I registri delle attività di trattamento

I registri delle attività di trattamento.

Introdotto dal GDPR, sono strumenti fondamentali e irrinunciabili per gestire i trattamenti compiuti in un’organizzazione e aiutare il titolare o il responsabile del trattamento a mantenere i livelli adeguati di sicurezza.

L’8 ottobre 2018 il Garante Privacy ha pubblicato le istruzioni sul registro delle attività di trattamento, che s’inseriscono all’interno del quadro normativo come strumenti utili per sciogliere eventuali dubbi sull’obbligatorietà o meno della tenuta del registro, andando a spiegare con un linguaggio più semplice di quello usato nella norma europea ciò che deve essere fatto dai titolari e dai responsabili dei trattamenti.

Fonte normativa.

Il registro delle attività di trattamento è disciplinato dall’art. 30 del Regolamento (UE) 2016/679, anche conosciuto come GDPR, che ne descrive i contenuti, la forma e i casi in cui è obbligatorio. Ne esistono due tipi: quello del titolare e quello del responsabile del trattamento.

Il primo indica i dati del titolare stesso, elenca le finalità perseguite con ogni trattamento effettuato (giova ricordare, in questo momento, che per “trattamento” intendiamo qualsiasi attività o processo in cui siano coinvolti dati personali), descrive le categorie di interessati e di dati personali (per esempio: clienti e loro dati anagrafici, lavoratori dipendenti e loro dati relativi alle presenze, passanti e loro immagini riprese dalle telecamere di videosorveglianza…), indica le categorie di destinatari a cui vengono comunicati i dati personali, elenca i trasferimenti verso Paesi extra-UE od organizzazioni internazionali e le garanzie che sono poste in essere per tutelare il diritto delle persone alla protezione dei dati, indica i termini di conservazione e descrive le misure di sicurezza tecniche e organizzative adottate.

Il registro del responsabile del trattamento risulta più semplice, poiché è richiesto che indichi i dati del responsabile, le categorie di trattamento effettuate per conto di ogni titolare, elenca i trasferimenti verso Paesi extra-UE o organizzazioni internazionali e le garanzie che sono attuate per tutelare i diritti delle persone alla protezione dei dati e descrive le misure di sicurezza tecniche e organizzative adottate.

In ogni caso, i registri devono avere forma scritta e possono avere anche formato elettronico e devono essere esibiti agli organi di vigilanza qualora ne sia fatta richiesta.

Per quanto riguarda l’obbligatorietà, è stabilito che lo sia quando:

  • Si effettua almeno un trattamento che può presentare rischi per diritti o libertà degli interessati; o
  • Si effettua almeno un trattamento con continuità e sistematicità (anche periodicamente); o
  • Si effettua almeno un trattamento che prevede dati particolari (ovvero quelli riferiti alla salute, all’appartenenza a sindacati, al credo religioso, alle caratteristiche biometriche…) o riferiti a condanne penali o reati.

In ogni caso, se questi tre criteri fossero tutti inapplicabili nell’ambito che stiamo osservando, i registri sono obbligatori se il titolare o il responsabile hanno più di 250 dipendenti.

Criticità.

La tenuta dei registri, però, si accompagna ad alcune criticità che si dovrebbero considerare bene.

Anzitutto, bisogna individuare quale ruolo si ricopre: talvolta si è solo titolari del trattamento, talaltra solo responsabili. Molto spesso, quando si è responsabili del trattamento che ci è stato affidato da un titolare, si è nella condizione di essere i titolari dei trattamenti su cui abbiamo il completo potere di determinazione delle finalità e dei mezzi di realizzazione. È questo il caso tipico dei commercialisti, degli esperti contabili o dei consulenti del lavoro. Questi soggetti devono predisporre entrambi i registri.

La seconda criticità è data dalla forma del registro – che ovviamente deve essere privo di abrasioni e cancellazioni, con i fogli rilegati e non asportabili – che deve necessariamente essere “scritta”. Nel linguaggio giuridico, semplificando, un documento “in forma scritta” è quello su cui è apposta la firma di chi esercita la legale rappresentanza.

La terza risiede nell’eventuale forma elettronica: in Italia, perché un documento elettronico abbia validità legale, deve avere anche le caratteristiche previste dal Codice dell’Amministrazione Digitale, dal regolamento eIDAS, e dal DPCM 13 Novembre 2014 sulla formazione del documento informatico. È chiaro che non sono considerati validi, né opponibili in giudizio, documenti formati solo con programmi di uso comune per la videoscrittura.

La quarta è che il registro deve essere scritto e mantenuto aggiornato, dando prova delle varie versioni che si susseguono e dimostrazione della loro presenza a una certa data.

La quinta, infine, è rappresentata dal fatto che, qualora indicassimo informazioni non veritiere nei registri, nel momento in cui il Garante o la Guardia di Finanza ne volessero prendere visione, incorreremmo nel reato di falsa dichiarazione, perseguito penalmente.

Vantaggi.

I registri, tuttavia, sono anche forieri di vantaggi che si riflettono in modo concreto sull’intera organizzazione: come sottolinea lo stesso Garante, infatti, i registri sono documenti di censimento e analisi dei trattamenti effettuati. Si tratta di strumenti fondamentali non soltanto ai fini dell’eventuale supervisione da parte del Garante, ma anche allo scopo di disporre di un quadro aggiornato dei trattamenti in essere all’interno di un’azienda o di un soggetto pubblico, indispensabile per ogni valutazione e analisi del rischio. Proprio per questi motivi, il Garante ne raccomanda la redazione e l’aggiornamento poiché, secondo la sua opinione, questi non costituiscono solo un mero adempimento formale, bensì sono parte integrante di un sistema di corretta gestione dei dati personali; su queste considerazioni, quindi, esorta i titolari e i responsabili, a prescindere dalle dimensioni dell’organizzazione, a dotarsi di tale registro, prevedendo anche la possibilità, secondo le volontà del titolare o del responsabile, d’inserire ulteriori informazioni se lo si ritiene opportuno nell’ottica della complessiva valutazione di impatto dei trattamenti svolti.

In definitiva, i registri dei trattamenti sono obbligatori e necessari per tutti e, se adeguatamente curati nel tempo, sono uno strumento potentissimo per governare l’organizzazione e per difenderla in caso di ispezione o contenzioso, essendo la trasposizione documentale di tutto ciò che è stato fatto per aderire al principio di responsabilizzazione che fa da sfondo all’intero GDPR.


Fonte: Fiscal Focus

Molte idee molto confuse in vista del 25 maggio

Molte idee molto confuse in vista del 25 maggio

Attorno al GDPR sta montando un’attesa insana e giorno dopo giorno cresce la confusione, alimentata anche da chi dovrebbe fare ordine e chiarezza.

Avvicinandosi all’ormai famosa data del 25 maggio, giorno in cui il GDPR, il regolamento generale sulla protezione dei dati, entrato in vigore il 24 maggio 2016, ovvero circa due anni fa, tempo più che sufficiente per adeguare anche il più grande colosso internazionale alle nuove disposizioni, diventerà direttamente applicabile senza ulteriori passaggi di recepimento o ratificazione da parte di nessuno in nessun angolo del mondo conosciuto e civilizzato, sembra che si faccia a gara a chi è più esperto, più certificato, più competente, più…

Molte cose mi lasciano perplesso e, talvolta, mi fanno pensare che ci sia qualcosa di sbagliato nella situazione che sto percependo. Fortunatamente trovo conforto da alcuni clienti e da alcuni colleghi.

La prima cosa che mi disturba è l’aura di ignoranza che aleggia e che si irradia dalle associazioni di categoria e i più rilevanti ordini professionali nazionali. Partendo dall’indifferenza delle prime, arrivando ai comunicati più assurdi dei secondi. Giusto per citarne alcuni: una sede territoriale dell’Ordine dei Consulenti dal Lavoro che “consiglia caldamente di non firmare contratti di consulenza con nessuno perché la norma [il GDPR, ndr] non si sa ancora se entrerà in vigore”; il Consiglio Nazionale Forense che consiglia di utilizzare tabelle compilabili in Excel per tenere i registri dei trattamenti, che sono documenti che dovranno avere valore probatorio e legale e avere forma scritta, che nel linguaggio giuridico significa, più o meno, che la generazione del file dovrebbe seguire come minimo uno schema logico tracciabile (marcature temporali, log delle modifiche, firme digitali…), il tutto senza considerare che i file proposti sul sito non sono in lingua italiana, e quindi praticamente inutilizzabili e, se impiegati, altamente rischiosi; il Consiglio Nazionale dei Dottori Commercialisti e degli Esperti Contabili, per ultimo, ha pubblicato un documento che, oltre a essere incoerente con la situazione normativa, non tiene conto nemmeno delle linee guida e delle raccomandazioni o delle opinioni degli organismi europei deputati alla privacy e arriva a dire che negli studi professionali (cito testualmente) “salvo casi particolari (ad esempio, ove lo Studio utilizzi telecamere a circuito chiuso o effettui tracciamento dell’ubicazione attraverso app su dispositivi mobili oppure utilizzi programmi di fidelizzazione o di pubblicità comportamentale), appare rara l’effettuazione, da parte del commercialista, di attività di monitoraggio sistematico e regolare”, come se rispettare le disposizioni antiriciclaggio, che partono da una prima valutazione del profilo del cliente da cui dipende solo l’inizio del rapporto professionale o l’obbligo di astensione, che prosegue con una profilazione attenta e costante nel tempo, spesso automatizzata, e che può produrre effetti giuridici anche rilevanti sulle persone fisiche (non solo l’interessato), non fosse un’attività di monitoraggio sistematico e regolare.

Secondariamente mi disturbano parecchio tutti i miei concorrenti che pretendono di vendere una soluzione onnicomprensiva e a basso costo. La protezione dei dati non si fa a basso costo, perché è standardizzabile il metodo di lavoro, non il risultato. Ci sono troppe variabili in causa, anche per il sito della nonna che vende torte, anche se “io faccio solo…”. Fai “solo” cosa? Di tutti i casi di videosorveglianza che ho trattato, non ve n’è uno identico agli altri, nemmeno nei presupposti! (Giusto per fare un esempio). Trattare i dati è la base dell’attività umana, sia sociale che economica. Lo è sempre stato e oggi è molto più percepibile; in futuro lo sarà probabilmente ancora di più. Se qualcuno vi proponesse di farvi un adeguamento al GDPR senza nemmeno avervi visto o intervistato, magari focalizzandosi su informative e consensi scritti perché “ora sono obbligatori”, sappiate che sta spudoratamente mentendo: primo perché lo erano anche prima, secondo perché non sono obbligatori (anche se la forma scritta è sicuramente la migliore, ma non è la sola, per dimostrare di aver informato e ottenuto il consenso, quando serve).

Tralascio poi il discorso sui software che promettono di fare tutto e di riparare da ogni rischio. Ne ho provati parecchi. Finora ho visto quasi sempre cose che fanno in bella veste ciò che un consulente serio e preparato riuscirebbe a fare anche senza, con un semplice PC con il pacchetto Open Office e senza nemmeno la connessione a Internet. Onestamente, l’unico che mi ha colpito in positivo per le sue caratteristiche tecniche “occulte” (conformità al CAD, al regolamento eIDAS, al GDPR, con misure di sicurezza by design e una serie di controlli sui dati inseriti attraverso le maschere, tanto per citarne alcune) è DPO Privacy Suite, sviluppato da Enterprise, il cui unico scopo è aiutare gli utenti a redigere, conservare e aggiornare i registri dei trattamenti dei dati personali, come richiesto dall’art. 30. Obbligo che ricade praticamente su chiunque; a distanza di anni, non ho ancora trovato un esempio su un caso in cui non sia obbligatorio, senza considerare la posizione del nostro Garante. Ecco, questo è (forse) l’unico consiglio di acquisto per mi sento di fare, perché è davvero uno strumento utile e ben fatto.

Questo è lo scenario, signore e signori: confusione. O, almeno, io la penso così.

Il giorno in cui vi domanderete a chi sia il caso di rivolgervi per avere anche solo un consulto, ricordatevi di chi questa materia la conosce bene e da anni cerca di mettervi in guardia e di assistervi.

Non vorrei farmi pubblicità, ma io sono uno di quelli. E non tollererò che la mia materia diventi quello schifo che molti (troppi) prima di me hanno fatto diventare la sicurezza sul lavoro. Sappiatelo.

Buona festa dei lavoratori a tutti!

Privacy e reati. Siamo sicuri che spariranno gli illeciti penali col GDPR?

Privacy e Reati. Siamo sicuri che spariranno gli illeciti penali col GDPR?

A breve (pare) il Codice Privacy sarà abrogato, facendo morire con sé tutte le sanzioni penali che si portava dietro. Ma è davvero così?

Negli scorsi giorni, a partire dal tardo pomeriggio del 21 marzo, abbiamo assistito a un tamtam mediatico attorno alla questione relativa all’abrogazione del Codice Privacy (il Dlgs 196/2003), resa pubblica dall’ufficio stampa del Governo, attraverso un comunicato diffuso sul sito web istituzionale. I maggiori “ripetitori” di questa notizia sono stati, prima che la stampa, i consulenti in materia, direttamente interessati e colpiti dalla norma.

Nel periodo immediatamente successivo, poi, qualcuno è anche riuscito a procurarsi e scambiare in rete una copia della bozza (sottolineo BOZZA) dell’atto con cui si dispone l’abrogazione del Codice. Da quel momento in poi, ognuno ha avuto modo di dire la sua e molti hanno notato che le sanzioni penali, con il nuovo testo normativo, sono ridotte all’osso e limitate alla falsità nelle dichiarazioni rese al Garante in fase ispettiva o alla turbativa dei procedimenti o delle ispezioni della stessa Autorità.

A parte il fatto che, personalmente, avrei preferito usassero la locuzione “autorità di controllo”, così da includere anche quelle degli altri Paesi dell’Unione, e ricordandoci che è pur sempre una bozza, siamo davvero sicuri che le fattispecie di reato sanzionate penalmente cesseranno di esistere una volta abrogato il Codice?

Secondo me no. Vi spiego perché.

Perché si continua a sbagliare intendendo la privacy come una cosa (materiale o immateriale che sia), mentre il GDPR vorrebbe che si abbandonasse questa prospettiva di pensiero. Non si deve proteggere la privacy, si devono tutelare i diritti e le libertà delle persone fisiche. Non si deve proteggere la privacy, si devono adottare comportamenti responsabili e virtuosi. Il fulcro si sposta dal dato al trattamento e alla finalità per cui è realizzato.

Quello che voglio dire è che se adottassimo la filosofia secondo cui i dati e le informazioni sono patrimonio e che i trattamenti sono un mezzo con cui avvalorarlo o deteriorarlo, allora potremmo capire che, a ben vedere, non avremmo bisogno di un nuovo corpo normativo in materia di reati penali sull’argomento.

Nel nostro Codice Penale, per esempio, partendo dal presupposto che i reati si dividono in delitti e contravvenzioni (fondamentalmente sulla base della loro gravità, i primi sono ritenuti più importanti), si contano circa 650 fattispecie di reato, a cui sono assegnate le varie sanzioni, con le cause aggravanti o attenuanti o di esclusione dalla pena. Tutte sono contenute nel Libro II e nel Libro III del Codice Penale.

Se scendiamo nel dettaglio, scopriamo che:

  • I reati indicati sono 652 (561 delitti e 91 contravvenzioni).
  • Esistono 283 delitti che possono essere commessi realizzando uno o più trattamenti combinati tra loro.
  • Esistono 15 contravvenzioni che possono essere commesse realizzando uno o più trattamenti combinati tra loro.

Consideriamo, inoltre, che anche l’omissione di trattamento potrebbe generare un illecito.

Quello che voglio dire, in altre parole, è che non penso sia necessario continuare a punire il mero fatto del trattamento, visto che abbiamo a disposizione una codice normativo che va a punire ciò che con il trattamento può essere realizzato.

Per fornire qualche esempio, al di là di quelli facilmente intuibili relativi alla corrispondenza, al domicilio, all’intromissione nella vita privata o all’interferenza nelle comunicazioni, posso citare:

Art. 278.
Offese all’onore o al prestigio del presidente della Repubblica.
Chiunque offende l’onore o il prestigio del presidente della Repubblica, è punito con la reclusione da uno a cinque anni.

È ovvio che qui i dati personali siano il nome e il cognome del soggetto e il suo status politico e gerarchico, il diritto leso è quello all’onore o al prestigio, e il trattamento effettuato è l’offesa (magari a mezzo stampa, tramite diffusione su quotidiani o con trasmissioni radiotelevisive).

Un altro esempio:

Art. 337.
Resistenza a un pubblico ufficiale.
Chiunque usa violenza o minaccia per opporsi a un pubblico ufficiale, o ad un incaricato di un pubblico servizio, mentre compie un atto d’ufficio o di servizio, o a coloro che, richiesti, gli prestano assistenza, è punito con la reclusione da sei mesi a cinque anni.

Qui il trattamento potrebbe essere l’acquisizione, da parte del pubblico ufficiale o delle altre persone in elenco, di dati e informazioni. L’opposizione violenta o minacciosa lo metterebbe nella condizione di non poter effettuare un trattamento previsto per legge.

Secondo me, è inutile che continuiamo a fare finta di nulla: governare l’informazione e i dati ormai è fondamentale per quello che può conseguire dal loro trattamento. Per questo sarebbe (passatemi l’esagerazione) anacronistico continuare a punire i trattamenti.

E, comunque, a ben vedere gli illeciti penali continueranno a esserci…

Riflessioni in merito alla PIA

Riflessioni in merito alla valutazione d’impatto sulla protezione dei dati (PIA).

Il GDPR ci chiede di fare la valutazione d’impatto sulla protezione dei dati (conosciuta anche con gli acronimi PIA1 o DPIA2). Ma siamo sicuri di averne davvero compreso lo spirito?

In questo periodo noto un grande fermento attorno alla tematica della privacy, con molti articoli che spiegano cose che ormai rasentano la scontatezza.

Trovo pochi, pochissimi approfondimenti. Giusto per non dire che non ne trovo affatto. Gli unici contenuti sono le linee guida che qualche associazione zelante o ente pubblico competente ha avuto la pazienza di sviluppare e rendere pubbliche.

Per converso, social network come LinkedIn pullulano di post, scritti nei gruppi dedicati a specifici settori, in cui alcuni membri, che si presume siano professionisti esperti in quel campo, pongono domande anziché esporre il loro punto di vista.

Uno degli argomenti più gettonati e maggiormente abusati è, appunto, la valutazione d’impatto sui dati personali. C’è chi si chiede ancora se si debba chiamare “PIA” o “DPIA”, chi si pone l’annoso problema su chi debba effettuarla, chi domanda quando va fatta. Domande più che legittime, a cui poche risposte suonano in modo sensibilmente differente da quanto una qualsiasi persona di buon senso potrebbe arrivare a concepire se solamente leggesse  – e capisse cosa ha letto – il GDPR.

Molte risposte si limitano a dire che la PIA deve essere fatta solo quando ci sono rischi elevati per i diritti e le libertà delle persone fisiche.

Allora la domanda più logica, che verrebbe in mente a un incompetente, è: cioè? Quali sono questi rischi? E a questo punto, solitamente, arriva una seconda risposta che grossomodo è sintetizzabile con “i rischi sulla privacy: accesso non autorizzato, cancellazione o perdita del dato, modifica, divulgazione…”, ovvero quelli che siamo stati abituati a considerare, soprattutto in funzione degli standard in materia di sicurezza informatica.

NO!

I rischi per i diritti e le libertà delle persone fisiche non sono (solo) quelli.

Non è il caso di elencarli qui di seguito, ma invito i lettori a riflettere su questi due esempi concreti.

Il primo esempio riguarda i trattamenti effettuati durante le elezioni (se qualcuno è convinto che non ne vengano fatti, gli consiglio caldamente di procedere nella lettura). Cosa accadrebbe all’intera comunità identificata nella Repubblica Italiana se qualcuno si prendesse la briga di non trattare come previsto i dati personali nei seggi elettorali?

Vi ricordo che:

  • Al momento del controllo dell’identità si effettuano almeno l’acquisizione e il confronto dei dati indicati sul documento d’identità, sulla tessera elettorale e sul registro del seggio; e che
  • Fintanto che la scheda elettorale compilata rimane nelle mani dell’elettore è un dato sensibile.

Non veniamo a raccontarci la favola che non esiste il rischio che qualcuno voti più volte o faccia vedere a qualcun altro cosa ha votato.

Il secondo esempio lo riporto testualmente da un articolo pubblicato sul sito del quotidiano torinese La Stampa, il 3 marzo3, in cui praticamente si racconta la storia di due gemelli che per l’ordinamento giuridico italiano non esistono e non possono acquisire diritti personali, né fondamentali, né di alcun altro tipo:

Un ufficio del Comune di Torino ha negato la trascrizione dell’atto di nascita di due gemelli nati in Canada da una coppia di uomini con il sistema della gestazione per altri: l’atto era già stato trascritto per il padre biologico e non è stato esteso all’altro genitore. Palazzo Civico precisa che «le indicazioni date agli uffici erano di eseguire la trascrizione senza indugio. È una questione tecnica che affronteremo e risolveremo». Uno dei motivi del diniego, secondo quanto si è appreso, si richiama alla legge 40 sulla procreazione assistita, che vieta la surrogazione di maternità (permessa in Canada).

«Si tratta – viene spiegato – di una questione puramente tecnica a cui si sta cercando di porre rimedio sia per questo caso, sul quale stiamo lavorando per rimettervi mano, sia per il futuro».

L’amministrazione spiega anche che «non appena si è avuto sentore di casi simili, la Città ha presentato una interrogazione al ministero dell’Interno e allAnusca, l’associazione degli stati civili e anagrafi». «Inoltre – aggiungono – si sta valutando la possibilità di intraprendere una costituzione di parte civile a fianco delle coppie che richiedono il riconoscimento dei figli per far sì che le decisioni dei tribunali valgano anche per gli uffici comunali. Stiamo valutando tutte le strade possibili per risolvere questa problematica tecnica».


  1. Privacy Impact Assessment
  2. Data Protection Impact Assessment
  3. Così come risulta a seguito della modifica delle ore 16:09 del 03/03/2018.

Belle le linee guida sulla PIA, ma… Non manca qualcosa?

Belle le linee guida sulla PIA, ma… Non manca qualcosa?

Lo scorso autunno il Gruppo di lavoro sulla protezione delle persone fisiche con riguardo al trattamento dei dati personali ha pubblicato le sue linee guida concernenti la valutazione d’impatto sulla protezione dei dati personali (PIA, privacy impact assessment) e i criteri per stabilire se un trattamento possa presentare un rischio elevato ai sensi del GDPR.

Che dire? Belle, scritte bene, piuttosto utili, con qualche spunto di riflessione e molti collegamenti non proprio espliciti, ma… Secondo me manca qualcosa.

Tra gli aspetti positivi c’è certamente quello di ripetere più d’una volta il concetto che la PIA è un processo continuativo e che deve essere completato e riproposto periodicamente e secondo le caratteristiche del contesto di riferimento.

Di positivo ci sono poi tutti i richiami a norme volontarie e a linee guida e suggerimenti già pubblicati da altri soggetti (per esempio ISO, ICO, CNIL…), il suggerimento di avvalersi di soggetti esperti nella gestione e nella valutazione dei rischi e il collegamento a un generale concetto di gestione della qualità.

Poi ci sono gli esempi e le tabelle che aiutano a inquadrare meglio il discorso, assieme alle immagini e i grafici.

 Apprezzabile, a mio modo di vedere, il fatto che sia richiamato il registro dei trattamenti del titolare, poiché può costituire una buona base di partenza – se fatto bene – per procedere con la valutazione del rischio. Attenzione però: coinvolgere attivamente gli eventuali responsabili del trattamento (oltre ai DPO) è importante. E qui entrano in gioco gli accordi che vincolano i titolari e i responsabili, per rispondere alle esigenze che emergono in un’ottica di garanzia e responsabilità, di gestione dei rischi, di gestione della qualità.

Infine, ci sono addirittura i criteri per definire una PIA accettabile.

Eppure, lo ripeto, secondo me manca qualcosa. Sono migliorabili. E in quanto tali, se lette e applicate da persone inesperte, potrebbero comportare più danni che benefici.

L’inesperienza a cui mi riferisco non è tanto quella nel variegato mondo della protezione dei dati, quanto quella nello specifico mondo della gestione dei rischi, che non ha nulla a che vedere con gli aspetti legali o informatici, o con la compliance e gli audit, se non il fatto che questi ultimi due, se fatti male, rappresentano un rischio a cui non si dovrebbe rimanere indifferenti.

Le linee guida hanno il pregio di offrire una chiave di lettura orientata alla protezione dei dati personali – addirittura estendendone il concetto anche ad aspetti sociologici, etici e comunicativi e includendo anche il contenuto di agende, appunti e dati sensibili nel senso comune del termine – e di proporre almeno due nuovi diritti degli interessati – la loro consultazione (qui trovo che si avvicino molto ai concetti espressi con riguardo alle consultazioni dei rappresentanti sindacali o dei rappresentanti dei lavoratori per la sicurezza) e la definizione di un sottoinsieme costituito dai soggetti vulnerabili per i quali si dovrebbe avere un occhio di riguardo – ma trovo che siano piuttosto carenti nel definire effettivamente una strategia operativa standard che possa garantire almeno un livello minimo di adeguatezza nell’effettuazione del processo stesso. In primis per il fatto che partono dal presupposto che sia “facile” – o, almeno, non complesso – determinare se si sia o meno soggetti all’obbligo di condurre la PIA stessa.

Mi spiego meglio: nel diagramma di flusso, per come viene proposto (v. pag. 6 del testo in italiano), si parte chiedendosi se il trattamento possa comportare un rischio elevato; peccato che però non si faccia riferimento a come arrivare a tale conclusione. È come se mancasse tutta la fase di valutazione generale del rischio, al termine della quale, se si giunge alla conclusione che il rischio è basso o medio, si conviene che non sia necessario procedere alla PIA. Una sola lista di controllo che elenca i trattamenti esclusi e quelli inclusi, secondo me, non è sufficiente. È grossolano. È un errore madornale e da dilettanti. Non può essere considerato accountable, come direbbero gli anglofoni.

A queste linee guida, se il blocco di partenza del diagramma di flusso è il “punto 0”, manca il “punto -1”.

Forse, la più evidente mancanza di queste linee guida, è aver perso l’opportunità di consacrare una volta per tutte la protezione dei dati come aspetto strategico, tagliando i ponti con la scuola di pensiero che la vede ancora come adempimento burocratico che non apporta valore aggiunto.

La simbiosi tra il registro del responsabile e la valutazione d’impatto sulla protezione dei dati

La simbiosi tra il registro del responsabile e la valutazione d’impatto sulla protezione dei dati

Sono due adempimenti richiesti dal GDPR con peculiari caratteristiche che si realizzano attraverso la formazione di due documenti distinti, solamente se ricorrono i casi specificati. Ma a ben vedere, il loro legame è molto più profondo di quanto possa apparire e potrebbe essere utile considerarli “simbiotici”.

In biologia la simbiosi è un rapporto che s’instaura a livello intimo tra due soggetti e che tende a legarli in maniera forte e mutuale, con lo scopo ultimo di portare un vantaggio reciproco a entrambi nel corso del tempo e dell’evoluzione del contesto di riferimento.

È possibile, dunque, trovare questo tipo di connessione tra il registro del responsabile del trattamento e la valutazione d’impatto sulla protezione dei dati? E se è possibile, quanto sarebbe utile farlo?

Questa è la domanda con cui sono uscito dal seminario organizzato da AssoDPO a Milano lo scorso 26 ottobre, durante il quale si è ampiamente dibattuto sullo stato dell’applicazione del GDPR a circa 200 giorni dalla sua definitiva applicazione diretta su tutto il territorio dell’Unione. Molte informazioni utili e un importante spunto di riflessione, appunto.

Come mia abitudine, parto dal considerare i principali riferimenti normativi, per circoscrivere il discorso che altrimenti rischierebbe di divagare troppo. Vi invito, perciò, a considerare il secondo e quinto paragrafo dell’art. 30 e il primo dell’art. 35, avendo sempre in mente i precetti dell’art. 5.

Quando parlo di simbiosi intendo dire che esiste uno stretto rapporto che lega il registro del trattamento del responsabile alla valutazione d’impatto svolta dal titolare e viceversa e, in un’ottica complessiva di gestione del rischio, non trovo poi così assurdo ipotizzare che il contenuto del primo, dovrebbe essere considerato nella seconda, fermo restando che è anche dai risultati della valutazione d’impatto che deriva l’adozione del registro stesso.

Così, se è vero che un titolare che, a seguito della valutazione d’impatto, individuati rischi elevati per i diritti e le libertà degli interessati deve richiedere l’adozione di un registro da parte del suo responsabile anche se questo potrebbe applicare (al netto del rapporto con il titolare) la deroga prevista dal quinto paragrafo dell’art. 30, trovo altrettanto vero che, in un complessivo sistema di gestione dei rischi, il titolare abbia il legittimo interesse, per non dire il diritto, di consultare il registro del responsabile per venire a conoscenza di quali siano gli eventuali altri titolari con cui ha rapporti.

Questo perché oggi non è possibile non considerare anche gli “altri titolari” come una fonte di rischio. Così come in un condominio con locali a uso commerciale, quando si redigono i DVR per la sicurezza sul lavoro, non si possono non considerare anche le altre attività presenti per via delle conseguenze sull’affollamento complessivo in caso di evacuazione o con effetti diretti sulla valutazione di rischi derivanti dalla vicinanza con obiettivi “sensibili” per rischi di rapina o attacchi terroristici (pensiamo, per esempio, se nello stesso stabile ci fossero al piano terra una filiale di una banca o delle poste, e ai piani superiori un laboratorio di oreficeria e un’ambasciata o un consolato), analogamente si dovrebbero considerare gli altri titolari per via dalla loro “attitudine” a essere bersaglio di tentativi di violazioni di dati.

Proviamo a pensare al caso in cui un’azienda che si occupa di conservazione e archiviazione documentale. In pratica l’attività consiste nell’offrire uno spazio fisico in cui è possibile lasciare i propri documenti che saranno conservati e archiviati secondo logiche predefinite su scaffali all’interno di capannoni.

Bene, è chiaro che se oltre ai nostri, ci fossero anche documenti di altri titolari, penso ci sarebbe utile valutare il rischio che qualcuno che si introduce nell’archivio per danneggiare uno degli altri, possa accidentalmente danneggiare anche noi. E questa valutazione ritengo che possa essere utile per una protezione dei dati in senso lato, anche in caso di dati informatici e in caso di dati non personali in senso stretto (bilanci societari, brevetti, progetti di vario genere…).

E quindi lo chiedo di nuovo: esiste una simbiosi tra il registro del responsabile e la valutazione d’impatto sulla protezione dei dati personali?

A mio modo di vedere, la risposta è affermativa: sì, perché se conosco il contesto di riferimento posso valutare e gestire il rischio.

A questo punto, quindi,  la questione si sposta sulla volontà del responsabile di rendere disponibile l’informazione. Gli strumenti contrattuali e tecnici per assistere il titolare nella sua valutazione senza necessariamente diffondere informazioni che il responsabile potrebbe voler o dover mantenere riservate esistono.

Organizzarsi è prevenire

Organizzarsi è prevenire

OgranizzazioneSpesso il tempo impiegato per organizzare bene un’attività è visto come una perdita in questioni burocratiche. Fino a che non succede qualcosa…

Non neghiamolo: compliance, gestione del rischio e attività di controllo interne sono tutte cose che alla maggior parte degli imprenditori suonano come inutili perdite di tempo che producono scartoffie e burocrazia che non porta nessun vantaggio e nessun beneficio produttivo.

Questa credenza popolare spesso porta gli stessi soggetti a ritenere i consulenti come me e i miei colleghi soltanto degli artisti del documento, il cui unico compito è scrivere qualcosa che è dovuto per legge, solo perché così, con quel manufatto, si sentono al sicuro da eventuali sanzioni… Come se fosse un oggetto magico, insomma.

Quello che – ahimè – non capiscono, è che non è la carta ad avere il potere, ma il suo contenuto.

Un contenuto che è frutto di esperienza e lavoro, e che per essere efficace (e solo in secondo luogo efficiente) ha bisogno che si investa adeguatamente del tempo per fare in modo che abbia effetti sull’organizzazione aziendale.

Voglio offrirvi un esempio e mi limiterò a citare i fatti e a fare alcune considerazioni.

Un soggetto A, tempo fa mi contattò per richiedere assistenza in tema di protezione dei dati. La sua attività prevedeva (e prevede tutt’ora) tra le altre cose la raccolta e l’elaborazione di determinati dati personali.

In un’ottica di gestione del rischio e di prevenzione di eventuali reclami, suggerii di adottare una procedura per l’eventuale restituzione dei dati agli interessati, in modo che si potesse essere ragionevolmente sicuri di consegnarli soltanto a loro o a persone autorizzate.

All’epoca, il soggetto A mi disse che non era il caso, perché avrebbe portato via parecchio tempo e non sarebbe stato agevole per i suoi clienti.

Capita così che alcuni giorni fa un soggetto ignoto si presenti al soggetto A, identificandosi come un congiunto di un suo cliente, e facendosi consegnare le copie dei documenti di quest’ultimo. Il cliente, scoperto l’accaduto, si è – giustamente – arrabbiato parecchio.

Quanto è successo non è molto chiaro, però si possono fare due considerazioni:

  • C’è stata una sostituzione di persona, che ha indotto fraudolentemente il soggetto A ad agire come descritto.
  • C’è stata una violazione dei dati personali del cliente.

Sulla base di questo, si può certamente affermare che:

  • Se fosse stata adottata e applicata una procedura per la restituzione dei documenti, che prevedesse un’autorizzazione specifica e preventiva da parte dell’interessato o un altro sistema di delega da parte sua, questo tipo di violazione non si sarebbe verificato (o, almeno, non in questo modo).
  • La mancanza della procedura è stata, di fatto, una inadeguatezza delle misure organizzative di sicurezza. Fortunatamente si può escludere un risvolto penale (mi riferisco all’art. 167 del Codice, visto che si tratta di comunicazione o diffusione) perché la violazione non è stata commessa a vantaggio o nell’interesse del soggetto A, che dal suo punto di vista è stato raggirato.
  • Il soggetto A ha dovuto contattare il sottoscritto e altri specialisti per vedersi rassicurare e farsi consigliare al meglio su eventuali strategie difensive, preoccupato che potesse accadere qualcosa a livello legale.

Al di là di qualsiasi altra discussione, il messaggio che vorrei che passasse forte e chiaro è che i professionisti come me non servono a procurare alle imprese un prodotto cartaceo che serve (più o meno) in caso di emergenza. Il nostro scopo è consigliare la strategia migliore, considerato il contesto di riferimento, per applicare al meglio una disposizione di legge i cui effetti non sono discutibili, al contrario dei metodi per ottenerli.

Il metodo migliore è sempre lo stesso: organizzarsi.

Citando Machiavelli, il fine giustifica i mezzi. Ovviamente se non si investe sui mezzi (organizzazione adeguata), non ci si può aspettare di raggiungere il fine sperato (fare business in tranquillità).

Diritti dell’interessato o interessi del titolare?

Diritti dell’interessato o interessi del titolare?

Nell’era dell’economia digitale, dell’industria 4.0, dell’IoT, dei prodotti e dei servizi personalizzati e della società dell’informazione, possiamo ancora pensare che questi due concetti siano entità distinte?

La nuova norma europea sulla protezione dei dati personali (c.d. GDPR) rappresenta indubbiamente un passo in avanti verso la tutela dei diritti fondamentali e assoluti di tutti i cittadini. In una società civile e moderna, questo aspetto non dovrebbe essere sottovalutato e atti legislativi come questo dovrebbero essere visti e applicati da tutti, in un’ottica di rispetto reciproco, di correttezza, di trasparenza e di responsabilità verso gli altri.

Purtroppo, però, sappiamo bene che, soprattutto nel mondo delle imprese, si lotta per sopravvivere e non sempre c’è molto spazio per gli scrupoli, prediligendo la politica della massimizzazione del profitto a discapito di altri aspetti che, ognuno a vario titolo, sono o potrebbero essere addirittura più rilevanti.

E così, tutti quei precetti normativi che trattano specificamente dei diritti degli interessati, rischiano di vedersi oscurare da atteggiamenti egoistici da parte delle aziende, che verosimilmente continueranno a vedere la privacy come un fastidioso adempimento burocratico inefficiente dal punto di vista economico (nel senso che genera più costi che ricavi).

L’errore di fondo delle imprese è proprio quello di non considerare l’argomento da diverse prospettive. Certo, anche il testo normativo non aiuta, visto che è farcito di obblighi e che, ammettiamolo, le cose obbligate ci infastidiscono parecchio. Se poi consideriamo anche che ancora troppo spesso si parla di “privacy” e non di “protezione dei dati (personali)”, capiamo bene perché il rischio di aver scritto l’ennesima norma che, pur scritta bene, è generalmente non applicata è decisamente concreto.

Ma se provassimo a osservare la questione da un altro punto di vista? Se ci soffermassimo a riflettere sul fatto che oggi, il più grande patrimonio di cui un’azienda possa disporre è composto da dati da strutturare in informazioni? Se si capisse e si diffondesse la linea di pensiero che, senza informazioni non si può determinare una strategia di mercato, né una di miglioramento delle risorse umane, né nessun altro tipo di attività che risulti efficace sul medio e lungo periodo?

Se si iniziasse a pensare non più ai diritti degli interessati, ma agli interessi del titolare, lo stesso testo normativo perderebbe il suo spirito coercitivo in luogo di uno persuasivo, ottenendo probabilmente risultati migliori e più diffusi. Siamo obiettivi, a chi non piacerebbe:

  • Avere il controllo totale delle informazioni con cui realizza la propria attività, conoscendone l’intero ciclo di vita e a chi sono affidate (alias “diritto di accesso”)?
  • Avere i dati sempre aggiornati (alias “diritto di rettifica”) sulla base dei quali modificare le proprie scelte e politiche?
  • Evitare di conservare dati inutili, inesatti, obsoleti o il cui trattamento espone al rischio di essere sanzionati (alias “diritto alla cancellazione”), con la diretta conseguenza di limitare i costi legati all’infrastruttura di conservazione (meno dati significa meno spazio di archiviazione)?
  • Poter trasmettere interi database con il minimo sforzo (alias “diritto alla portabilità”)?
  • Avere la ragionevole certezza di poter fare quello che si vuole, perché sicuri di essere nella piena legalità e nel pieno diritto di poterlo fare, senza che altri possano opporsi?

Oggi parlare di “privacy” è anacronistico. Oggi si deve parlare di “protezione dei dati personali”, per difendere diritti, libertà e dignità delle persone, per contribuire attivamente agli interessi della società in cui viviamo e per tutelare i legittimi interessi dei titolari (tra cui anche quelli economici), all’interno di un sistema che è sempre più interdipendente [1].

In questi termini, la norma acquista le sembianze di una “linea guida” e ne si apprezza appieno il valore aggiunto.


[1] In proposito, si veda anche il mio precedente articolo su argomento simile.

A chi serve il DPO?

chi serve il DPO?A chi serve il DPO?

Il DPO è una figura su cui si discute parecchio e da tempo. Tuttavia c’è ancora un velo di insicurezza circa gli ambiti merceologici in cui dovrebbe essere sicuramente nominato.

A chi serve il DPO? O meglio: in quali casi deve essere nominato?

La domanda sembra scontata, perché bastano pochi minuti di ricerca per imbattersi in uno dei tanti “interessanti articoli” sull’argomento che sono fioriti nell’ultimo biennio, ma che – diciamocelo – non hanno aggiunto nulla di più di quanto non fosse già stato chiaramente detto dal GDPR e successivamente descritto dalle linee guida di dicembre 2016.

Una critica forte che mi sento di fare è che in questo ultimo lustro, pochi si sono posti davvero il problema di determinare a chi serve il DPO, ma ricade in quelle categorie di soggetti titolari o responsabili del trattamento per i quali la nomina sarebbe obbligatoria, ma in modo non così immediatamente palese.

È pacifico e scontato che un ospedale debba nominarlo, così come deve farlo una pubblica amministrazione e, allo stesso modo, chi fornisce servizi di vigilanza da remoto. Ma gli altri? A chi serve il DPO?

Quanto segue è tratto da un episodio che mi è accaduto negli scorsi giorni.

Mi trovavo in cassa al supermercato e ho notato un cartello che, insieme ad altri avvisi, ricordava che il Codice Penale vieta la somministrazione di bevande alcooliche ai minori di sedici anni o agli infermi di mente. Per comodità, riporto integralmente il testo della norma:

Codice Penale – Art. 689.
Somministrazione di bevande alcooliche a minori o a infermi di mente.

L’esercente un’osteria o un altro pubblico spaccio di cibi o di bevande, il quale somministra, in un luogo pubblico o aperto al pubblico, bevande alcooliche a un minore degli anni sedici, o a persona che appaia affetta da malattia di mente, o che si trovi in manifeste condizioni di deficienza psichica a causa di un’altra infermità, è punito con l’arresto fino a un anno.

La stessa pena di cui al primo comma si applica a chi pone in essere una delle condotte di cui al medesimo comma, attraverso distributori automatici che non consentano la rilevazione dei dati anagrafici dell’utilizzatore mediante sistemi di lettura ottica dei documenti. La pena di cui al periodo precedente non si applica qualora sia presente sul posto personale incaricato di effettuare il controllo dei dati anagrafici.

Se il fatto di cui al primo comma è commesso più di una volta si applica anche la sanzione amministrativa pecuniaria da 1.000 euro a 25.000 euro con la sospensione dell’attività per tre mesi.

Se dal fatto deriva l’ubriachezza, la pena è aumentata.

La condanna importa la sospensione dall’esercizio.

Fermi tutti! Abbiamo letto bene?

In pratica il Codice Penale ci sta dicendo che chi somministra (vende) alcoolici deve controllare un documento d’identità valido per accertarsi dell’età dell’acquirente/consumatore e deve accertarsi del suo stato di salute psichica, perché se dal controllo risultano determinate informazioni, allora non può vendere nemmeno una birra leggera. Tra l’altro, è anche contemplata la possibilità di avvalersi di incaricati per espletare il controllo e ci sono precise indicazioni anche per i distributori automatici.

Incredulo, ho approfondito la ricerca e mi sono imbattuto in più d’una sentenza della Cassazione, che sostanzialmente confermavano quanto scritto nel Codice; una in particolare (Sentenza n° 46334 del 2013, emessa dalla V Sezione Penale), citando anche la Legge 125/2001, arriva a dire che:

La natura di reato di pericolo della somministrazione di bevande alcooliche a minori di anni sedici impone una effettiva e necessaria diligenza nell’accertamento dell’età del consumatore, atteggiamento che, nel caso in cui la somministrazione sia stata preceduta dalla richiesta, da parte del cameriere addetto alle consumazioni, dell’età dell’avventore, non può essere soddisfatto né dalla presenza nel locale di cartelli indicanti il divieto di erogazione di bevande alcooliche ai minori, né limitandosi a prendere atto della risposta del cliente sul superamento dell’età richiesta, ove ciò non corrisponda al vero.

Si tratta di un obbligo che grava innanzitutto sul soggetto che gestisce l’esercizio commerciale in cui si pratica la vendita al pubblico di bevande alcoliche, assicurandone la somministrazione, su richiesta dei clienti, personalmente o attraverso forme di organizzazione del lavoro incentrate sull’impiego di uno o più dipendenti retribuiti.

Per completezza, riporto anche l’articolo della citata legge:

Legge 125/2001 – Art. 14-ter: Introduzione del divieto di vendita di bevande alcoliche a minori.

1. Chiunque vende bevande alcoliche ha l’obbligo di chiedere all’acquirente, all’atto dell’acquisto, l’esibizione di un documento di identità, tranne che nei casi in cui la maggiore età dell’acquirente sia manifesta.

2. Salvo che il fatto non costituisca reato, si applica la sanzione amministrativa pecuniaria da 250 a 1.000 euro a chiunque vende o somministra bevande alcoliche ai minori di anni diciotto. Se il fatto è commesso più di una volta si applica la sanzione amministrativa pecuniaria da 500 a 2.000 euro con la sospensione dell’attività da quindici giorni a tre mesi.

Vediamo come le norme italiane e la giurisprudenza della Cassazione confermano quanto scritto poco sopra: l’esercente deve controllare.

Ora aggiungiamo quanto scritto nel GDPR e nelle linee guida, in particolare l’art. 37 del primo e i concetti di “attività principale”, “larga scala” e “monitoraggio regolare e sistematico”.

Anche se sembra strano, considerate tutte le norme, le linee guida e le sentenze, appare chiaro che:

  1. Chi vende o somministra alcoolici deve controllare i documenti e lo stato di salute psichica del cliente.
  2. Quest’obbligo – che a mio modo di vedere persegue finalità di pubblica sicurezza e interesse, oltre che di tutela della salute del cliente stesso – rende l’attività di controllo un’attività principale, perché condizione essenziale per la vendita o la somministrazione (salvo voler andare contro disposizioni di legge).
  3. Conseguentemente, il trattamento dei dati è effettuato su larga scala (perché coinvolge praticamente tutti i soggetti che intendono acquistare la bevanda alcoolica) ed è svolto in modo regolare e sistematico (poiché deve essere fatto almeno la prima volta che si presenta un nuovo cliente e deve essere fatto per adempiere a norme cogenti).
  4. I dati raccolti possono riguardare minorenni e possono essere sensibili o particolari.

Se poi consideriamo che, in presenza di un distributore automatico, il trattamento dei dati implica anche un processo decisionale automatizzato che produce effetti giuridici sull’interessato (cioè l’acquisto della proprietà, o meno, della bevanda alcoolica), è chiaro che l’intero processo di vendita si basa su un trattamento dei dati personali che è tutt’altro che poco rischioso (in termini di responsabilità e gestione dei rischi sui diritti degli interessati).

E se al distributore automatico si può ragionevolmente immaginare di essere in un contesto “riservato”, altrettanto non si può dire di un locale aperto al pubblico. Possiamo ragionevolmente affermare che c’è il rischio di mettere in forte imbarazzo l’acquirente nel caso non si volesse vendere il prodotto alcoolico perché lo riteniamo in “stato di deficienza psichica” (magari perché malato, oppure perché ebbro); ho usato il termine “forte imbarazzo” per evitare di scrivere “ledere la sua personalità” in presenza di altre persone.

A questo punto la domanda è:

A chi serve il DPO? Se ho un bar, un ristorante o un distributore automatico e vendo alcoolici, devo nominarlo?

Ebbene, se non siete giocatori d’azzardo e non vi piace rischiare di incorrere in sanzioni, la mia risposta potrebbe non piacervi.

Perché è .

Personalmente, ritengo che questo sia uno dei casi in cui è chiaro che quando si scrivono le regole, talvolta ci si dimentica che poi qualcuno dovrebbe anche applicarle. Uscendo dal ruolo di consulente privacy, non nascondo la mia perplessità di fronte a quanto è così chiaramente scritto nei testi normativi.

Forse, in questo caso, l’errore più grosso lo hanno commesso i legislatori.