Ogni organizzazione deve garantire la protezione dei dati personali

Ogni impresa che utilizza dati personali, determinando finalità e mezzi del trattamento, ha il ruolo di “titolare del trattamento” e come tale ha la responsabilità generale per qualsiasi trattamento di dati personali che effettui direttamente o che altri (i.e. i fornitori) effettuino per suo conto[1].

Questa responsabilità non può essere trasferita o decentrata a un’altra organizzazione e deve quindi essere gestita con la massima attenzione, adottando un sistema di regole e pratiche – la c.d. politica interna – volto a integrare i principi della protezione dei dati personali nei processi aziendali. La politica interna privacy di un’impresa è quindi una sorta di “Statuto della Privacy” all’interno dell’organizzazione, i.e. un documento che contiene le regole e le pratiche di compliance[2].

I contenuti che una buona politica interna del titolare deve avere, sono in parte indicati nell’art. 39, paragrafo 1 lettera b) del GDPR che, nel fissare i compiti del DPO, chiarisce che questi è chiamato a sorvegliare non solo l’osservanza della normativa privacy ma anche delle politiche del titolare del trattamento in materia di protezione dei dati personali, compresi “l’attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo”.

Il GDPR chiarisce quindi che la politica interna deve ripartire la citata responsabilità generale dell’impresa “titolare del trattamento”, tra tutti i lavoratori dipendenti attraverso l’attribuzione di precisi compiti, funzioni e correlative responsabilità, rendendo contestualmente tutti gli stessi lavoratori, edotti dell’importanza dei principi e delle regole privacy.

Proponiamo di seguito una specifica “tassonomia” per una buona politica interna.

Gestione della qualità dei dati: best practice per garantire affidabilità e competitività aziendale

• Le finalità della politica interna privacy
• Ambito di applicazione e riferimenti normativi
• L’organigramma ed il funzionigramma privacy
• Sensibilizzazione e formazione
• I principi “privacy”: fondamento e vincolo dei trattamenti dati
• Registro delle attività di trattamento
• Sicurezza dei trattamenti
• Politiche e procedure. attribuzione di ruoli e responsabilità
• Riesame e aggiornamento
•  

Le finalità della politica interna privacy

La politica interna deve avere una finalità soprattutto etica; i.e. deve essere essenzialmente volta a proteggere le persone fisiche e a garantire i loro diritti e le loro libertà fondamentali, attraverso l’integrazione dei principi della protezione dei dati personali nei processi aziendali, in modo da assicurare un livello di protezione e sicurezza dei dati personali, trattati in ambito aziendale, adeguato ai rischi connessi ai trattamenti.

GUIDA PRATICA contro il Phishing: scopri come tutelare la tua azienda!

Ulteriore finalità, non meno importante, è la realizzazione della conformità normativa, della sicurezza dei processi aziendali e della competitività dell’impresa attraverso la definizione di apposite procedure.

Ambito di applicazione e riferimenti normativi

In questa sezione della politica interna è necessario:

1. definire il perimetro di applicazione delle regole;
2. indicare le entità destinatarie della politica che sono vincolate al titolare del trattamento dal rapporto di lavoro;
3. riportare tutte le norme giuridiche e le norme tecniche applicabili;
4. definire i termini chiave, facendo riferimento alle definizioni fissate dall’art. 4 GDPR e dalle norme tecniche di riferimento.

L’organigramma ed il funzionigramma privacy

La politica interna deve inoltre riportare la “fotografia” della struttura organizzativa aziendale e contenere quindi l’organigramma ed il funzionigramma dell’impresa che indichi precisamente “chi” “fa che cosa” i.e. ruoli e responsabilità di tutto il personale dipendente.

L’archetipo di un ”organigramma privacy” disegnato dal GDPR prevede 5 figure coinvolte nel trattamento di dati personali:

• il titolare;
• il contitolare;
• il responsabile della protezione dei dati (c.d. DPO);
• il responsabile del trattamento;
• l’autorizzato al trattamento.

Ad integrazione di quanto previsto dal GDPR, l’art. 2 quaterdecies del “Codice Privacy novellato”, al fine di garantire, nelle organizzazioni complesse, un’effettiva governance del sistema di protezione dei dati, sancisce che il titolare del trattamento nell’ambito del proprio assetto organizzativo:

1. può attribuire specifici compiti e funzioni connessi al trattamento di dati personali a persone fisiche che operano sotto la sua autorità espressamente designate;
2. individua le modalità più opportune per autorizzare al trattamento dei dati personali le persone che operano sotto la propria autorità diretta.

Facendo leva su tale norma, l’impresa titolare del trattamento può quindi disegnare nuovi “ruoli privacy” all’interno dell’organizzazione, attagliandoli alle specifiche esigenze di sviluppo dei processi aziendali. Si possono prendere come utile riferimento i seguenti profili professionali tipizzati all’interno dello standard nazionale UNI 11697:2017[3]:

1. “Manager Privacy”: è una figura di garanzia, che assiste il titolare nelle attività di coordinamento di tutti i soggetti coinvolti nel trattamento di dati personali all’interno dell’organizzazione, garantendo il rispetto delle norme e il mantenimento di un adeguato livello di misure organizzative, di sicurezza e di protezione dei dati;
2. “Specialista Privacy”: collabora con il Manager Privacy, curando la corretta attuazione del trattamento dei dati personali all’interno dell’organizzazione e svolgendo le attività operative necessarie;
3. “Valutatore Privacy”: ha competenze informatiche, tecnologiche e giuridiche, e svolge attività di monitoraggio e audit, esamina periodicamente il trattamento dei dati personali, valuta il rispetto delle normative, applica le misure opportune per eliminare eventuali non conformità. Il Valutatore opera in maniera indipendente dalle altre figure manageriali e operative.

Sensibilizzazione e formazione

Su specifica indicazione del GDPR[4], la politica interna deve contenere una sezione relativa alla sensibilizzazione ed alla formazione del personale dipendente; si tratta di un’importantissima misura organizzativa che crea consapevolezza e sensibilità diffuse.

La formazione, o meglio l’istruzione, è specificamente prescritta sia dall’art. 29 che dall’art. 32 paragrafo 4 del GDPR e, non a caso, l’art. 32 GDPR fissa le regole per la sicurezza dei trattamenti.

Senza un’adeguata formazione del personale operante, qualsiasi misura tecnica od organizzativa è destinata a non avere efficacia.

La formazione è quindi “fondamentale” nel senso letterale del termine: i.e. le attività di formazione sono le “fondamenta” di un sistema privacy.

La politica interna privacy dovrebbe indicare almeno:

• chi effettua la formazione;
• le modalità di misurazione; i.e. bisogna prevedere l’esecuzione di appositi test al termine degli interventi formativi, per verificare se e quanto il messaggio formativo venga recepito.

I principi “privacy”: fondamento e vincolo dei trattamenti dati

La politica interna privacy dovrebbe anche necessariamente chiarire che tutti i trattamenti di dati personali eseguiti nell’ambito dell’impresa, durate il relativo “ciclo di vita” – cioè dalla progettazione fino alla cessazione dei processi aziendali – devono essere sempre allineati ai seguenti principi fondamentali fissati dall’art. 5 del GDPR:

• principio di limitazione della finalità;
• principio di necessità, proporzionalità e minimizzazione dei dati;
• principio di liceità;
• principio di correttezza;
• principio di trasparenza;
• principio della conservazione;
• principio dell’esattezza;
• principio dell’integrità e riservatezza.

Deve necessariamente essere precisato che ogni trattamento di dati personali è legittimo solo se e nella misura in cui sia pienamente conforme a detti principi fondamentali.

Ecco perché, una volta avviato il trattamento, l’impresa è tenuta a dare attuazione efficace e costante a detti principi, al fine di tutelare i diritti e le libertà fondamentali, tenendosi aggiornata sullo stato dell’arte e riesaminando il livello di rischio.

Infatti, la natura, l’ambito di applicazione e il contesto delle operazioni di trattamento, nonché il rischio possono mutare nel corso del trattamento, comportando per l’impresa l’obbligo di verificare tali operazioni per mezzo di valutazioni e riesami periodici dell’efficacia delle misure e delle garanzie che ha adottato.

Registro delle attività di trattamento

Il registro dei trattamenti previsto dall’art. 30 del GDPR ha la duplice funzione di strumento di accountability e strumento di monitoraggio delle attività di trattamento sia per il titolare che per l’Autorità Garante.

La politica interna privacy dovrebbe:

1. prevedere chi deve gestire il registro nonché le modalità di tenuta ed aggiornamento
2. chiarire che all’interno del registro vanno annotati tutti i trattamenti eseguiti in ambito aziendale.

Sicurezza dei trattamenti

La politica interna privacy dovrebbe prevedere anche le misure tecniche e organizzative adeguate da mettere in atto per garantire un livello di sicurezza adeguato al rischio. L’art. 32 del GDPR precisa che tali misure devono comprendere, tra l’altro:

1. la pseudonimizzazione e la cifratura dei dati personali;
2. la capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento;
3. la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico;
4. una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento;
5. una adeguata formazione ed informazione del personale “autorizzato” al trattamento dei dati.

In concreto, in linea con le indicazioni recentemente offerte dalla norma ISO 27002:2022, una buona politica interna dovrebbe contenere raccomandazioni, prescrizioni e regole che garantiscano almeno le seguenti capacità operative:

Politiche e procedure. attribuzione di ruoli e responsabilità

La politica interna privacy dovrà, inoltre, necessariamente contenere la descrizione delle procedure ritenute necessarie allo sviluppo di processi aziendali che siano perfettamente in linea con gli obiettivi di business e contestualmente con i principi di protezione dei dati personali.

Dovrebbero essere definite specifiche procedure almeno per la gestione delle richieste di esercizio dei diritti privacy e dei data breach, verificandone la fattibilità, la sostenibilità e l’efficienza.

Ogni procedura deve necessariamente prevedere specifici ruoli e responsabilità nell’ambito del contesto interno.

Riesame e aggiornamento

La politica interna attagliata (tailored) all’organizzazione deve, infine, prevedere l’esecuzione sistematica e periodica di revisione ed aggiornamento che devono diventare parte integrante della cultura aziendale al fine di garantire che le regole, le procedure ed i processi aziendali siano sempre, permanentemente, allineati agli obiettivi di business ed al GDPR.

NOTE

1. Considerando 74 GDPR. ↑

2. Vds. Considerando 78 GDPR. ↑

3. Richiamato nell’ALLEGATO 1 – APPENDICE B del provvedimento GPDP n.148 del 29 luglio 2020. Vds. anche qui. ↑

4. Vds. art.39, paragrafo 1, lettera b) GDPR. ↑

DATI: fonte imprescindibile per le aziende! PROTEGGILI e mantienili CONFORMI alle regole

@RIPRODUZIONE RISERVATA