Ho fornito una corretta informativa? Sono legittimato a trattare alcuni dati personali? Lo faccio correttamente? Il mio sito web è a norma?
Tutte le organizzazioni arrivano a porsi prima o poi domande relative alla privacy e al trattamento dei dati personali dei clienti/utenti. Tuttavia, spesso tali questioni vengono sollevate tardivamente e non con la dovuta tempestività. Ogni trattamento del dato personale deve presupporre un quesito, ancor prima che il trattamento sia stato messo in atto. Pensare alle modalità di trattamento ancor prima di iniziarlo.
Gdpr e dati sanitari: tutti i nodi della titolarità dei trattamenti
Una delle domande che ogni area manageriale si pone con sempre maggiore frequenza è se la propria azienda sia adeguata ai sensi del GDPR e della normativa nazionale in materia di protezione delle persone fisiche con riguardo al trattamento dei dati personali.
Questa analisi richiede una verifica attenta e specializzata, ma ogni manager può iniziare a muovere i passi autonomamente esplorando la realtà aziendale partendo da 5 quesiti specifici. Scopriamo quali sono.
Verifica della figura del titolare
In primis ciò che nelle piccole, medie o grandi aziende è fondamentale, è individuare la figura del titolare del trattamento: ossia la persona fisica o giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo che determina le finalità e i mezzi del trattamento. La domanda da porsi è: chi assume le decisioni? Esiste un consiglio di amministrazione che decide in ambito privacy, oppure se ne occupa un amministratore unico, oppure un membro del consiglio con poteri straordinari e ordinari in materia di privacy? Vi è traccia delle decisioni assunte dal Titolare, ad esempio, con riguardo all’impianto privacy presente in azienda, alle valutazioni dei rischi e alla eventuale valutazione d’impatto? Iniziare a capire se la titolarità dei trattamenti sia chiara, e se i dipendenti e collaboratori abbiano una corretta percezione della titolarità, e quindi su chi ricade la “responsabilità”, è sicuramente il primo step.
Verifica esistenza registro dei trattamenti
Identificato il Titolare del trattamento e la percezione che collaboratori, dipendenti e interessati hanno nei suoi confronti, è necessario verificare l’esistenza di un registro dei trattamenti ex art 30 GDPR. In tale ipotesi, pur se il Regolamento non impone la redazione di un registro dei trattamenti, per garantire il rispetto dei principi normativi, è assolutamente necessario redigere un registro che contenga almeno le informazioni previste dall’art. 30 GDPR, ma anche – consigliabile – una serie di ulteriori ma essenziali informazioni utili per i collegamenti all’interno dell’impianto privacy. La necessità di un registro dei trattamenti si riscontra immediatamente in ogni adempimento o attività del titolare; in particolare per poter effettuare la valutazione dei rischi, così come la valutazione di impatto, o anche per formare ed istruire il personale, è necessario mappare i trattamenti e quindi avere una precisa fotografia dei trattamenti effettuati nell’azienda.
Verifica misure tecniche ed organizzative
Partendo quindi dal registro dei trattamenti – ricordiamo, basilare ai fini della consapevolezza dei trattamenti effettuati all’interno dell’azienda, così come per la valutazione dei rischi – è necessario verificare se al suo interno sia stata inserita una descrizione generale delle misure di sicurezza tecniche e organizzative, come previsto dall’articolo 32, paragrafo 1, lett. f).
Come noto, l’impianto privacy di un’azienda richiede l’adozione di misure tecniche ed organizzative “adeguate”; ma cosa si intende con tale terminologia? Tutte le azioni e le iniziative predisposte dal Titolare sia relative ad operazioni che rendono adeguatamente sicuri i dati personali trattati, sia le procedure che permettono di rispettare i principi del GDPR.
A titolo esemplificativo ma non esaustivo annoveriamo tra le misure tecniche ed organizzative l’installazione di antivirus sui pc aziendali, i firewall, la procedura di back up periodico in un server esterno o in un cloud, il piano di formazione dei dipendenti, le procedure di data breach, quella di gestione dei documenti cartacei contenenti dati personali, etc.
Con il termine adeguate il GDPR demanda la discrezionalità al titolare del trattamento che effettua una sua valutazione rispetto alla realtà fattuale dell’azienda e ne stabilisce l’adeguatezza. È necessario, però, che tale valutazione sia documentata e dimostrabile sulla base di parametri oggettivi e determinati.
Verifica formazione dipendenti
Tra le misure organizzative che l’azienda ha l’onere di implementare, una delle più importanti è certamente il piano di formazione dei dipendenti, quale istruzione e formazione del personale che tratta i dati personali. Infatti, una corretta sensibilizzazione dei dipendenti e collaboratori, contestualizzata nella realtà aziendale, permette di estendere l’impegno profuso nella creazione di un impianto privacy da parte del titolare del trattamento a tutti coloro che operano con i dati personali. Invero, qualora tutto l’impianto fosse correttamente impostato, ma poi sul piano operativo mancasse consapevolezza e attenzione da parte del personale, si rischierebbero data breach, o in generale di esporre i dati a rischi.
Verifica nomine
L’ultimo degli step “preliminari” per capire se la propria azienda sia adeguata o necessiti di un’implementazione è certamente la verifica dell’esistenza e del contenuto delle nomine sottoposte ai responsabili del trattamento ex art 28 GDPR, eventualmente anche con mansioni di Amministratori di Sistema. Infatti, quando un trattamento viene esternalizzato, il trattamento dei dati personali che il responsabile effettua avviene per conto del titolare; l’incarico da parte del Titolare, quindi, richiede altresì che lo stesso fornisca una serie di istruzioni, ed indicazioni rispetto al trattamento dato in outsourcing e il responsabile dovrà, a sua volta, fornire garanzie ed impegnarsi al rispetto di obblighi. In aggiunta alle nomine ex art 28 GDPR, al fine di dimostrare l’accountability, la distribuzione delle attività di trattamento da parte del Titolare, occorre verificare se vi siano le lettere di autorizzazione ex art 29 GDPR destinate al personale dipendente, affinché sia identificata l’area di operatività, il tipo di dati trattati e vengano fornite le istruzioni basilari ed essenziali per le operazioni di trattamento, che andranno poi dettagliate nelle procedure e nei corsi di formazione.
Conclusioni
Ovviamente quanto sopra deve passare sempre sotto la lente preliminare della mappatura dei trattamenti svolti da parte del Titolare, nonché delle attività di verifica del rischio (redazione di un DVR, DPIA etc.) e di monitoraggio delle procedure, dei presidi di sicurezza, anche alla luce del confronto con la funzione del DPO ove presente.
Questi sono i primi cinque passi per dimostrare la responsabilizzazione nei confronti di coloro dei quali stiamo trattando i dati. Come verificare che questi passi siano stati effettuati in maniera corretta? Attraverso il processo di audit, per verificare l’impianto privacy implementato, attraverso un’analisi dettagliata delle politiche, delle procedure, dei processi e delle attività dell’organizzazione, al fine di identificare eventuali lacune nella gestione dei dati personali ed attuare le azioni correttive da adottare.
