la sorveglianza sull’osservanza del GDPR. La sua designazione, regolata dall’art. 37 del GDPR, è tuttavia obbligatoria solo in alcune circostanze: a) il trattamento deve essere effettuato da un’autorità pubblica o da un organismo pubblico, eccettuate le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali; b) le attività principali del titolare del trattamento o del responsabile del trattamento devono consistere in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala; c) le attività principali del titolare del trattamento o del responsabile del trattamento devono consistere nel trattamento, su larga scala, di categorie particolari di dati personali di cui all’articolo 9 o di dati relativi a condanne penali e a reati di cui all’articolo 10 del GDPR. Tali elementi solitamente emergono sempre a seguito della prima analisi che l’azienda è chiamata a effettuare. Sarà pertanto compito del Titolare valutare la necessità o opportunità di nominare un Responsabile della Protezione dei dati. Predisposizione della c.d. Informativa Privacy per gli interessati Dopo aver individuato i dati personali trattati e aver impostato una corretta politica di raccolta e conservazione, l’azienda dovrà quindi preoccuparsi di garantire agli interessati la possibilità di esercitare tutti i diritti previsti dal GDPR. Tra questi, il primo è senza dubbio il diritto dell’Interessato a essere informato. L’azienda, infatti, è tenuta a fornire all’interessato una serie di informazioni tra cui, principalmente: ● l’identità e i dati di contatto di chi tratterà le sue informazioni (il cd. Titolare del trattamento); ● i dati di contatto del Responsabile della protezione dei dati (ove presente); ● le finalità del trattamento e la corrispondente base giuridica; ● eventuali destinatari o categorie di destinatari a cui potranno essere comunicati i dati personali; ● il periodo di conservazione dei dati personali oppure, se non è possibile, i criteri utilizzati per determinare tale periodo; ● i diritti dell’interessato e i canali per il loro esercizio, nonché in diritto di porre reclamo all’Autorità Garante; ● l’eventuale obbligatorietà del conferimento dei dati personali nonché le possibili conseguenze del mancato conferimento. I documenti informativi dovranno essere sempre specifici e personalizzati in relazione al loro destinatario (c.d. Interessato): le informazioni contenute nel documento destinato ai clienti non potranno, quindi, essere le stesse inserite nel documento destinato ai dipendenti. Altresì, è possibile prevedere informative specifiche per attività di trattamento. Si pensi alle informative che devono essere prodotte, ad esempio, nel caso in cui sia presente in azienda un impianto di videosorveglianza. L’onere di fornire la cd. “Informativa Privacy” non deve essere assolutamente sottovalutata dalle aziende, poiché un’informativa poco leggibile e confusionaria potrebbe provocare un doppio effetto nefasto: una reazione di sfiducia e di sospetto da parte dell’Utenza, nonché un (probabile) intervento sanzionatorio da parte dell’Autorità Garante. Quali sono, quindi, le caratteristiche che un’informativa deve rispettare per non esporre l’azienda al rischio di sanzioni o di contestazioni? Un’informativa corretta deve essere chiara, concisa, precisa e trasparente. Sono quindi da scartare le informative ridondanti, di difficile interpretazione e soprattutto i blasonati modelli “sicuri”, universali e standardizzati: tali soluzioni, offrendo solo una sicurezza illusoria, rischiano di rivelarsi un pericoloso boomerang per le aziende. In questo caso la quantità di informazioni contenute nel documento non è quasi mai sinonimo di qualità e lo dimostra lo stesso approccio che molte grandi società stanno adottando con comunicazioni privacy sempre più smart e focalizzate nel fornire, almeno ad un primo impatto, poche e precise informazioni (servendosi anche di iconografie). Tali accorgimenti valgono anche per la cd. Privacy Policy, che altro non è che un’informativa specifica per i dati personali trattati dalle aziende per mezzo del loro sito web. Sempre in tema di diritti, dopo aver correttamente informato l’interessato, l’azienda è tenuta ad agevolare l’esercizio dei diritti previsti dal GDPR, tra cui il diritto di Accesso, di Rettifica e di Cancellazione. Tali diritti – per la cui analisi si rinvia alla normativa e in particolare agli artt. 15, 16 e 17 del Regolamento UE 2016/679 – costituiscono un importantissimo strumento di tutela, consentendo all’interessato di incidere e recuperare il controllo sui propri dati in qualsiasi momento. Al fine di rendere attuale e concreto l’esercizio di tali diritti, il Garante per la Protezione dei Dati Personali ha, del resto, avviato una rilevante campagna di sensibilizzazione proprio in questo settore offrendo, altresì, strumenti per l’effettivo esercizio di tali diritti (modelli editabili, tool di autovalutazione per Valutazione di Impatto e Data Breach). A tal proposito, dal 15 marzo 2021, è on line una piattaforma digitale gratuita (accessibile dal sito www.nomyd.eu) che permette agli interessati e ai titolari di rendere più semplice, rispettivamente, l’esercizio dei summenzionati diritti e il riscontro alle richieste/reclami degli interessati. Mediante questo strumento, per gli interessati sarà possibile precisare le richieste che si intendono formulare ai Titolari del trattamento dei propri dati (es. chiamate commerciali su prodotti che non ci interessano o sms o e-mail da società da cui non abbiamo mai effettuato acquisti) e, nel caso non si sia soddisfatti del riscontro ricevuto, inoltrare un reclamo al Garante. Anche i Titolari del trattamento potranno giovare di questo strumento, nel caso in cui preferiscano addivenire a una composizione bonaria della controversia. Infatti, è a loro dedicata un’apposita sezione che consentirà di gestire adeguatamente le richieste e/o reclami ricevute dagli interessati senza ricorrere al Garante. Guida alla normativa privacy per le aziende. Individuazione dei ruoli e disciplina dei rapporti con i soggetti coinvolti Uno dei passaggi fondamentali nella valutazione e attenuazione dei rischi connessi alle operazioni di trattamento consiste, senza ombra di dubbio, nell’individuazione di tutti quei soggetti, interni o esterni alla realtà aziendale, che effettueranno (ed effettuano) trattamenti di dati personali per conto del Titolare. Infatti, anche il miglior modello organizzativo privacy è destinato a fallire se il Titolare non ha sotto controllo i soggetti che entreranno in contatto con le sue informazioni. Nel caso in cui questi soggetti siano “interni” all’azienda – come, ad esempio, i dipendenti – si parlerà di soggetti autorizzati al trattamento (incaricati, come nell’accezione utilizzata ante GDPR). Nel caso in cui l’azienda si affidi per alcune operazioni di trattamento a consulenti esterni (come spesso avviene, ad esempio, nei confronti del consulente del lavoro, dei fornitori di servizi informatici, etc.), tali soggetti dovranno essere individuati quali Responsabili del trattamento (come disciplinato dall’art. 28 del GDPR). Entrambe queste figure, Autorizzati e Responsabili, devono essere correttamente individuate e responsabilizzate mediante un idoneo atto giuridico (c.d. “nomina”). È buona prassi tenere sempre sotto controllo non solo le nomine ai Responsabili inoltrate dalla nostra azienda, ma anche quelle ricevute. Una nomina a Responsabile Esterno, infatti, se ignorata o firmata frettolosamente, può produrre conseguenze rilevanti sotto il profilo giuridico. Redazione del Registro delle attività di trattamento Il Registro delle attività di trattamento è un documento contenente le principali informazioni sulle operazioni di trattamento svolte in azienda. È uno dei primi documenti che viene richiesto in caso di ispezione, nonché un valido supporto per l’analisi e il controllo dei propri trattamenti. L’obbligo di tenuta del Registro è stato spesso sottovalutato dalle aziende, anche perché si è diffusa l’errata convinzione che “chi ha meno di 250 dipendenti non è tenuto ad adempiere a quest’obbligo”. In realtà, sebbene l’art. 30, par. 5 del GDPR specifichi che: “Gli obblighi di cui ai paragrafi 1 e 2 non si applicano alle imprese o organizzazioni con meno di 250 dipendenti […]”, questa esenzione non si applica se: ● il Titolare effettua trattamenti che possano presentare un rischio – anche non elevato – per i diritti e le libertà dell’interessato; ● il Titolare effettua trattamenti non occasionali; ● il Titolare effettua trattamenti delle categorie particolari di dati di cui all’articolo 9, paragrafo 1 GDPR, o di dati personali relativi a condanne penali e a reati di cui all’articolo 10 GDPR. Di conseguenza qualunque esercizio commerciale o artigiano con almeno un dipendente (bar, ristoranti, officine, negozi, piccola distribuzione, ecc.) e/o che tratti dati sanitari dei clienti (es. estetisti, ottici, odontotecnici, tatuatori) è tenuto alla redazione e conservazione del Registro. L’Autorità Garante, nella sua opera di sensibilizzazione e facilitazione degli adempimenti privacy, ha messo a disposizione un modello di registro “semplificato” per le PMI, con istruzioni particolareggiate per un suo corretto utilizzo. Normativa privacy e obblighi per le aziende: in conclusione Un’azienda deve aver ben chiaro un concetto fondamentale, per adeguarsi ai dettami del Regolamento (UE) 2016/679: produrre semplicemente carta non è sufficiente. Tutta la (voluminosa) documentazione oggi richiesta non è altro che il prodotto dei molteplici passaggi di analisi, pianificazione e controllo che devono essere periodicamente effettuati. L’adeguamento al GDPR è un processo continuo, dinamico, e non deve esser visto come un unico adempimento. È richiesto un costante monitoraggio e adeguamento delle misure di sicurezza adottate, che possono variare a seconda dell’evolversi delle minacce (anche cibernetiche) e dell’attività svolta dall’azienda. Tutto ciò non deve intimorire od ostacolare un’impresa dall’intraprendere un percorso di adeguamento ma, al contrario, deve servire per comprendere il giusto approccio da adottare: meno forma e più sostanza. La corretta gestione degli adempimenti previsti dalla normativa privacy non deve essere considerata come l’ennesima inutile imposizione ma, al contrario, come l’opportunità di tutelare una delle risorse più preziose che l’azienda possegga: i dati.