di Antonio Serriello

ll modello organizzativo privacy in materia di protezione dei dati personali è uno strumento che fornisce al Titolare del trattamento una gestione responsabile e autonoma degli adempimenti in materia di protezione dei dati personali.

Nel suo intervento al Convegno Privacy Unolegal 2017, Paolo Balboni – Presidente dell’European Privacy Association, Cloud Computing Sector Director e Responsabile Affari Esteri dell’Istituto Italiano Privacy – ha affrontato il tema del Modello Organizzativo in materia di protezione dei dati personali in relazione al nuovo GDPR (Regolamento Privacy UE 2016/679). 

Per Balboni il primo concetto da chiarire è quello di dato personale”. 

Dato personale” è qualsiasi informazione direttamente o indirettamente ricollegabile ad un individuo. 

A fine 2016, la Corte di Giustizia dell’Unione Europea non solo ha stabilito che l’IP è un dato personale, ma che dato personale è anche l’IP dinamico, così come in precedenza il Garante aveva identificato il MAC address come dato personale. 

Un altro punto fondamentale è la difficoltà nel tracciare i limiti del concetto di dato anonimo. Il dato è anonimo non solo quando non è più ricollegabile ad un individuo attraverso le informazioni presenti nel patrimonio informativo del titolare, ma anche quando il collegamento non è possibile tramite il patrimonio informativo di terze parti – precisa Balboni.

 

Che cosa si intende per trattamento dei “dati personali”

Nel 90% dei casi quando parliamo di informazioni parliamo di dati personali e quando parliamo di attività compiute sulle informazioni parliamo di trattamento.

Il trattamento dei dati personali è anche semplicemente la visualizzazione. Per “trattamento” si indica ogni tipo di intervento sul dato personale – chiarisce Balboni.

Frequentemente le società fanno riferimento a fornitori di servizi in cloud, ma tendono a verificare solo che il fornitore sia stabilito in Europa, senza controllare dove siano ubicati i server.

La verifica successiva che le aziende dovrebbe porre in essere è relativa alla  localizzazione dello spazio in cui opera il team che si occupa dell’assistenza, perché potrebbe aver sede fuori dall’Unione Europea e questo servizio, anche solo di collegamento per fornire manutenzione (anche solo in visualizzazione) è già da considerarsi trattamento dei dati personali che avviene al di fuori dell’Unione Europea.

 

I 3 elementi di cambiamento nel Regolamento Privacy UE 2016/679:

 

 

1. La Privacy diventa “risk-based”

L’art. 32 del Regolamento fa riferimento alla valutazione del rischio. Tenuto conto della best available technology dei costi (approccio pragmatico), dell’ambiente di trattamento dei dati, dei soggetti coinvolti, del perimetro di circolazione, del rischio (asset dato personale) e del bene giuridico tutelato (diritto alla Privacy e alla tutela dei dati personali) occorre porre in essere misure adeguate.

Fino a oggi – sottolinea Balboni – il metro di riferimento è stato l’allegato B come misura minima sufficiente.

Oggi, invece, è necessario che i legali si abituino ad effettuare valutazioni del rischio – ad esempio utilizzando strumenti gestionali come Tool Privacy per effettuarla – ed entrare in partnership.

È fondamentale aver chiaro che:

  • un legale puro non può gestire la compliance al GDPR senza l’aiuto anche di esperti di IT/Security e di soluzioni informatiche volte alla gestione dell’allineamento degli obblighi Privacy;
  • occorre tracciare i processi Privacy secondo il principio di Data Protection By Design già allineati al Regolamento GDPR, e questo può avvenire solo sulla base della valutazione del rischio. Un concetto che ritroviamo non solo nell’art. 32, ma anche ad es. negli artt. 25 e 35, a testimonianza di come la normativa Privacy stia cambiando profondamente con il GDPR.

 

2. Le sanzioni e i mezzi di ricorso previste dal GDPR Privacy

L’incremento delle sanzioni è cosa ormai nota:

Fascia 1: fino a 10 000 000 EUR, o per le imprese, fino al 2% del fatturato mondiale totale annuo dell’esercizio precedente. Si rientra nella prima fascia di sanzioni, per esempio, quando non vengono poste in essere adeguate misure di sicurezza sui dati.

Fascia 2: fino a 20 000 000, o per le imprese, fino al 4% del fatturato mondiale totale  annuo dell’esercizio precedente, se superiore (ad esempio si rientra nella seconda fascia di sanzioni quando non vengono soddisfatti i diritti del soggetto interessato).

Meno nota è la possibile estensione delle modalità di ricorso dei soggetti interessati – segnala Balboni.

Il Regolamento apre infatti all’azione collettiva Privacy: sarà data la possibilità a soggetti terzi, associazioni dei consumatori, Privacy advocacy e non solo, di rappresentare interessi collettivi davanti alle autorità competenti, proponendo class action.

 

2.1 L’articolo 17: diritto alla cancellazione

Balboni sostiene che siano due gli elementi da tenere in considerazione:

  1. il diritto alla cancellazione dei dati non è un diritto nuovo. Sul punto è fondamentale riflettere su come sono strutturati i database aziendali, dove sono collocati i dati, quali siano le finalità per cui sono stati raccolti tali dati e la relativa base giuridica del trattamento;
  2. il diritto alla cancellazione dei dati non è un diritto assoluto: nello specifico, un soggetto interessato può scrivere una e-mail ad un’organizzazione esigendo la cancellazione dei dati, ma l’organizzazione dovrà verificare se i dati trattati debbano o meno essere conservati.

Per questo diventa fondamentale, nella fase di preparazione al Nuovo Regolamento Privacy UE (GDPR), creare delle procedure e affidarsi a soluzioni tecnologiche Privacy che possano mappare i dati in entrata e seguirli nei vari applicativi (come ad esempio il nuovo Gestionale di Unolegal GoPrivacy).

 

2.2 L’art. 18: il diritto alla limitazione del trattamento.

Balboni ricorda che, nel caso in cui un soggetto interessato dubiti della liceità di un’attività svolta sui dati, può chiederne la limitazione del trattamento.

I Garanti Privacy europei, in relative linee guida, hanno indicato la possibilità di procedere spostando il dato in un altro database, oppure di inibire il trattamento del dato attraverso l’impiego di un Software Gestionale Privacy, ma la maggior parte dei Gestionali Privacy fino ad oggi non avevano una granularità tale da inibire i trattamenti in maniera selettiva.

2.3 L’art. 20: il diritto alla portabilità dei dati personali.

L’art. 20, approfondito sino ad ora solo parzialmente dai Garanti Privacy EU, attiene alla possibilità del soggetto interessato di richiedere i propri dati in formato strutturato di uso comune e leggibile da dispositivo automatico – e quindi riprenderne il possesso – oppure chiederne la migrazione verso un altro fornitore. Lo scopo di questo diritto è restituire il controllo dei dati al soggetto interessato cercando altresì di debellare il cosiddetto locking tecnologico: ovvero il rapporto di dipendenza che si crea tra utente e fornitore del servizio, tale per cui la migrazione verso un altro fornitore viene resa complicata.

 

3. Principio di “Accountability”: responsabilizzazione.

“Occorre registrare le transazioni Privacy” specifica Balboni. Ciò vuol dire che per ogni trattamento si possa risalire ai presupposti giuridici: l’informativa, la base giuridica su cui si fonda il trattamento (es. il consenso, il legittimo interesse, l’obbligo contrattuale, l’obbligo di legge), il periodo di conservazione di tali dati, ecc… La Privacy deve essere gestita a livello di modello ciclico, pensiamo al “ciclo di Deming: Plan-Do-Check-Act”, ovvero il ciclo di continuo miglioramento: lo stesso dovrebbe avvenire dal punto di vista Privacy – insiste Balboni. Il modello che abbiamo creato è sintetizzabile in 6 macro-step, ma dietro questo ciclo ci sono più di 100 controlli di dettaglio:

  1. principio di Accountability;
  2. processi by design allineati al Regolamento;
  3. la Valutazione del Rischio Privacy afferente ai trattamenti;
  4. la scrittura delle informative, le Privacy Policy;
  5. la scelta del presupposto giuridico alla base del trattamento;
  6. infine, la certezza di poter riscontrare entro un mese, in maniera efficace, i diritti del soggetto interessato.

 

3.1 Art. 37: designazione del responsabile della protezione dei dati personali

Occorre ora guardare la figura del Data Protection Officer, che necessita, come minimo, di due qualità oggettive e di una qualità soggettiva.

Le oggettive includono:

  • la competenze giudica per applicare una legge;
  • la competenza tecnica – e di security – per poter operare il risk assessment, la valutazione del rischio e applicare misure di sicurezza adeguate.

La qualità soggettiva resta nel fatto che questa figura abbia ottime capacità comunicative: abilità di interagire sia con i dipendenti che con i vertici aziendali a cui deve riportare e disponibilità al fine di evitare di restare isolata all’interno dell’azienda e rischiare di non essere coinvolta dall’inizio (nonostante il principio di Privacy by design) quando si pensa di sviluppare nuove attività che prevedono il trattamento di dati personali.

 

3.2 Art. 38: posizione del responsabile della protezione dei dati personali

Circa la posizione del Data Protection Officer (“DPO”) Balboni sottolinea come sia necessario prestare particolare attenzione.

Da Regolamento Europeo Privacy, si tratta di una figura che riferisce direttamente ai vertici aziendali (es. il consiglio di amministrazione o amministratore delegato) e indipendente (ossia priva di conflitti di interessi).

Come indicato anche dai Garanti Europei, il DPO non può di regola essere un CTO, un CISO, un Head of HR, un Head of Marketing in quanto sono ruoli che hanno tipicamente i poteri per influenzare e decidere i trattamenti di dati svolti dall’organizzazione, con il risultato che il controllante coinciderebbe con il controllato.

3.3 Allineamento al Regolamento (UE) 2016/679

Quanto tempo è necessario per prepararsi efficacemente al nuovo GDPR?

Dipende dall’organizzazione in oggetto, ma di regola non meno di 5-6 mesi di lavoro.

Questo processo parte con una Due Diligence & Gap Analysis, la fase di censimento dei trattamenti e dello stato di compliance dell’organizzazione.

Il risultato è una lista delle azioni necessarie per allineare l’organizzazione al Regolamento stabilendone anche le priorità.

Si procede poi con la fase di Compliance, dove le azioni concordate vengono eseguite all’interno dell’organizzazione.

Per concludere si crea un documento di Governance Privacy volto al mantenimento e miglioramento di quello che è il Modello Organizzativo in Materia di Protezione dei Dati Personali.

Condividi su twitter
Condividi su linkedin
Condividi su email

Pubblicato il:

Ti interesserà leggere anche

Non perdere le novità

Non perdere le ultime novità dal mondo della Privacy e GDPR

Cliccando su ISCRIVITI esprimi il tuo consenso a ricevere comunicazioni e aggiornamenti su PrivacyRevolution da parte di Sistemi H.S. S.p.A., Titolare del trattamento.

Informativa al trattamento dei dati ex art. 13 Regolamento UE 2016/679

La informiamo che, ai sensi del Regolamento UE 2016/679 (infra: “Regolamento”), i Suoi Dati Personali saranno trattati da Sistemi HS S.p.A. con sede Via Torino 176 10093 Collegno (TO), in qualità di titolare del trattamento (“Titolare”).
Il Responsabile della Protezione dei Dati (“DPO”) è raggiungibile ai seguenti indirizzi: dpo@sistemihs.it  – sistemihsdpo@cert.unonet.it
Il Titolare tratterà i Suoi dati personali per la finalità di gestione delle comunicazioni e delle newsletter relative alla community PrivacyRevolution.
La base giuridica del trattamento è riferita all’espressione del consenso da parte dell’interessato al trattamento dei propri dati personali (art. 6(1)(a) del Regolamento).
Il conferimento dei Suoi Dati Personali per la finalità di cui sopra è facoltativo; non è prevista alcuna conseguenza in caso di un Suo rifiuto. In mancanza dei dati però, non sarà possibile per il Titolare inviarle alcuna comunicazione.
L’interessato ha la possibilità di revocare il consenso prestato e di opporsi a tale trattamento in ogni momento in maniera agevole e gratuita, anche scrivendo al Servizio Privacy presso il Titolare all’indirizzo: compliance@sistemiuno.it
I Suoi dati personali potranno essere condivisi con persone fisiche autorizzate dalla Titolare al trattamento di dati personali previa sottoscrizione di un accordo di riservatezza (es. dipendenti e amministratori di sistema); soggetti terzi coinvolti nella gestione delle attività legate alla predetta finalità, alcuni dei quali agiscono in qualità di responsabili del trattamento (l’elenco completo ed aggiornato è disponibile e consultabile previa richiesta a compliance@sistemiuno.it); soggetti, enti o autorità a cui sia obbligatorio comunicare i suoi dati personali in forza di disposizioni di legge o di ordini delle autorità.
Il Titolare non trasferisce i Suoi Dati Personali al di fuori dello Spazio Economico Europeo.
I suoi Dati Personali saranno conservati fino alla revoca del consenso prestato. È fatto salvo in ogni caso l’ulteriore conservazione prevista dalla normativa applicabile tra cui quella prevista dall’art. 2946 cod. civ. Maggiori informazioni sono disponibili presso il Titolare
Lei ha diritto di chiedere al Titolare, in qualunque momento, l’accesso ai Suoi Dati, la rettifica o la cancellazione degli stessi o di richiedere la limitazione del trattamento, o di ottenere in un formato strutturato, di uso comune e leggibile da dispositivo automatico i dati che La riguardano nei casi previsti dall’art. 20 del Regolamento.
È possibile formulare una richiesta di opposizione al trattamento dei Suoi dati ex articolo 21 del GDPR nella quale dare evidenza delle ragioni che giustifichino l’opposizione: il Titolare si riserva di valutare l’istanza, che non verrebbe accettata in caso di esistenza di motivi legittimi cogenti per procedere al trattamento che prevalgano sui tuoi interessi, diritti e libertà.
In qualsiasi momento potrà revocare ex art. 7 del Regolamento, il consenso già prestato, senza che ciò pregiudichi la liceità del trattamento effettuato anteriormente alla revoca del consenso.
Le richieste vanno rivolte per iscritto al Titolare o al DPO ai recapiti sopra indicati. In ogni caso Lei ha sempre diritto di proporre reclamo all’autorità di controllo competente (Garante per la Protezione dei Dati Personali), ai sensi dell’art. 77 del Regolamento, qualora ritenga che il trattamento dei Suoi dati sia contrario alla normativa in vigore.

Unisciti a Privacy Revolution!

Iscrivendoti a Privacy Revolution riceverai gratuitamente aggiornamenti sulle ultime novità in campo Privacy, GDPR e Compliance, inviti a webinar ed eventi speciali!

Cliccando su ISCRIVITI esprimi il tuo consenso a ricevere comunicazioni e aggiornamenti su PrivacyRevolution da parte di Sistemi H.S. S.p.A., Titolare del trattamento.