Con molto piacere intervistiamo sul blog l’Avvocato Cecilia Cavagna e il Perito Matteo Gadotti, che collaborano insieme dagli uffici di Aries Workspace, occupandosi di consulenza legale, privacy ed informatica per le aziende.
Benvenuti Avv. Cecilia Cavagna e Per. Ind. Matteo Gadotti, è un piacere ospitarvi sul nostro blog. Come avete iniziato a collaborare?
Ci siamo conosciuti in occasione di corsi specifici in materia privacy e abbiamo iniziato a collaborare per fornire ai nostri clienti un servizio di consulenza completo con competenze di tipo giuridico e informatico nell’ambito della tutela dei dati personali.
La nostra collaborazione è importante perché i dati, da gestire con attenzione e in sicurezza, vengono oggigiorno trattati prevalentemente con sistemi informatici.
Aiutiamo le aziende e i professionisti a compiere un’analisi dei trattamenti, una mappatura del dato e a sviluppare delle procedure per gestire al meglio le informazioni in conformità alla normativa privacy.
Offriamo inoltre attività di formazione per trasmettere maggiore consapevolezza nell’utilizzo dei sistemi informatici.
Che cos’è il GDPR e quando influisce in un’attività?
Il General Data Protection Regulation (in italiano Regolamento Generale sulla Protezione dei Dati) è la normativa europea che si occupa della protezione delle persone fisiche con riguardo al trattamento dei dati personali e alla libera circolazione di questi dati. È entrata in vigore nel maggio 2016 e ha trovato concreta applicazione a partire da maggio del 2018.
Benché la norma fosse direttamente applicabile anche senza necessità di recepimento il nostro legislatore ha provveduto, con il decreto legislativo 10 agosto 2018, n. 101, ad armonizzare la normativa nazionale con quella europea aggiornando il nostro Codice della privacy. Malgrado il regolamento europeo risalga a cinque anni fa siamo consapevoli che tante aziende si sono messe al lavoro per essere in regola con il GDPR, ma che molte altre devono ancora farlo.
Un libero professionista/imprenditore come si deve comportare per rispettare la normativa sulla privacy?
Le prime domande da porsi sono:
Quale tipo di dati tratterò nello svolgimento della mia attività? Chi sono i soggetti interessati al trattamento? Quali sono le finalità del trattamento? e soprattutto questo trattamento è lecito?
Dati questi primi rilevi si dovrà poi approfondire il flusso dei dati e ragionare su come sia possibile garantire un livello di sicurezza adeguato al rischio.
Sarà poi necessario stabilire se sia o meno necessaria una valutazione di impatto e nel caso predisporla; preparare e mantenere aggiornato il registro dei trattamenti; predisporre e verificare le misure di sicurezza; valutare l’idoneità dei soggetti a cui eventualmente deleghiamo dei trattamenti e procedere alla loro nomina come responsabili del trattamento; nonché predisporre le opportune verifiche periodiche; individuare e formare gli incaricati al trattamento con individuazione per ognuno della diversa tipologia di accesso ai dati; predisporre l’organigramma privacy, elaborare e verificare la correttezza ed efficacia delle procedure, predisporre l’informativa e portarla a conoscenza degli interessati, richiedere il consenso (ove necessario) ecc.
Chiaramente questo è solo un elenco esemplificativo e non esaustivo; l’attività di analisi va poi valutata in concreto sulle singole realtà.
Ci sono dei principi base da seguire per la gestione della sicurezza?
Alla base della gestione della sicurezza informatica ci sono tre principi fondamentali:
Principio della disponibilità
I dati devono essere disponibili e, in caso di data breach, devono poter essere ripristinati. Anche la semplice perdita del dato è infatti considerata un data breach.
Qualsiasi violazione dei dati personali deve essere sempre documentata e in caso di data breach, che presenti dei rischi per i diritti e le libertà delle persone fisiche, il titolare è tenuto a fare una denuncia, entro 72 ore all’Autorità Garante. Fra le informazioni che il titolare deve fornire c’è anche la descrizione delle misure di sicurezza adottate o di cui si propone l’adozione per porre rimedio alla violazione.
Principio della riservatezza
I dati e le risorse devono essere preservate dal possibile utilizzo, o accesso, da parte di soggetti non autorizzati. La riservatezza deve essere assicurata lungo tutte le fasi di vita del dato, a partire dalla sua raccolta.
Principio dell’integrità dell’informazione
Si tratta della capacità di mantenere la veridicità dei dati e delle risorse, e di garantire che non siano in alcun modo modificate o cancellate, se non ad opera di soggetti autorizzati.
In cosa consiste il principio chiamato di accountability?
Si tratta di una delle principali novità del GDPR; sostanzialmente si affida al Titolare del trattamento il compito di decidere autonomamente le modalità, le garanzie e i limiti del trattamento. Serve per “responsabilizzare”.
Ad esempio, non ci sono più delle misure minime di sicurezza a cui conformarsi; sarà il titolare a dover valutare nel caso concreto quali siano le misure idonee ed adeguate al rischio.
L’intervento delle autorità di controllo è quindi principalmente “ex post”, ossia successivo alle determinazioni autonomamente assunte dal Titolare. Alcuni traducono il termine “accountability” con l’espressione “rendicontazione” proprio per sottolineare che il Titolare non deve solo rispettare la normativa privacy ma deve anche essere in grado di dimostrare la sua conformità.
Collegato all’accountability è anche il principio di “privacy by design e privacy by default”, che impone alle aziende l’obbligo di prevedere, fin da subito (prima del trattamento), gli strumenti e le garanzie necessarie al soddisfacimento dei requisiti del regolamento europeo e al rispetto dei diritti dell’interessato.
Deve essere nominato un Responsabile Privacy?
La normativa prevede la figura del Responsabile del trattamento ed introduce quella del Responsabile della protezione dei dati (cd DPO – Data Protection Officer).
Il primo è generalmente un soggetto esterno a cui il titolare delega un certo aspetto del trattamento. L’esempio più classico è quello del consulente del lavoro al quale viene affidato il compito di predisporre le buste paga. Il Consulente del lavoro effettua quindi un trattamento di dati personali ex art. 9 del Reg. Ue 2016/679 dei lavoratori per conto dell’azienda, che è la titolare del trattamento.
Il responsabile della protezione dei dati è invece un soggetto che conosce approfonditamente la normativa e la prassi in materia di protezione dei dati e – cercando di riassumere – ha il compito di informare e fornire consulenza al titolare o responsabile del trattamento e ai suoi incaricati; sorveglia l’osservanza del regolamento e delle altre norme previste in materia di dati personali; coopera e funge da punto di contatto con l’autorità di controllo e fornisce, se viene richiesto, un parere in merito alla valutazione d’impatto.
La nomina di questa figura è obbligatoria solo in alcuni casi, ad esempio, quando il trattamento è effettuato da un’autorità pubblica o da un organismo pubblico; quando le attività principali del titolare o del responsabile del trattamento consistono in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala; oppure quando le attività principali del titolare o del responsabile del trattamento consistono nel trattamento, su larga scala, di categorie particolari di dati personali di cui all’articolo 9 o di dati relativi a condanne penali e a reati di cui all’articolo 10 del Reg. Ue.
Il ruolo del DPO è quello di tutelare i dati personali, non gli interessi del titolare del trattamento; deve adempiere alle proprie funzioni in piena autonomia ed indipendenza, e in assenza di conflitti di interesse.
Quando deve essere predisposto il registro dei trattamenti?
Il Registro è un documento contenente le principali informazioni relative alle operazioni di trattamento; ed è anche uno dei principali elementi di accountability. Genericamente possiamo dire che è obbligatorio per le imprese o organizzazioni con almeno 250 dipendenti e per quei titolari/responsabili che effettuano trattamenti che possano presentare un rischio, anche non elevato, per i diritti e le libertà dell’interessato. Il Garante ne raccomanda in ogni caso la redazione a tutti i titolari e responsabili del trattamento a prescindere dai casi in cui è obbligatorio.
E in tutto questo, il Covid19 ha portato dei cambiamenti?
Sicuramente durante tutto il periodo pandemico il lavoro si è informatizzato sempre più.
Con la diffusione del lavoro da remoto abbiamo assistito ad una revisione dei processi operativi e alla necessità di implementare le procedure privacy ed incrementare notevolmente le misure di sicurezza.
Un elemento fondamentale è sicuramente la sicurezza attiva data dalla formazione e dalla consapevolezza degli utilizzatori/utenti dei sistemi informativi.
Anche l’introduzione del Green Pass ha avuto dei risvolti significativi in tema di privacy.
Gli interessi in gioco sono tanti: da un lato l’interesse al controllo e al contenimento della diffusione del Covid, dall’altro la necessità di garantire un’adeguata tutela dei diritti fondamenti, quali la protezione dei dati personali ma anche la libertà di circolazione delle persone e della libertà d’iniziativa economica.
Un consiglio per le aziende che devono ancora rivedere la gestione della privacy aziendale?
Il consiglio è di attivarsi e fare una autoanalisi dei trattamenti effettuati e verificare quali misure sono necessarie per tutelare i dati personali e per essere conformi alla normativa privacy.
Ricordiamoci sempre che la norma è volta alla tutela dei dati della persona fisica e non dei dati aziendali; ciò però non toglie che tutelando il flusso dei dati personali indirettamente vengono tutelati anche i dati aziendali; spesso infatti questi dati sono veicolati per il tramite dei medesimi sistemi. Ecco perché ci piace pensare alla normativa privacy anche come ad un’occasione per migliorare le procedure e la sicurezza dei sistemi informativi aziendali nel loro complesso.
Ringraziamo l’Avv. Cecilia Cavagna e il Per.ind. Matteo Gadotti per il tempo che ci hanno dedicato per raccontarci le ultime novità che riguardano la privacy per le aziende.
