Come gestire il Responsabile del trattamento ai sensi del GDPR

Il Responsabile del trattamento, ai sensi dell’art. 28 del Regolamento UE 679/2016 (GDPR), è una figura molto ostica da gestire nell’ambito di un adeguamento della gestione della privacy di un’organizzazione italiana.

Moltissimi punti del GDPR definiscono prescrizioni applicabili ai titolari e/o ai responsabili del trattamento, ovvero alle figure che hanno determinate responsabilità nel trattare dati personali. Altri soggetti identificati dal GDPR (contitolari, “titolari autonomi” e soggetti autorizzati al trattamento) o sono riconducibili ad essi oppure hanno responsabilità di gran lunga inferiori.



Il considerando 81 introduce il ruolo del Responsabile del Trattamento:

(81) Per garantire che siano rispettate le prescrizioni del presente regolamento riguardo al trattamento che il responsabile del trattamento deve eseguire per conto del titolare del trattamento, quando affida delle attività di trattamento a un responsabile del trattamento il titolare del trattamento dovrebbe ricorrere unicamente a responsabili del trattamento che presentino garanzie sufficienti, in particolare in termini di conoscenza specialistica, affidabilità e risorse, per mettere in atto misure tecniche e organizzative che soddisfino i requisiti del presente regolamento, anche per la sicurezza del trattamento. L’applicazione da parte del responsabile del trattamento di un codice di condotta approvato o di un meccanismo di certificazione approvato può essere utilizzata come elemento per dimostrare il rispetto degli obblighi da parte del titolare del trattamento. L’esecuzione dei trattamenti da parte di un responsabile del trattamento dovrebbe essere disciplinata da un contratto o da altro atto giuridico a norma del diritto dell’Unione o degli Stati membri che vincoli il responsabile del trattamento al titolare del trattamento, in cui siano stipulati la materia disciplinata e la durata del trattamento, la natura e le finalità del trattamento, il tipo di dati personali e le categorie di interessati, tenendo conto dei compiti e responsabilità specifici del responsabile del trattamento nel contesto del trattamento da eseguire e del rischio in relazione ai diritti e alle libertà dell’interessato. Il titolare del trattamento e il responsabile del trattamento possono scegliere di usare un contratto individuale o clausole contrattuali tipo che sono adottate direttamente dalla Commissione oppure da un’autorità di controllo in conformità del meccanismo di coerenza e successivamente dalla Commissione. Dopo il completamento del trattamento per conto del titolare del trattamento, il responsabile del trattamento dovrebbe, a scelta del titolare del trattamento, restituire o cancellare i dati personali salvo che il diritto dell’Unione o degli Stati membri cui è soggetto il responsabile del trattamento prescriva la conservazione dei dati personali.

Successivamente l’articolo 28 ne disciplina il rapporto con il titolare e le relative condizioni.

In questi oltre due anni di applicazione del GDPR si sono viste diverse forme di “nomina” del responsabile del trattamento da parte del titolare. Spesso tali nomine venivano rifiutate dal fornitore responsabile, che non voleva assumersi tali oneri, con motivazioni inconsistenti. Purtroppo anche alcune linee guida, check-list, questionari ed anche app sul GDPR hanno fornito indicazioni fuorvianti sull’applicabilità di questa figura. Alla domanda: “determini le finalità ed i mezzi del trattamento?” molti rispondono “sì” e pertanto anche l’algoritmo più autorevole risponde “sei titolare del trattamento”. Invece la situazione è un po’ diversa. Laddove si verifica un outsourcing, un’esternalizzazione, di attività che comportano anche il trattamento di dati personali, allora si configura un rapporto fra un titolare del trattamento ed un responsabile che esegue “per conto del titolare”, un trattamento di dati personali.

Molte organizzazioni hanno, purtroppo, voluto “smarcare” in modo troppo rapido questo punto del GDPR, secondo una moda del tutto italiana: della serie “prepariamo le nomine ai responsabili del trattamento e mandiamogliele…” poi se nessuno risponderà a tali istanze, pazienza!

Spesso si è trascurato il fatto che il titolare

“ricorre unicamente a responsabili del trattamento che presentino garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del presente Regolamento e garantisca la tutela dei diritti dell’interessato”.

crop businessman signing contract in office

Dunque, prima di effettuare una nomina, occorre verificare che il fornitore/responsabile sia affidabile dal punto di vista della protezione dati. Come? Ad esempio tramite un questionario da somministrare al fornitore per poter verificare che stia applicando i principi e le regole del GDPR e che abbia implementato misure di sicurezza, tecniche ed organizzative, adeguate a tutelare i dati personali che gli facciamo trattare. Nella maggior parte dei casi tali dati personali si riferiscono a dipendenti e clienti del titolare, pertanto presentano alcune criticità, se si dovessero perdere i requisiti di riservatezza, integrità e disponibilità degli stessi.

Molte organizzazioni saltano questo punto, ma allora come dimostrano che il responsabile del trattamento fornisce adeguate garanzie lato privacy? Spesso si tratta di rapporti consolidati da anni, mai messi in discussione. Ora la mancata risposta ad un questionario ed il rifiuto (magari non palese, ma semplicemente “dimenticandosi” di rispondere all’istanza ed ai solleciti) di sottoscrivere la c.d. nomina espone il titolare a importanti responsabilità sui dati affidati all’esterno. In caso di problemi (ispezioni del Nucleo Privacy della Guardia di Finanza, Data Breach, reclami di interessati) il titolare non è in grado di dimostrare di aver agito “responsabilmente”, contravvenendo al principio di accountability (art. 5, comma 2 del Regolamento UE 679/2016).

Teniamo presente che il rapporto tra titolare e responsabile “deve essere disciplinato da un contratto”, dunque a rigore non si tratta solo di “nominare” il responsabile esterno, ma di stabilire – con un atto a valenza contrattuale – quali sono le condizioni per il trattamento di dati personali da parte del responsabile. Dunque, le soluzioni sono due:

  • Si predispone una nomina del responsabile sottoscritta da entrambe le parti, che fa riferimento al contratto già esistente (es. per rapporti consolidati) che integra e che deve contenere gli elementi richiesti dal Regolamento UE 679/2016, oppure
  • Si definisce un nuovo contratto fra le parti che disciplini anche la gestione dei dati personali.

A seconda delle competenze professionali di chi lo ha redatto, questa nomina, accordo o contratto per il trattamento dei dati personali, può essere di un paio di pagine o di parecchie pagine scritte in “legalese” e, pertanto, di difficile comprensione da parte del fornitore, che potrebbe essere diffidente di fronte ad un articolato complesso..

Bisognerebbe discutere a lungo sull’utilità reale di stipulare contratti di responsabile del trattamento molto lunghi e ricchi di clausole che potrebbero risultare ostiche al responsabile ed indurlo a non firmarlo. D’altro canto, si vedono nomine o contratti da responsabile che riportano essenzialmente solo quanto riportato dal Regolamento UE 679/2016 all’art. 28, ma bisognerebbe altresì  capire cosa significa pretendere che il responsabile adotti misure di sicurezza “adeguate” (per chi?) o si attenga alle “istruzioni del titolare” (quali?).

Nella catena delle subforniture che si inquadrano come rapporti fra titolare e responsabile è difficile pensare che un fornitore responsabile del trattamento debba assoggettarsi a misure specifiche determinate da ogni titolare del trattamento suo cliente. Pensiamo, ad esempio, a studi di consulenza del lavoro o centri di elaborazione paghe, a fornitori di servizi informatici quali software in cloud e così via, che hanno decine di clienti. Per questo motivo si è verificato che molti di questi soggetti hanno proposto in maniera unilaterale un proprio accordo di trattamento dei dati personali che li individua come responsabili. A questo punto il titolare/cliente si vede portato ad accettare quanto proposto dal fornitore/responsabile, che dovrà comunque essere in linea con quanto stabilito dal GDPR ed è comunque opportuno verificare che le condizioni non siano troppo favorevoli al responsabile del trattamento.

Come anticipato sopra, nel contratto da responsabile del trattamento, o nomina che dir si voglia, si dovrà comunque prescrivere al fornitore l’adozione di misure di sicurezza adeguate, ma quali sono queste misure adeguate? Adeguate per chi? Per il fornitore/responsabile o per il titolare/cliente?

Torniamo alla “qualifica” preliminare del fornitore che può essere ispirata alla normativa ISO 9001 ed ai sistemi di gestione per la qualità. A seconda di quello che sarà il trattamento effettuato dal fornitore potremmo valutare le misure di sicurezza intraprese da esso per proteggere i dati personali oppure di imporgli delle nostre misure in qualità di titolare del trattamento. Facciamo qualche esempio. I tipici casi di trattamenti effettuati esternamente nelle imprese italiane sono:

  • Elaborazione paghe e consulenza del lavoro
  • Tenuta della contabilità e consulenza fiscale
  • Fornitura di software e servizi in modalità Saas (software as a service), compresa la gestione di siti web
  • Fornitura di servizi cloud.

Le ultime due situazioni hanno poi diverse variazioni sul tema, spesso i programmi software gestionali sono installati in modalità client/server su Server interni all’azienda, ma tenuti sotto controllo dal fornitore che può fare qualsiasi cosa, anche da remoto.

Naturalmente possono verificarsi situazioni più critiche in settori particolari, ad esempio quello della sanità pubblica e privata.

Le misure di sicurezza che chiederemo al consulente del lavoro o allo studio di commercialisti dovranno riguardare sia la sicurezza fisica ed ambientale degli archivi cartacei (e degli storage ove sono memorizzati i nostri dati), sia la sicurezza informatica per proteggere i dati da accessi non autorizzati. Dunque, potremmo richiedere al fornitore se e come applica determinate misure di sicurezza, ad esempio, per quanto riguarda la sicurezza fisica e le misure di sicurezza organizzative:

  • Archivi chiusi a chiave fuori dall’orario di lavoro;
  • Sistema di allarme ed eventuale videosorveglianza;
  • Designazione dei soggetti autorizzati/incaricati al trattamento con obbligo di riservatezza;
  • Formazione del personale;
  • Tecniche di pseudonimizzazione;
  • Ecc.

Mentre per quanto riguarda la sicurezza informatica dovremo chiedere se sono applicate le seguenti misure di sicurezza:

  • Accesso ai dati con credenziali di autenticazione univoche;
  • Profilazione degli utenti nei sistemi informatici per garantire l’accesso solo alle informazioni necessarie;
  • Gestione delle password (segretezza, cambio al primo accesso e periodicamente, complessità delle password, ecc.);
  • Sistemi anti-malware su tutti i dispositivi;
  • Firewall hardware e software ed eventuali altri sistemi antintrusione;
  • Sistemi di cifratura dei dati;
  • Procedure di backup/restore ed eventuale disaster recovery garantito anche da copie in remoto;
  • Nomina degli amministratori di sistema;
  • E così via.

Poi naturalmente si pone il problema dei software utilizzati dal fornitore per elaborare i nostri dati (dati personali dei dipendenti, dei clienti, dei fornitori…). Occorrono le nomine dei sub-responsabili del trattamento (o “altri responsabili”) con garanzie analoghe a quelle sopra esposte, dal punto di vista ICT, che devono essere ribaltate sul fornitore del software.

Nel caso in cui il nostro fornitore sia un fornitore di servizi ICT occorre altresì essere garantiti su tutta la catena di fornitura del software e dei servizi ICT, compresi eventuali servizi cloud di terze parti.

In questo caso, oltre alla valutazione sulle misure di sicurezza adottate dal fornitore del software e dei servizi di assistenza ad esso correlati (accesso ai nostri dati con credenziali univoche, gestione delle password, utilizzo di anti-malware e firewall quando i tecnici del fornitore accedono ai nostri database con dispositivi propri e così via) occorrerebbe valutare le caratteristiche del software che acquistiamo o che abbiamo “noleggiato”: soddisfa il requisito di privacy by design e privacy by default? Si apre un altro capitolo che potrebbe non riguardare strettamente il contratto/accordo da responsabile del trattamento, se il software è stato acquistato o dovrà essere acquistato dall’azienda. Viceversa, le forniture di software e servizi SaaS, PaaS, IaaS, ecc. rientrano generalmente nel contratto per il trattamento di dati personali.

Ad esempio, a differenza di un software di tipo client/server installato in azienda ed accessibile solo dall’interno di essa, per un software in cloud dovremmo richiedere misure di sicurezza aggiuntive per garantirci da accessi fraudolenti (autenticazione a due fattori, numero massimo di login falliti oltre il quale viene bloccato l’account, complessità minima della password…).

In questo quadro si colloca anche l’eventuale nomina degli Amministratori di Sistema, che sono figure non disciplinate dal GDPR (sebbene costituiscano una misura di sicurezza), ma dalla normativa privacy italiana, in base ad una disposizione ancora in vigore. Normalmente chi opera in qualità di Amministratore di Sistema, se esterno all’organizzazione, ricopre anche il ruolo di responsabile del trattamento (come persona giuridica).

Veniamo, infine, all’atto di nomina del responsabile del trattamento che – come anticipato sopra – potrebbe essere un atto integrativo del contratto tra le parti oppure potrebbe essere compreso nel contratto stesso revisionato. In esso devono essere regolamentati i seguenti punti:

  • Materia disciplinata;
  • Durata del trattamento;
  • Natura del trattamento;
  • Finalità del trattamento;
  • Tipo di dati personali;
  • Categorie degli interessati;
  • Misure di sicurezza adottate;
  • Istruzioni operative.

Premesso che – in caso di nomina o atto integrativo rispetto al contratto preesistente – alcuni dei suddetti punti potrebbero e dovrebbero essere già disciplinati dal contratto (ad es. materia disciplinata, durata del contratto, ecc.), occorre precisare che:

  • Il tipo di dati personali trattati può essere esplicitato in forma generale, ad es. dati personali comuni o dati particolari, dati anagrafici, dati di natura fiscale, dati relativi alla salute e così via; senza scendere in un dettaglio che poi sarebbe difficile mantenere aggiornato,
  • Le categorie degli interessati possono essere dipendenti, clienti, fornitori, potenziali clienti o contatti commerciali, e così via.
  • Le misure di sicurezza potrebbero essere richiamate da un questionario o check-list preliminare compilata a monte dal fornitore ed accettata dal cliente oppure potrebbero essere definite esplicitamente in un allegato o altro documento condiviso fra le parti, tenendo presente che potrebbero essere soggette ad aggiornamento per evolversi della tecnologia o altro.
  • Le istruzioni operative potrebbero essere disciplinate nel dettaglio, eventualmente a partire da uno schema come segue.
  • Trattare i dati suddetti per le sole finalità indicate;
  • Predisporre e mantenere aggiornato un registro dei trattamenti – se previsto – in conformità all’art. 30 del Regolamento UE 679/2016;
  • Valutare i rischi che incombono sui dati trattati sopra riportati;
  • Adottare le idonee misure di sicurezza, tecniche ed organizzative, per garantire la riservatezza, l’integrità e la disponibilità dei dati trattati;
  • Nominare ed istruire adeguatamente il personale incaricato del trattamento dei dati sulle procedure da adottare e sulle misure di sicurezza;
  • Garantire che le persone autorizzate al trattamento dei dati personali si siano impegnate alla riservatezza o abbiano un adeguato obbligo legale di riservatezza;
  • Vigilare sulla puntuale osservanza, da parte degli incaricati del trattamento dei dati, delle disposizioni di legge e delle proprie istruzioni, anche tramite verifiche periodiche;
  • Assistere il titolare del trattamento – tenendo conto della natura del trattamento – con misure tecniche e organizzative adeguate, nella misura in cui ciò sia possibile, al fine di soddisfare l’obbligo del titolare del trattamento di dare seguito alle richieste per l’esercizio dei diritti dell’interessato di cui al capo III “Diritti dell’interessato” del Regolamento UE 679/2016;
  • Assistere il titolare del trattamento nel garantire il rispetto degli obblighi di cui agli articoli da 32 a 36 del Regolamento UE 679/2016, tenendo conto della natura del trattamento e delle informazioni a disposizione del responsabile del trattamento;
  • Su scelta del titolare del trattamento, cancellare o restituire tutti i dati personali dopo che è terminata la prestazione dei servizi relativi al trattamento in oggetto e cancellare le copie esistenti, salvo che il diritto dell’Unione o degli Stati membri preveda la conservazione di tali dati;
  • Mettere a disposizione del titolare del trattamento tutte le informazioni necessarie per dimostrare il rispetto degli obblighi di cui all’articolo 28 del Regolamento UE 679/2016 e consentire e contribuire alle attività di revisione, comprese le ispezioni, realizzate dal titolare del trattamento o da un altro soggetto da questi incaricato;
  • Comunicare al titolare del trattamento le misure tecniche d organizzative adottate per garantire la sicurezza dei dati, in particolare riguardo alle misure di sicurezza informatica (gestione delle credenziali di autenticazione, procedure di backup e restore, protezioni contro il malware, ecc.), eventuale nomina di un Amministratore di Sistema, misure di sicurezza fisica, eventuale nomina di un Responsabile della Protezione dei Dati (RPD o DPO, Data Protection Officer).

Sulla questione di eventuali sub-responsabili l’elenco approvato potrebbe essere gestito a parte in modo più efficiente, ma il problema più rilevante è quello legato ai dati in cloud, ovvero dove sono i datacenter? Quali misure di sicurezza garantiscono? Dispongono di certificazioni?

Sulla territorialità in UE o fuori UE con adeguate garanzie la responsabilità rimane del titolare del trattamento si possono riscontrare diversi problemi in prima istanza nascosti. Senza voler entrare troppo nel merito di quest’argomento, molto articolato, si può precisare il fatto che il cliente deve sapere dove il fornitore archivia i suoi dati personali, ovvero quelli di cui è titolare.

Infine, il Titolare dovrebbe avere il diritto di effettuare un audit sul responsabile del trattamento per verificare il rispetto del contratto, in assenza di certificazioni specifiche del responsabile ai sensi del GDPR (ad es. ISPD©10003) o comunque che offrono adeguate garanzie sulla sicurezza delle informazioni (ISO 27001, ISO 27701). Il responsabile del trattamento non potrebbe sottrarsi a tale obbligo. Su quest’ultimo aspetto e su quant’altro riportato nell’atto di nomina del responsabile è bene non dimenticare che il titolare del trattamento è il cliente ed il fornitore nominato responsabile dovrebbe essere sostituito se non adempie a quanto previsto dal GDPR, ovvero certi rapporti contrattuali non devono per forza proseguire se non forniscono adeguate garanzie sul trattamento dei dati personali in conformità al GDPR.




La nuova edizione della norma ISO 22301:2019 per la certificazione della business continuity

Soprattutto in questo periodo è estremamente attuale essere
in grado di pianificare la continuità operativa delle imprese, almeno per
quanto possibile.

Anche le aziende più preparate a gestire la business
continuity
, forse, non hanno previsto una pandemia come quella del Covid-19,
o forse si erano prefigurati scenari diversi, nei quali le persone non sono in
grado di andare al lavoro a causa di epidemie di influenza o altre cause. In
questa fase che stiamo attraversando l’assenza di personale non è dovuta –
nella maggior parte dei casi – allo stato di malattia delle persone, ma alla
necessità di “isolamento sociale” delle risorse umane di un’intera azienda. Per
certi aspetti, dunque, il panorama è meno catastrofico, in quanto le persone
sono quasi tutte operative ed in grado di lavorare
, ma non possono accedere
ai locali aziendali per un periodo di tempo che potrebbe essere considerevole.

Come potrebbe (o poteva) l’azienda lungimirante e preparata,
affrontare situazioni di emergenza come questa che stiamo attraversando? O
meglio, come potrà pensare di affrontarle in futuro se si verificheranno?



Ci viene in soccorso lo standard UNI EN ISO 22301 (Sicurezza e resilienza – Sistemi di gestione
per la continuità operativa – Requisiti
titolo originale “Security
and resilience – Business continuity management systems – Requirements”
),
recentemente revisionato (edizione 2019) e tradotto in italiano dall’UNI e
pubblicati a febbraio 2020.

Come già visto in un precedente articolo sulla vecchia versione della norma (pubblicata dall’ISO nel 2012) , lo standard specifica i requisiti per progettare, implementare e gestire efficacemente un Sistema di gestione della continuità operativa.

Le modifiche alla norma non hanno aggiunto nuovi
requisiti
, ma solamente chiarito quelli già presenti, allineato la
norma alle altre norme sui sistemi di gestione e riorganizzato il capitolo 8,
vero cuore dello standard.

Il sistema di gestione della continuità operativa (business continuity management system o BCMS)
enfatizza l’importanza di:

  • comprendere le esigenze dell’organizzazione e le necessità per
    stabilire la politica e gli obiettivi per la continuità operativa;
  • gestire e mantenere processi, capacità e
    strutture di risposta per garantire che l’organizzazione sopravviva a
    interruzioni;

  • implementare e rendere operativi controlli e misure per gestire la
    capacità di un’intera organizzazione nella gestione delle interruzioni (discontinuità)
    dell’operatività dovute a cause accidentali;
  • monitorare e riesaminare le
    prestazioni e l’efficacia del sistema di gestione della continuità
    operativa;
  • migliorare in modo continuo
    il BCMS basato su metriche qualitative e quantitative (obiettivi misurabili).

Si ricorda che anche la norma ISO/IEC 27031 “Information technology — Security techniques
— Guidelines for information and communication technology readiness for
business continuity
” tratta la business continuity, ma nel contesto dell’ICT
e delle tecniche di sicurezza strettamente correlata alla ISO 27001 che
contiene i requisiti per la
certificazione dei sistemi di gestione della sicurezza delle informazioni
.

La ISO 22301 evidenzia i componenti chiave del sistema di
gestione della continuità operativa, peraltro presenti anche in altri sistemi
di gestione. Tra essi la politica,
le persone con le loro responsabilità definite, la gestione dei processi correlati a
politica, pianificazione, attuazione e funzionamento del BCMS, valutazione
delle prestazioni
, riesame di
direzione
e miglioramento,
nonché le informazioni documentate in grado di fornire evidenze
verificabili anche tramite audit sul
sistema di gestione della continuità operativa.

Il vantaggio di disporre di un BCMS correttamente
funzionante è quello di far sì che l’organizzazione sia preparata – attraverso
processi, procedure, responsabilità, risorse, controlli, competenze, ecc. – a
mantenere l’operatività a seguito di un’interruzione, ovvero di un evento
destabilizzante (in inglese viene utilizzato il termine “disruption”) che
mina i processi operativi critici.

Anche questa norma recepisce il metodo del “PLAN DO CHECK ACT” già noto da altre
norme dei sistemi di gestione.

Per questa norma il concetto di “parti interessate” o stakeholders è molto importante in
quanto una discontinuità (interruzione) nell’operatività dell’organizzazione,
una indisponibilità dei servizi essenziali per i clienti, un fermo delle
attività produttive per un periodo più o meno lungo, possono causare danni, sia
dal punto di vista commerciale, sia da quello finanziario, ma anche da quello
delle altre parti interessate, quali personale interno, individui della
collettività che subiscono danni anche fisici, fornitori, ecc..

Scopo della norma per la gestione della business continuity
è quello di specificare i requisiti atti proteggere l’organizzazione da interruzioni
quando accadono, ma non solo. Il BCMS ha anche l’obiettivo di ridurre la
probabilità che tali eventi negativi avvengano
, prepararsi ad essi e rispondere
in modo adeguato a ripristinare l’operatività nel più breve tempo possibile
qualora si verifichi un evento che provoca l’interruzione dell’operatività.
Naturalmente non si può pensare che un’azienda metta in atto azioni volte a
prevenire calamità naturali o pandemie, ma – facendo un esempio estremamente
attuale – una volta che sia stata conclamata un’epidemia su larga scala,
potrebbe porre in essere misure volte a prevenire il contagio fra i dipendenti e,
quindi, volte ad evitare che si verifichi un’interruzione totale dell’operatività
aziendale causata da un contagio interno molto diffuso. Questo, naturalmente,
al di là delle decisioni e delle disposizioni governative che hanno limitato l’operatività
di molte attività, ma non di tutte. Addirittura alcune aziende dovevano porsi l’interrogativo
se chiudere anticipatamente in base alla probabilità di contagio nella propria
zona fra personale dipendente.

La norma ISO 22301 definisce alcuni termini specifici sulla
materia tra cui il termine di continuità operativa (business continuity),
piano di continuità operativa (business continuity plan), analisi di
impatto operativo
(business impact
analysis
o BIA).

Oltre ad altri termini consueti delle norme della serie ISO
9000, altro termine significativo mutuato dalle norme della serie ISO 27000 è
quello di incidente che è definito
come “evento che può o potrebbe condurre ad un’interruzione, a una perdita,
a un’emergenza o a una crisi
” Al proposito la norma utilizza spesso il
termine interruzione che
rappresenta “un incidente che causa una deviazione negativa, non pianificata
dell’erogazione prevista dei prodotti e servizi secondo gli obiettivi di un’organizzazione
”;
modificando significativamente la definizione della precedente versione della
norma, forse più concreta e facilmente comprensibile ai più.

Verranno successivamente introdotti dalla norma degli
indicatori specifici per questa tematica come:

  • Maximum
    Tolerable Period of Disruption
    (MTPD) ovvero
    il tempo massimo accetabile che può trascorrere a fronte degli impatti
    negativi conseguenti ad una interruzione come risultato della mancata
    fornitura di un prodotto, erogazione di un servizio o svolgimento di un’attività
    operativa.
  • Recovery Time Objective (RTO):
    periodo di tempo entro il quale – dopo l’interruzione – i servizi erogati,
    la produzione, i servizi di supporto e le funzionalità operative devono
    essere ripristinati ad un livello minimo accettabile.

Il capitolo 4 della norma denominato “Contesto dell’organizzazione” contiene
gli elementi per comprendere il contesto dell’organizzazione, tra cui i fattori
interni ed esterni che influenzano la sua capacità di conseguire i risultati
del BCMS. La norma stabilisce che nell’ambito del Sistema di gestione per la
continuità operativa debbano essere identificati i requisiti dell’organizzazione e delle sue parti interessate, che
dovranno essere tenuti in debito conto nella progettazione del sistema di
gestione dell’organizzazione

Tra i requisiti da prendere in considerazione viene dedicato
un punto specifico ai requisiti legali e regolamentari, ovvero quei
requisiti cogenti che determineranno gli obiettivi di minima del BCMS e dei
piani di continuità operativa. Ciò aiuterà nella definizione dello scopo e campo di applicazione del sistema di gestione
di continuità operativa
. A tale riguardo la norma stabilisce le modalità
attraverso le quali l’organizzazione deve stabilire i confini del BCMS e quali
processi, prodotti e servizi sono compresi nel sistema di gestione e quali
parti dell’organizzazione agiscono all’interno di esso, dettagliando eventuali
esclusioni che, comunque, non possono influenzare negativamente i risultati del
sistema di gestione ed i livelli di operatività stabiliti nell’analisi di
impatto.

Al punto 4.4 la norma stabilisce che l’organizzazione deve
implementare, mantenere attivo e migliorare continuamente un sistema di
gestione della continuità operativa, inclusi i processi necessari e le relative
interazioni fra essi, in accordo con i requisiti di questo standard
internazionale (ISO 22301).

Il capitolo 5 della norma è denominato “Leadership”. In esso la norma
stabilisce che l’alta direzione (ovvero il top
management
) deve possedere leadership e dimostrare un impegno preciso
rispetto al sistema di gestione per la continuità operativa. L’impegno del management
viene poi esplicitato attraverso una serie di responsabilità della direzione
relative al sistema di gestione quali, ad esempio, assicurare che politiche ed obiettivi
siano stabiliti, che le risorse necessarie siano messe a disposizione e che vi
sia un’adeguata comunicazione all’interno dell’organizzazione relativamente ai
requisiti del sistema di gestione della continuità operativa.

Sono poi stabiliti requisiti relativi alla definizione della
politica per la continuità operativa
e la definizione della struttura
organizzativa dell’organizzazione
, quindi la definizione di ruoli
responsabilità ed autorità.

Il capitolo 6, denominato “Pianificazione” stabilisce che:

  • L’organizzazione deve attuare
    azioni rivolte ad affrontare i
    rischi ed alle opportunità
    , in particolare assicurando che il sistema riesca
    a perseguire gli obiettivi ed i risultati stabiliti, prevenire o ridurre
    gli effetti indesiderati sul BCMS e mirare al miglioramento continuo.
  • Vengano definiti obiettivi per la business continuity e soluzioni/piani per raggiungerli;
    tale aspetto, con le dovute modifiche, è del tutto analogo ad altri
    sistemi di gestione: gli obiettivi devono essere misurabili, devono essere
    monitorati, occorre stabilire chi è responsabile, che cosa deve fare,
    quali risorse sono richieste, quando dovranno essere completate le azioni
    finalizzate al perseguimento degli obiettivi e come dovranno essere
    valutati i risultati. Unica differenza rispetto ad altri sistemi di
    gestione è che nella definizione degli obiettivi bisognerà tenere conto di
    un livello minimo di servizio o di prodotto fornito ritenuto accettabile
    dall’organizzazione nel raggiungimento dei suoi obiettivi.

Viene anche chiarito, in una nota, che i rischi di questa
sezione sono quelli che influenzano l’intero BCMS, non i rischi che minacciano
la continuità operativa, trattati al successivo punto 8.2.

Il capitolo 7 della norma denominato “Supporto” stabilisce i requisiti per
alcune attività e processi di supporto, quali – in generale – la gestione delle risorse, le competenze del personale, la consapevolezza dello stesso personale
relativamente al sistema di gestione della continuità operativa e la comunicazione, sia essa interna che
esterna. In particolare, per questo tipo di sistema di gestione, le modalità ed
i mezzi di comunicazione sono molto importanti per garantire la continuità del
servizio anche durante i periodi di indisponibilità delle risorse critiche.

Infine, l’ultima parte di questo capitolo è dedicato alle informazioni documentate, i cui
requisiti relativi riguardano le modalità di gestione di documenti, dei dati e
delle registrazioni richieste dalla norma.

A questo riguardo è opportuno precisare che, nell’ambito
della business continuity, i
documenti – in particolare i piani, le procedure e le istruzioni operative –
necessarie per ripristinare nel più breve tempo possibile i servizi richiesti
durante i periodi di crisi successivi ad un’interruzione, dovrebbero essere
accessibili dai responsabili nominati, dunque occorre prevedere supporti
alternativi per i documenti che potrebbero non essere disponibili nel formato
originario, su supporto elettronico o cartaceo. Pertanto, tali documenti
dovrebbero essere resi disponibili su supporti ed ubicazioni realmente
utilizzabili in funzione del tipo di crisi (scenario) previsto in fase di pianificazione.

Il capitolo 8 della norma, denominato “Attività operative”, è quello che è
stato maggiormente modificato rispetto alla versione precedente della norma e rappresenta
il cuore della ISO 22301 in quanto tratta gli aspetti di pianificazione e controlli
operativi, l’analisi di impatto e la valutazione dei rischi e, infine, la strategia di business continuity e le
relative soluzioni adottate, ovvero tutto ciò che l’organizzazione intende fare
per garantire la continuità operativa, compresa la definizione dei business
continuity plan
o piani di continuità operativa, la loro applicazione e
test/esercizio.

Nei suddetti paragrafi sella sezione 8 vengono specificate,
tra l’altro, le modalità di effettuazione e documentazione della analisi di impatto operativo e della valutazione del dei rischi, per la quale può essere preso come
riferimento quanto indicato nella ISO 31000 (UNI ISO 31000 – Gestione del rischio – Principi e linee guida). Occorre
precisare che sia l’analisi di impatto sia la valutazione dei rischi dovranno
prendere in considerazione i rischi che possono impattare la continuità
operativa, quindi i rischi che si verifichino incidenti distruttivi che portino
a situazioni di crisi o di interruzione dell’operatività e, conseguentemente, a
situazioni insostenibili per i requisiti stabiliti di continuità operativa e
per la propensione al rischio dell’organizzazione. A fronte di tali situazioni,
in base ai risultati della valutazione dei rischi, dovranno essere determinate
e poste in essere le azioni conseguenti per mantenere la continuità operativa.

Le soluzioni per garantire la continuità operativa
devono essere finalizzate a:

  • rispettare i requisiti di continuità e di
    recupero delle attività prioritarie entro le tempistiche prestabilite e
    capacità concordate;
  • proteggere le attività prioritarie dell’organizzazione;
  • ridurre le probabilità di un’interruzione;
  • accorciare la durata di un’interruzione entro
    limiti tollerabili;
  • limitare l’impatto di un’interruzione sui
    prodotti e servizi dell’organizzazione;
  • provvedere alla disponibilità di risorse
    adeguate a poter affrontare le situazioni di crisi.

Le soluzioni identificate devono essere scelte in base ai
requisiti da soddisfare, i rischi ritenuti accettabili, i costi ed i benefici. Per
attuarle dovranno essere stabiliti i requisiti e le necessità di risorse umane,
tecnologiche, infrastrutturali, ecc.

Il punto 8.4 della norma fornisce indicazioni su come progettare
i piani di continuità operativa e le procedure da mettere in atto per
garantire la continuità operativa dell’organizzazione a fronte di un’interruzione.

Il capitolo 9 della norma tratta la “Valutazione delle prestazioni”. Vengono
qui illustrati i requisiti relativi al monitoraggio,
alle misurazioni, all’analisi ed
alla valutazione dei processi che
hanno un impatto sulla continuità operativa; in particolare vengono esplicitati
i requisiti relativi ad indicatori e
metriche finalizzate al monitoraggio
dell’efficacia del BCMS.

Nel capitolo 9 vengono anche trattati i requisiti
standard per i sistemi di gestione riguardanti gli audit interni ed il riesame di
direzione
. Anche qui, rispetto alle altre normative sui sistemi di gestione,
il focus è sui rischi risultanti dall’analisi di impatto e sul risk assessment.

Nel capitolo 10, denominato “Miglioramento”, sono trattati le non conformità, le azioni correttive ed il miglioramento
continuo
. Relativamente a non conformità ed azioni correttive la gestione è
analoga ai sistemi gestionali descritti nelle altre normative sui sistemi di
gestione (ISO 9001 in primis). Sono inoltre introdotte le azioni che vengono
messe in atto al fine di perseguire il miglioramento continuo del sistema e
delle sue prestazioni.

Premesso ciò, le non conformità relative al sistema di
gestione della continuità operative – normalmente incidenti ed altri eventi che hanno generato interruzioni oltre
ad altre situazioni nelle quali si verifica il non soddisfacimento dei
requisiti procedurali – dovranno essere identificate e dovranno essere attuate
prontamente correzioni per eliminare, quando possibile, gli effetti della non
conformità stessa e le relative conseguenze. Inoltre, si deve valutare la
necessità di intraprendere azioni correttive finalizzate ad eliminare le cause
della non conformità.

In conclusione, le organizzazioni che vorranno adeguarsi a tale
normativa e certificarsi secondo le proprie esigenze di business, quasi
certamente avranno già messo in atto e certificato un sistema di gestione per
la qualità ISO 9001, ma probabilmente alcune di queste organizzazioni avranno
anche già implementato il sistema di
gestione della sicurezza delle informazioni ISO 27001
, pertanto lo sforzo
per conformarsi a questa norma sulla business
continuity
non sarà eccessivo. Infatti, molti requisiti sono comuni fra la
norma ISO 22301 e la norma ISO 27001 nella quale esiste già un obiettivo di
controllo riguardante la continuità operativa che impone di predisporre uno o
più business
continuity plan
per garantire la continuità nell’erogazione del
servizio o nella produzione, ma a fronte di interruzioni dovute a
indisponibilità di informazioni.

Al proposito occorre notare che la norma tratta la gestione
di tutti i tipi di discontinuità o interruzioni di servizio, non
necessariamente solo quelli legati all’indisponibilità dei sistemi informatici,
anche se quasi tutte le organizzazioni vedono come principale pericolo per la
propria continuità operativa il blocco dei sistemi informatici che ormai
governano quasi tutte le attività aziendali.

Gli esempi di situazioni nelle quali la continuità operativa
non è minacciata da interruzioni e disastri legati ai sistemi informatici sono
sotto i nostri occhi in questo periodo.




Il (web)marketing ai tempi del GDPR

Con l’avvento del GDPR si è complicata la gestione della privacy dei destinatari delle azioni di web marketing, attraverso strumenti quali mail-marketing, newsletter, social network, cookie, pixel, beacon, ecc.. Con l’evoluzione della tecnologia legata ai cookie ed altre tecnologie similari anche una semplice navigazione di un sito internet a scopo puramente informativo sta diventando sempre più complicata, sia per il gestore del sito, sia per i “naviganti” che si trovano a dover accettare cookie policy, informative privacy e trattamenti consentiti che se si leggesse tutto si impiegherebbe più tempo rispetto a quello dedicato alla lettura dei contenuti veri del sito.

La confusione che si è generata è in parte causata da una normativa non completamente definita e certa, fra vecchia Direttiva ePrivacy, Cookie Law, GDPR e – per il nostro Paese – Provvedimenti del Garante Privacy italiano precedenti al Regolamento 679/2016, ma comunque ritenuti validi, seppur necessitino di aggiornamento per la revisione del Codice Privacy italiano (D.Lgs 196/2003 novellato dal D. Lgs 101/2018) a fronte del GDPR.

Ma cerchiamo di far chiarezza su alcuni punti esaminando cosa dice la normativa e come essa viene intrepretata da fonti autorevoli, senza la pretesa di fornire soluzioni valide in tutte le situazioni e contesti, ma semplicemente fornire utili spunti di riflessione per gestire ogni caso nel modo corretto.

Un contesto classico è costituito da un’azienda, magari medio-piccola, che commissiona il rifacimento e/o la gestione del proprio sito web ad una società specializzata in comunicazione, web marketing e sviluppo di siti internet. Oppure a due diverse organizzazioni che curano la comunicazione online e offline e la gestione del sito.

In entrambe le situazioni la struttura (singolo professionista o società) che effettuerà le attività di mail-marketing (invio di newsletter e altro) attraverso strumenti web (es. Mail-up, Mailchimp, Voxmail,…. il panorama è vasto) che raccolgono l’insieme degli indirizzi e-mail (e forse anche nome, cognome, azienda, ecc.) dei destinatari si configura come Responsabile (esterno) del trattamento ai sensi dell’articolo 28 del Regolamento UE 679/2016. Questo, naturalmente, se tratta dati personali di clienti e contatti vari dell’azienda che gli ha commissionato il servizio, ovvero se anche solo uno degli indirizzi e-mail contiene i riferimenti del tipo nome.cognome@nomeazienda.com. Tale ruolo implica precise responsabilità in capo al soggetto che svolge il servizio di marketing diretto, necessariamente definiti attraverso un contratto o un atto di nomina a responsabile del trattamento a valenza contrattuale.

Le piattaforme utilizzate per inviare newsletter si configurano anch’esse come responsabili del trattamento perché conservano i dati dei destinatari e le relative azioni conseguenti in database in cloud. Generalmente questo è già formalizzato nel contratto di licenza d’uso dell’applicativo o documenti ad esso correlati. I principali players del mercato – se si legge con attenzione i relativi contratti – si sono anche ben cautelati contro la possibile accusa di trattamento illecito di dati personali, scaricando sul cliente-utilizzatore ogni responsabilità sulla fonte dei dati memorizzati nei loro cloud e sull’eventuale necessità di consenso.

La mancata formalizzazione del ruolo della società di web marketing lascia in capo al titolare del trattamento (l’azienda che commissiona il servizio) ogni responsabilità in caso di violazioni di dati personali che potrebbero verificarsi nel processo gestito dal fornitore.

Se l’attività di web marketing si spinge anche sulla gestione dei c.d. social (Linkedin, Facebook ed altri) occorre fare ancora più attenzione alla gestione di eventuali dati personali di terzi utilizzati. Le posizioni di Facebook, Linkedin, Instagram e Twitter rispetto alla gestione della privacy sono documentate nei rispettivi siti, ma attenzione alla gestione di alcuni social emergenti. Certamente se semplicemente postiamo contenuti promozionali sulla nostra pagina Facebook non c’è da preoccuparsi, ma se postiamo un video di un evento con persone riconoscibili su Tik Tok qualche problema in più dobbiamo porcelo.

Anche l’utilizzo di plugin social (i classici pulsanti di condivisione su Facebook, Linkedin, Twitter, ecc. dei contenuti del nostro blog) richiede un minimo di attenzione, anche se nel momento che un visitatore del nostro sito clicca sul pulsante di condivisione per pubblicare sul suo profilo Facebook un nostro articolo sta entrando a casa Facebook con tutti i consensi privacy che ha accettato quando si è iscritto al social network e le successive modifiche.

Quando utilizziamo cookie e tecnologie similari (pixel, beacon, plugin social, ecc.) legate a connessioni social ricordiamoci che sono già state comminate, dalle Autorità di Controllo dei vari Paesi, sanzioni molto elevate (a volte forse anche spropositate) per l’utilizzo troppo disinvolto di queste tecnologie. E ricordiamoci anche che il sig. Zuckenberg ha le spalle robuste ( ed un discreto patrimonio) per sopportare sanzioni stratosferiche, noi probabilmente no.

Prima di affrontare il problema dei cookie e delle tecnologie similari appena introdotto è però opportuno affrontare anche il ruolo del gestore del nostro sito web, ovvero del fornitore a cui abbiamo commissionato il rifacimento del sito e/o la sua manutenzione. Anch’esso si configura come responsabile esterno del trattamento dei dati personali se effettivamente “tratta” dati personali. Questo avviene se gestisce credenziali amministrative del sito web (ovvero può vedere e modificare qualsiasi informazione presente sul sito) e all’interno del medesimo sono presenti dati personali (nomi, cognomi, telefoni, e-mail personali, …). Questo può avvenire semplicemente se nel sito è presente un classico form di richiesta contatto nel quale l’utente può inserire dati personali. Apparentemente arriva solo una e-mail all’indirizzo aziendale inserito, ma per i siti gestiti attraverso un CMS (Content Management System, ad es. WordPress o Joomla per citare i più diffusi) questi dati rimangono nel database del CMS del sito, ospitato presso il provider scelto. Per non parlare poi dei siti che gestiscono registrazione di utenti per ricevere newsletter o l’accesso ad un’area riservata: anche tali informazioni naturalmente vengono conservate nel database del CMS.

La formalizzazione del contratto come responsabile del trattamento per la web agency che ci fornisce questi servizi è molto importante perché comporta la definizione delle misure di sicurezza sul sito o portale web. Il coltello sta dalla parte del manico per il committente che può imporre alla web agency misure di sicurezza che lui ritiene adeguate, o meglio dovrebbe approvare le misure di sicurezza che il fornitore intende implementare. L’adeguatezza di tali misure è un aspetto di una certa importanza perché in caso di violazioni di dati personali (i c.d. data breach) la responsabilità ricade sul titolare del trattamento e sul responsabile del trattamento (il gestore del sito) se nominato.

Naturalmente occorre sempre valutare l’impatto di un data breach per i diritti e le libertà delle persone fisiche: un conto è avere sul sito un elenco di contatti che hanno compilato il form di contatto fra cui figurano solo nomi e cognomi, molti dei quali di fantasia, ed indirizzi e-mail dal prefisso “.ru” di spammers o hacker; un altro è gestire sul portale i dati di esami diagnostici di pazienti di un poliambulatorio medico.

Anche in questo caso esistono due elementi della sicurezza: la sicurezza della piattaforma di hosting del sito e la sicurezza del sito medesimo. Nel primo caso le scelte più popolari di hosting presso fornitori specializzati internazionali e italiani (da Microsoft Azure ad Aruba) non devono preoccupare, sono tutti fornitori certificati ISO 27001 con datacenter provvisti di certificazioni specifiche e quant’altro per dormire sonni tranquilli. Viceversa il sito va gestito ed aggiornato: i CMS più popolari come WordPress vengono continuamente aggiornati per garantire maggior sicurezza ed esistono numerosi plugin per migliorare la sicurezza contro attacchi di forza bruta, spammers ed altro, ma bisogna installarli ed aggiornarli per garantire la protezione rispetto alle ultime vulnerabilità conosciute. Stesso discorso vale per il software di base della piattaforma di hosting (es. PHP, MySQL, ecc.). Non fare nulla per anni sul sito e subire una violazione non ci permette di dimostrare di aver adottato misure di sicurezza adeguate e di evitare le sanzioni conseguenti.

Ma di chi è la responsabilità della conformità del sito alla normativa applicabile? Quindi ci ricolleghiamo al discorso recedente sui cookie perché spesso solo chi ha sviluppato e gestisce il sito sa esattamente quali e quanti cookie vengono gestiti nel sito. Chi acquista il prodotto/servizio si aspetterebbe di riceverlo conforme alle norme, come quando si acquista un prodotto elettrico o si installa un impianto. Il sito o portale web soddisfa i requisiti di privacy by design come sancito dall’art. 25 del GDPR?

Il discorso sui cookie è diventato abbastanza complesso, sia dopo l’avvento del GDPR, sia con l’introduzione di nuove tecnologie atte a monitorare il comportamento sul web degli utenti; il tutto condito dal fatto che il nuovo Regolamento e-Privacy non è ancora stato pubblicato (doveva esserlo insieme al GDPR).

Quindi oggi il quadro è il seguente:

  • l’uso dei cookie è regolato dalla (vecchia) Direttiva e-Privacy (Cookie Law) e non dal GDPR;
  • la Cookie Law pone in capo al titolare l’obbligo di raccogliere un consenso da parte degli utenti prima di installare cookie sui loro dispositivi e di avviare il tracciamento delle attività tramite gli stessi cookie;
  • il consenso ai cookie deve essere “informato” e basato su un’esplicita azione positiva; tali azioni possono includere, in base alle disposizioni previste dalle singole autorità locali – e quindi anche dal Garante Privacy italiano-, il proseguimento della navigazione, come un click su un link o lo scorrimento della pagina, o altre modalità che richiedano all’utente di procedere attivamente;
  • la Cookie Law non richiede che il gestore del sito fornisca agli utenti la possibilità di gestire le preferenze di ogni singolo cookie direttamente dal sito o app, ma solo che si preveda un sistema chiaro per ottenere un consenso informato, oltre a un mezzo per la revoca del consenso e che garantisca, attraverso un blocco preventivo, che non venga effettuato alcun trattamento mediante cookie prima che il consenso sia stato effettivamente acquisito;
  • la Cookie Law non richiede di elencare in dettaglio i cookie di terza parte utilizzati, ma solo di indicarne la categoria di appartenenza e la finalità di trattamento;
  • sebbene la Cookie Law non imponga al gestore del sito di offrire all’utente la possibilità di gestire il consenso per i cookie di terza parte direttamente dal proprio sito o app, è necessario informare gli utenti dell’utilizzo di tali cookie e delle finalità di trattamento, insieme con un riferimento alle relative privacy/cookie policy ed alle eventuali modalità di revoca del consenso (disabilitazione dei cookie).

Dal punto di vista normativo la difficoltà nell’interpretazione della corretta gestione dei cookie e di altre tecnologie similari risiede nel fatto che l’attuale normativa di riferimento, la direttiva ePrivacy (Direttiva 2002/58/CE del Parlamento Europeo e del Consiglio, del 12 luglio 2002, relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche) è in fase di aggiornamento e non è stata abrogata direttamente dal Regolamento UE 2016/679 (GDPR). Quindi, la normativa precedente e il GDPR devono convivere nella regolamentazione di molti aspetti tra cui la problematica dei cookie. Dal punto di vista tecnico, i cookie sono in veloce e rapida evoluzione e spesso si fatica a individuarne la corretta gestione dal punto di vista normativo.

Anche recenti sentenze a livello europeo hanno fatto temere i gestori di alcuni siti di non essere a norma secondo la normativa privacy vigente.

Mentre da alcune parti si leggono interpretazioni più restrittive secondo le quali ogni sito che utilizzi non solo cookie tecnici, ma anche cookie analitici e di terze parti in grado di monitorare in qualche modo il comportamento degli utenti, inoltre dovrebbe richiedere esplicito consenso all’utente per ogni singola categoria di cookie e dare la possibilità di modificare tale consenso; altri continuano a gestire i cookie con un consenso per l’impiego di tutti i cookie basato su un semplice movimento del mouse sulla pagina web oppure del tipo “se continui a navigare nel sito accetti l’uso dei cookie”. I siti che hanno interpretato in maniera più restrittiva la normativa sui cookie legandola al consenso richiesto dal GDPR sono comunque davvero pochissimi. Tale sistema di gestione dei cookie e dei relativi consensi è davvero pesante, lato sito web, ma potrebbe essere demotivante anche per i “naviganti”. Non a caso sono nati plugin quali “I don’t care about cookies” di Chrome.

Considerando che gran parte dei cookie sono di fatto anonimi, in quanto non permettono l’identificazione di una persona fisica che naviga sul nostro sito web, ma solo di un identificativo di un utente anonimo, forse dire semplicemente che il sito utilizza dei cookie e se vuoi disabilitarli ti leggi la cookie policy che ti spiega dove trovare le istruzioni per disabilitare i vari tipi di cookie nei diversi browser non è poi un approccio così sbagliato.

Interessante è la Guida ai cookie e tecnologie similari pubblicata dall’ICO che esamina nel dettaglio la situazione normativa sui cookie in questo momento di transizione, con numerosi riferimenti a normative – tra cui ovviamente il PECR (The Privacy and Electronic Communications – EC Directive- ) Regulations) del 2003 – e linee guida sull’argomento. Tra l’altro, si legge nella guida, che il responsabile della corretta gestione del sito è identificabile nel gestore del sito, non nel titolare del trattamento, ovvero il proprietario del sito, colui che lo ha registrato e ne paga il relativo canone.

Questa interpretazione aumenta le responsabilità in capo al web developper e al web manager, come prospettato in precedenza.

Ma la difficile interpretazione di aspetti che sono normati dalla Direttiva e-Privacy e dal GDPR non riguarda solo i cookie, ma tutto l’ambito del digital marketing. E purtroppo anche le interpretazioni dell’EDPB (Opinion 05/2019 e Statement 03/2019) non chiariscono in pratica come operare in modo conforme. Questa confusione potrà portare a sanzioni limitate oppure a sanzioni fortemente contestabili e, quindi, che non saranno rese effettive.

Altro aspetto non proprio chiaro è quello del marketing diretto svolto rifacendosi al legittimo interesse come base giuridica del trattamento a fronte di quanto scritto nel Considerando 47 del GDPR.

L’invio di newsletter a clienti e contatti vari (i cui nominativi sono stati raccolti chissà quando in situazioni varie quali incontri commerciali, fiere ed altri eventi e così via) è lecito sulla base del legittimo interesse del titolare del trattamento? È necessario richiedere il consenso dell’interessato? Ma se non lo riesco ad ottenere per pigrizia dell’interlocutore non posso più inviare le mie newsletter? Ma i miei concorrenti lo fanno!

Ecco alcune frasi tipiche degli uffici commerciali e del marketing di diverse organizzazioni.

Probabilmente in tema di accountability un CRM che è in grado di raccogliere varie informazioni sui nostri contatti commerciali – tra cui la data e le modalità di acquisizione dei dati personali, lo stato di cliente o prospect a cui è stata fatta un’offerta in passato, ecc. – potrebbe aiutare molto per dimostrare di aver seguito procedure coerenti con i principi del GDPR.

In attesa della pubblicazione della versione definitiva del Regolamento e-Privacy occorre pertanto orientarsi in questa disciplina con le dovute cautele e, soprattutto, documentando ogni decisione presa coerentemente con la propria interpretazione della normativa.

ICO - Indicazioni per l’uso dei cookie e di similari tecnologie

EDPB - Opinion 5/2019 on the interplay between the ePrivacy Directive and the GDPR

Garante Privacy Regole Cookie




Pubblicato l’Elenco degli Innovation Manager

Il Ministero dello Sviluppo Economico (MISE) ha pubblicato nei giorni scorsi l’Elenco degli Innovation Manager, ovvero dei consulenti liberi professionisti e delle società di consulenza che potranno aiutare le aziende che ne faranno domanda a sviluppare l’innovazione tecnologica ed organizzativa dei loro processi usufruendo di importanti agevolazioni statali.

Le indicazioni dettagliate per le imprese che desiderano usufruire di questo finanziamento si possono trovare al sito del MISE cliccando QUI.

In pratica una Piccola o Micro Impresa può usufruire di un Voucher per consulenza negli ambiti previsti dal Decreto Ministeriale del 30 agosto 2019 per il 50% delle spese sostenute fino ad un massimo di € 80.000. Per imprese più grandi e Reti di Impresa l’agevolazione è proporzionalmente inferiore.

Un articolo che illustra in modo chiaro e preciso le modalità di erogazione del finanziamento si può trovare a questo link.

Poiché l’occasione è ghiotta per le aziende, ma anche per i consulenti (si può ottenere un contratto di consulenza fino a € 80.000 facendone pagare al cliente solo la metà), occorre fare attenzione – lato impresa che vuole innovare – alla scelta dell’Innovation Manager giusto; infatti facendo una semplice ricerca su Google si trovano diversi siti che parlano dell’argomento, alcuni dei quali che pubblicano elenchi ristretti o vetrine di Innovation Manager con lo scopo di mettere in evidenza solo i profili che si desidera o quelli che hanno pagato per comparire nella vetrina.

Bene l’unico elenco ufficiale e completo degli Innovation Manager (circa 9000) approvati dal MISE è reperibile a questo link Elenco Innovation Manager MISE.

Ogni consulente/società di consulenza è suddiviso per regione dove intende operare e per ambito di specializzazione. Dunque in base al tipo di progetto che l’impresa intende sviluppare dovrà rivolgersi ad uno degli Innovation Manager che presentano i requisiti di specializzazione adeguati.

E’ opportuno chiarire che le specializzazioni dichiarate – ed in generale tutti i requisiti dichiarati dagli Innovation Manager – non sono stati probabilmente verificati dal MISE con ulteriore documentazione oltre ai curriculum vitae presentati, sebbene tutti i candidati abbiano sottoscritto una dichiarazione ai sensi del DPR 445/2000 sulla veridicità di quanto dichiarato.

La cattiva notizia è che i tempi per le Imprese per richiedere il Voucher Innovazione sono strettissimi (scadenza 26/11/2019, salvo proroghe.

Al link seguente Scheda Innovation Manager potrete trovare la scheda del sottoscritto.




La conservazione dei dati al tempo del GDPR

Il principio di limitazione dei tempi di conservazione dei dati personali è stato incluso nel Regolamento UE 679/2016 (il c.d. GDPR) ed è ribadito in diversi punti del Regolamento stesso. Ad esempio, al considerando 39 troviamo scritto:

“…Da qui l’obbli­go, in particolare, di assicurare che il periodo di conservazione dei dati personali sia limitato al minimo necessario. I dati personali dovrebbero essere trattati solo se la finalità del trattamento non è ragionevolmente conseguibile con altri mezzi. Onde assicurare che i dati personali non siano conservati più a lungo del necessario, il tito­lare del trattamento dovrebbe stabilire un termine per la cancellazione o per la veri­fica periodica. È opportuno adottare tutte le misure ragionevoli affinché i dati per­sonali inesatti siano rettificati o cancellati.”

Tale principio prevede delle eccezioni, anche quando l’interessato ha esercitato il diritto all’oblio; al considerando 65, infatti, troviamo scritto:”… Tuttavia, dovrebbe essere lecita l’ulteriore conservazione dei dati personali qualora sia necessaria per esercitare il diritto alla libertà di espressione e di informazione, per adempiere un obbligo legale, per eseguire un compito di interesse pubblico o nell’esercizio di pubblici poteri di cui è investito il titolare del trattamento, per motivi di interesse pubblico nel settore della sanità pubblica, a fini di archivia¬zione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici, ovvero per accertare, esercitare o difendere un diritto in sede giudiziaria.”

La limitazione della conservazione dei dati personali è un obbligo in capo al Titolare del trattamento, ma anche al Responsabile (cfr. considerando 81: “Dopo il completamento del trattamento per conto del titolare del trattamento, il responsabile del trattamento dovrebbe, a scelta del titolare del trattamento, restituire o cancellare i dati personali salvo che il diritto dell’Unione o degli Stati membri cui è soggetto il responsabile del trattamento prescriva la conservazione dei dati personali.”).

Il principio di limitazione alla conservazione è comunque esposti in maniera tassativa all’articolo 5 (Principi applicabili al trattamento di dati personali), punto c), quando il GDPR ci informa che i dati personali sono: “conservati in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati; i dati personali possono essere conservati per periodi più lunghi a condizione che siano trat¬tati esclusivamente a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici, conformemente all’articolo 89, paragrafo 1, fatta salva l’attua¬zione di misure tecniche e organizzative adeguate richieste dal presente regolamento a tutela dei diritti e delle libertà dell’interessato («limitazione della conservazione»);”.

I limiti temporali di conservazione dei dati personali sono citati anche all’articolo 6 (Liceità del trattamento), relativamente al fatto che la base giuridica del trattamento potrebbe regolamentare anche i tempi di conservazione.

Il periodo di conservazione massimo (ovvero il termine per la cancellazione dei dati personali) deve essere anche documentato, come ci indica l’articolo 13 – relativamente alle informazioni da fornire all’interessato, ovvero la c.d. “Informativa privacy” – al comma 2 a): “il periodo di conservazione dei dati personali oppure, se non è possibile, i criteri utilizzati per determinare tale periodo;”.

Infine, all’articolo 30 (Registri delle attività di trattamento), il GDPR impone di documentare – al comma 1 f) – “ove possibile, i termini ultimi previsti per la cancellazione delle diverse categorie di dati;”.

Se da un lato il principio di limitare la conservazione dei dati personali allo stretto necessario per espletare le finalità del trattamento è abbastanza chiaro e se ne comprende la ratio, non fosse altro che per il fatto che una conservazione eccessiva di archivi di dati personali espone tali dati a maggiori rischi di perdita di riservatezza degli stessi, dall’altro non è sempre facile soddisfare “alla lettera” tale principio.

Passati i primi tempi di attuazione del GDPR, nei quali molti hanno indicato nelle informative (peraltro sollevando diversi dubbi – anche da parte di chi scrive – sulla correttezza dell’affermazione) che i dati personali sono conservati per il tempo necessario a completare il trattamento per il quale ne è stata prevista la raccolta, si è iniziato a porsi parecchi interrogativi. Vediamo quali.

Relativamente ai dati del personale dipendente di un’azienda, chiaramente i dati relativi alle buste paga, al versamento dei contributi e tutte le evidenze di aver adempiuto a tutti gli obblighi di legge da parte del Datore di Lavoro è corretto che vengano mantenuti per 10 anni dopo la rescissione del rapporto di lavoro. Viceversa, come ci si deve comportare relativamente a tutte le registrazioni presenti in azienda relative alle attività svolte dal dipendente e dalle sue competenze? Mi riferisco a schede di formazione del personale o attestanti le specifiche competenze; registrazioni di attività, verifiche e controlli svolti, partecipazioni a riunioni; redazione, verifica ed approvazione di documenti emessi e così via. Per non parlare della posta elettronica: se la casella di posta elettronica personale deve essere disattivata appena possibile dopo l’interruzione del rapporto contrattuale del dipendente o collaboratore con l’azienda (è utile impostare un inoltro delle e-mail in ingresso verso altra casella, con risposta automatica al mittente comunicando che la persona non è più in forza all’azienda, ma non tutti lo fanno), che ne sarà degli archivi di posta elettronica?

Qui si apre un altro problema: gli archivi di posta spesso contengono informazioni di business, oltre a dati personali di dipendenti, collaboratori, persone che rappresentano clienti e fornitori (effettivi o potenziali) ed applicare un criterio di retention massima a tutta la posta potrebbe causare la perdita di informazioni importanti. Questo problema è spesso dovuto alle cattive abitudini delle aziende di conservare i documenti e le informazioni di business negli archivi di posta elettronica anziché impiegare sistemi di gestione documentale e applicativi gestionali specifici (CRM, software pe la gestione dei progetti, applicativi di issue & bug tracking/management nello sviluppo software, sistemi di ticketing per gestire le richieste di assistenza, ecc.). In tal caso il problema è organizzativo, non è la privacy che impone regole strane poco gestibili!

Cancellare selettivamente dalle e-mail le informazioni relative ad un numero circoscritto di persone fisiche è comunque infattibile con gli strumenti attualmente disponibili. Dunque che ne è dei diritti alla cancellazione dei propri dati personali esercitabili dall’interessato? In questo caso forse chi ha scritto il Regolamento ha mancato di senso pratico e tuttora nessuno ha pubblicato delle linee guida al riguardo.

Da un punto di vista strettamente teorico è possibile soddisfare la richiesta di un cliente (più probabilmente un privato) che chiede la cancellazione dei propri dati dagli archivi aziendali: fatti salvi gli obblighi di conservazione dei dati relativi a fatture ed ordini per adempiere ad obblighi contabili e fiscali, potrebbe essere semplice cancellare i dati del cliente nell’anagrafica del gestionale e/o del CRM. Ma come si fa a cancellare i dati personali del cliente da tutta la documentazione prodotta internamente e presente in altri archivi del file system, all’interno di file di Office, compresa la posta elettronica? Al momento non credo ci siano applicazioni in grado di gestire una cancellazione così selettiva, tenendo anche presente che nei documenti aziendali sono presenti dati personali di uno o più soggetti interessati, ma anche altre informazioni di business. Non sarebbe dunque opportuno cancellare un documento, magari recente, perché contiene i dati personali di una persona che ha esercitato il diritto all’oblio; infatti si cancellerebbero anche altre informazioni importanti. Viceversa, la cancellazione specifica dei soli dati personali dell’interessato (ad esempio sostituendoli con la stringa “XXXXX”) non è praticabile in modo automatico su grandi moli di documenti con i software a disposizione oggi.

Sempre relativamente ai dati personali dei clienti i termini di cancellazione potrebbero essere giustamente allungati dal titolare del trattamento per cautelarsi a fronte di richieste di risarcimento danni, anche da parte di terzi, contenziosi o indagini dell’Autorità Giudiziaria. In buona sostanza per poter dimostrare di aver svolto il proprio compito con diligenza e rispettando le regole. Infatti, al di là dei tempi di prescrizioni previsti dalla legge, in certi settori – ad esempio quello delle costruzioni o quello sanitario – potrebbe essere necessario garantire la bontà del proprio operato per parecchi anni dopo lo svolgimento del servizio.

 

In certi casi la conservazione dei dati oltre il periodo strettamente necessario potrebbe costituire semplicemente un vantaggio per l’interessato. Ad esempio nel settore della sanità privata, se escludiamo i dati sanitari relativi a ricoveri ed interventi chirurgici – per i quali la legge prevede la conservazione a tempo illimitato -, il fatto di conservare gli esiti di un esame svolto presso la struttura sanitaria potrebbe costituire un indubbio vantaggio per il paziente che si reca nella medesima struttura per svolgere nuovamente il medesimo esame o altri esami o visite di controllo per i quali sarebbe utile disporre delle informazioni relative all’anamnesi del paziente: l’eventuale smarrimento del referto passato da parte dell’interessato potrebbe non essere deleterio per lo stesso paziente. Certamente, in questo caso aumentano i rischi di perdita di riservatezza dei dati personali (appartenenti a particolari categorie di dati), ma quale principio deve prevalere? Il rispetto della privacy o il servizio al cliente? In assenza di una legislazione specifica che imponga limiti di cancellazione determinati o consenta la conservazione per periodi lunghi dei dati personali la scelta resta difficile.

Nel settore del direct-marketing, poi, la presenza di dati personali in un CRM o in una mailing-list per l’invio di newsletter potrebbe costituire un trattamento illecito di dati personali senza il consenso dell’interessato o in assenza di altre basi giuridiche per il trattamento. Fermo restando l’obbligo di consentire la cancellazione dalla mailing-list ad ogni invio di comunicazioni, quanto tempo possiamo mantenere i dati nel nostro database per l’invio di newsletter commerciali? Per sempre se l’interessato non esprime la volontà di non ricevere più comunicazioni? Quando cessa di essere valida la finalità del trattamento in oggetto?

Per le attività promozionali legate alle fidelity card esistevano – prima del GDPR – dei provvedimenti del Garante italiano che fissavano i limiti di conservazione dei dati e delle relative campagne promozionali in due anni, salvo deroghe concesse in settori particolari.

Come citato all’inizio del presente articolo, tali regole si applicano anche a chi opera come Responsabile del Trattamento secondo l’articolo 28 del GDPR, ma quanti consulenti del lavoro cancelleranno i dati dei dipendenti di un proprio cliente (Titolare del Trattamento) dagli archivi del proprio applicativo per la gestione delle paghe una volta che si è interrotto il rapporto di collaborazione?

Come si può intuire da quanto esposto finora il problema non è solo definire i limiti di conservazione temporale dei dati personali, ma anche attuare i criteri stabiliti.

Dal punto di vista informatico non so quali software sono in grado di cancellare selettivamente i dati in base ad un determinato criterio di conservazione? Probabilmente alcuni applicativi non permettono neanche la cancellazione di una scheda anagrafica per problemi di “integrità referenziale” (se cancello un’anagrafica di una persona si dovrebbero cancellare anche tutte le informazioni dipendenti legate alla medesima anagrafica, ma ciò non sempre è opportuno per evitare di cancellare altre informazioni necessarie). Sicuramente chi svilupperà i programmi software che gestiscono dati personali dovrà considerare anche questo aspetto legato alla privacy, nelle specifiche che renderanno il prodotto “privacy by design”.

In generale la necessità di dover soddisfare un determinato criterio di cancellazione dei dati comporta l’adozione di criteri di archiviazione delle informazioni, sia in digitale, sia su supporto cartaceo, adeguati di conseguenza. Facciamo un semplice esempio per chiarire meglio il concetto.

Se un’impresa conserva le fatture emesse ai clienti nel fascicolo della commessa, dove la commessa si può protrarre per diversi anni, oppure le conserva nella cartella del cliente, si troverà in difficoltà quando si tratterà di cestinare le fatture più vecchie di 10 anni. Dovrà andare a cercare le fatture in tutte le cartelle delle commesse o del cliente per ricercare i documenti obsoleti!

Viceversa, l’impresa che archivierà le fatture in ordine cronologico, per anno di competenza, potrà più agevolmente distruggere (non gettare nei rifiuti in modo indiscriminato) i documenti relativi ad ogni anno di competenza.

Chiaramente il GDPR è entrato in vigore quando le organizzazioni di ogni tipo avevano già impostato criteri di “data retention” ed ora si trovano a dover gestire il principio di limitazione del periodo di conservazione dei dati personali anche sul passato. Naturalmente il Regolamento non dice nulla sull’applicabilità di questo principio anche sui dati già presenti negli archivi delle organizzazioni titolari del trattamento al momento dell’entrata in vigore del Regolamento.

Indubbiamente ci sarebbe estremo bisogno di chiarimenti sui criteri di conservazione da adottare per i dati personali al tempo del GDPR, in primis da parte del nostro Garante per la Protezione dei Dati Personali (si ricorda che si attende ancora la nomina del nuovo Garante Privacy da parte del Governo, in quanto il mandato precedente è già scaduto), poi anche da parte delle istituzioni europee.




Quale Registro dei trattamenti per il GDPR?

Il registro delle attività di trattamento è uno dei pochi adempimenti obbligatori imposti dal Regolamento UE 679/2016, noto anche come GDPR. Anzi, probabilmente è l’unico documento da predisporre obbligatoriamente per quasi tutte le organizzazioni che trattano dati personali, infatti le esclusioni possibili – per interpretazione della stessa Autorità Garante Nazionale – non riguardano le aziende che gestiscono dei dipendenti, in quanto esse trattano dati appartenenti a particolari categorie di dati personali in modo non occasionale.



L’art. 30 del GDPR, oltre a stabilire chi deve redigere il Registro dei trattamenti, ne definisce i contenuti. Il Registro del Titolare contiene le le seguenti informazioni:

  • il nome e i dati di contatto del titolare del trattamento e, ove applicabile, del contitolare del trattamento, del rappresentante del titolare del trattamento e del responsabile della protezione dei dati;
  • le finalità del trattamento;
  • una descrizione delle categorie di interessati e delle categorie di dati personali;
  • le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, compresi i destinatari di paesi terzi od organizzazioni internazionali;
  • ove applicabile, i trasferimenti di dati personali verso un paese terzo o un’organizzazione internazionale, compresa l’identificazione del paese terzo o dell’organizzazione internazionale e, per i trasferimenti di cui al secondo comma dell’articolo 49, la documentazione delle garanzie adeguate;
  • ove possibile, i termini ultimi previsti per la cancellazione delle diverse categorie di dati;
  • ove possibile, una descrizione generale delle misure di sicurezza tecniche e organizzative di cui all’art. 32 del Regolamento.

Il Registro del Responsabile, invece, contiene:

  • il nome e i dati di contatto del responsabile o dei responsabili del trattamento, di ogni titolare del trattamento per conto del quale agisce il responsabile del trattamento, del rappresentante del titolare del trattamento o del responsabile del trattamento e, ove applicabile, del responsabile della protezione dei dati;
  • le categorie dei trattamenti effettuati per conto di ogni titolare del trattamento;
  • ove applicabile, i trasferimenti di dati personali verso un Paese terzo o un’organizzazione internazionale, compresa l’identificazione del paese terzo o dell’organizzazione internazionale e, per i trasferimenti di cui al secondo comma dell’articolo 49, la documentazione delle garanzie adeguate;
  • ove possibile, una descrizione generale delle misure di sicurezza tecniche e organizzative di cui all’articolo 32 del Regolamento.

Purtroppo il Regolamento UE sulla protezione dei dati non permette di chiarire molti dubbi interpretativi e nemmeno le FAQ del Garante Privacy dello scorso settembre sono particolarmente utili al riguardo.

Alcuni punti fermi sono i seguenti;

  • il Registro dovrebbe essere redatto da tutte le organizzazioni commerciali, anche se in alcuni casi interpretando il GDPR si potrebbe evitare di predisporlo, secondo il principio dell’accountability è oltremodo opportuno avere un registro dei trattamenti che formalizza il fatto che il titolare del trattamento ha determinato quali dati personali sta trattando;
  • I registri sono due: quello del Titolare – che riporta i trattamenti che l’organizzazione svolge in qualità di Titolare del trattamento – e quello del Responsabile – che riporta i trattamenti che l’organizzazione effettua come Responsabile esterno del trattamento per conto di altro Titolare o Responsabile (secondo l’art. 28 del GDPR) -;
  • Il Registro (o i Registri) vanno tenuti in forma scritta, anche elettronica, mantenendo però evidenza delle revisioni avvenute.

All’organizzazione che deve predisporre il registro dei trattamenti si pongono due problemi fondamentali:

  • Quale formato adottare per il Registro;
  • Quali dati inserire nelle voci del Registro.

Appurato che il Registro dei trattamenti ha due sezioni, una per i trattamenti effettuati come Titolare ed una sezione per quelli effettuati come Responsabile, è chiaro che il Registro del Titolare avrà una intestazione con i dati di contatto del Titolare del trattamento, ovvero l’organizzazione proprietaria del Registro, e tante righe per ogni trattamento svolto.

La scelta della forma per il Registro è importante per la sua alimentazione iniziale e successiva gestione. In generale possono distinguersi tre casi:

  • Registro con tante righe quanti sono i trattamenti individuati e, nelle colonne, i campi previsti dal Regolamento, magari con qualche informazione in più. Tale formato è facilmente creabile tramite una tabella di Word o un file di Excel, ma non sempre stampabile agevolmente – anche in formato orizzontale – in quanto le informazioni da includere nelle colonne (i campi) sono diverse e il testo può essere lungo.
  • Registro a schede: una scheda per ogni trattamento con due colonne, la prima che identifica i campi delle voci previste dal GDPR per il Registro, la seconda con il relativo contenuto. Tale formato consente di gestire meglio lo spazio a disposizione con un file di Word, ma la stampa richiede più fogli.
  • Registro tabellare invertendo il primo formato sopra indicato: nelle colonne sono riportati i trattamenti e nelle righe i contenuti dei vari campi stabiliti dal Regolamento: Tale formato è più agevole da gestire – in formato Excel o Word – se i trattamenti sono in numero limitato, inferiore ai campi delle informazioni da includere nel registro.

Ci sono poi applicativi software specifici che permettono di gestire il Registro dei trattamenti o addirittura tutta la privacy. Tali software, gestendo i trattamenti del registro tramite database, normalmente generano stampe poco compatte del registro, di numerose pagine, proprio perché non premettono la flessibilità di un editor di testo che consente di governare gli spazi in modo ottimale.

Stabilito il formato da adottare per il Registro veniamo al problema principale, quali contenuti andiamo ad indicare nel Registro?

Nel Registro dei trattamenti, ovvero nei campi relativi ad ogni trattamento, dovrebbero essere riportate tutte le informazioni seguenti.

Identificativo del trattamento: è opportuni assegnare un codice identificativo ad ogni trattamento che permetta di richiamarlo in altri documenti in modo immediato ed univoco.

Denominazione del trattamento: quale nome descrittivo assegniamo al trattamento (es. Gestione del personale, gestione fornitori, gestione commerciale, ecc.).

Tipo di supporto: I dati personali relativi al trattamento sono conservati su supporto cartaceo o durevole (es. Plastica di un badge o cartellino identificativo, lastra di un referto di diagnostica per immagini, ecc.) oppure su supporto digitale o entrambe?

Finalità del trattamento. Per quale finalità trattiamo questi dati personali, qual è lo scopo del trattamento?

Qui però bisogna fare una riflessione: come definiamo un trattamento di dati personali appartenente ad una singola riga (record) del registro? Definiamo un unico trattamento la gestione del personale dipendente e dei collaboratori a contratto oppure esplicitiamo come trattamenti i seguenti?

  • Amministrazione o contabilità del personale (rilevazione presenze, elaborazione paghe,…)
  • Gestione operativa del personale (mansioni, turni, programmazione attività…)
  • Gestione dell’assicurazione sanitaria dei dipendenti
  • Assicurazione sugli incidenti sul lavoro
  • Gestione sicurezza sul lavoro D.Lgs. 81/2008
  • Controllo accessi ai locali aziendali
  • Sorveglianza sanitaria
  • Gestione mensa
  • Gestione curriculum/schede del personale/competenze
  • Gestione formazione ed addestramento del personale
  • Gestione valutazioni ed incentivazione del personale
  • Gestione sanzioni disciplinari
  • Gestione rimborsi spese
  • Gestione dei contratti di collaborazione (a progetto, interinali, ecc.)
  • Processo di ricerca e selezione di nuovo personale
  • e così via.

Tale elenco potrebbe essere molto lungo, soprattutto in aziende di certe dimensioni.

Per i dati dei clienti quali trattamenti? Solo la “Gestione dei rapporti con I clienti” oppure:

  • Gestione delle richieste di offerta
  • Gestione delle offerte
  • Gestione degli ordini
  • Gestione delle attività di marketing diretto
  • Gestione dei contatti commerciali da sito web
  • …..

Chiaramente se si approccia il Registro nel primo modo il registro dei trattamenti di un’azienda manifatturiera normale sarà di poche righe, mentre nel secondo il numero di righe potrà facilmente superare la cinquantina di record. Ma qual è la strada giusta? La complessità dell’organizzazione potrà sicuramente suggerirci una strada piuttosto che l’altra.

Un approccio più minimalista, ma molto sostanziale ci potrebbe portare a dire che la maggior parte delle organizzazioni trattano dati di clienti, di fornitori, del personale dipendente e di terzi. Ad ognuna di queste macro-categorie possono essere associati più processi aziendali che comportano trattamenti di dati personali.

Se invece di un’impresa manifatturiera tipica consideriamo imprese di servizi, magari del settore sanitario, allora I trattamenti potranno proliferare. Un piccolo ambulatorio medico potrebbe trattare I dati dei pazienti in una decina di apparecchiature medicali, ognuna di esse con le proprie specificità.

Naturalmente né il Regolamento, né le FAQ del Garante ci indicano una strada precisa da intraprendere.

Descrizione delle categorie di interessati: occorre indicare se stiamo trattando dati personali di clienti persone fisiche, di persone fisiche che rappresentano I clienti, dati del personale dipendente e loro familiari, ecc.

Descrizione delle categorie di dati personali (nello specifico se vengono trattati particolari categorie di dati, quali dati che rivelano l’origine razziale, opinioni politiche, convinzioni religiose, appartenenza ad un sindacato, dati sulla salute, dati giudiziari, ecc.). Si potrebbe stabilire una classificazione delle categorie di dati personali, ad esempio:

  • Dati anagrafici (nome, cognome, data di nascita, sesso, …)
  • Dati di contatto: e-mail, telefono, …
  • Dati economico-finanziari e patrimoniali
  • Dati relativi allo stato di salute
  • Dati relativi ad opinioni politiche, appartenenza sindacale
  • Dati relative a convinzioni religiose
  • Dati relativi all’orientamento sessuale
  • Dati relativi ad origini etniche
  • Dati genetici
  • Dati biometrici
  • Dati relativi alla geolocalizzazione;
  • Dati multimediali (foto/immagini/audiovideo), eventualmente legati alla videosorveglianza (e quindi geolocalizzati)
  • Dati relativi alla navigazione online (indirizzo IP, dati sulla posizione, dati sulla navigazione internet, ecc.)
  • Dati fiscali (CF, Partita IVA per professionisti o ditte individuali)
  • Dati di dettaglio della proprietà (proprietà di veicoli e proprietà immobiliari, numeri di targa, ecc.);
  • Documenti di identità (Carta identità, patente, passaporto…)
  • Dati bancari (IBAN o n° c/c, carta di credito, …)
  • Dati sul nucleo familiare (composizione, nominativi coniuge, figli, ecc.)
  • Dati relativi a provvedimenti sanzionatori e disciplinari, amministrativi, ecc.
  • Dati giudiziari: dati relativi condanne penali e reati (casellario giudiziale, carichi pendenti), dati relativi a procedimenti giudiziari in corso, sia civili che penali, …

Ognuna di queste possibili categorie di dati personali può possedere un diverso livello di riservatezza, non assoluto, ma dipendente dal contesto. Ad esempio, per un dipendente di un’azienda il dato dello stipendio in busta paga può costituire dato maggiormente riservato – all’interno della stessa – rispetto all’appartenenza ad un sindacato; sebbene quest’ultimo sia classificato come “dato particolare” e l’altro no.

Categorie di destinatari a cui verranno comunicati i dati: qui occorre indicare a quali tipologie di soggetti vengono comunicati I dati personali in questione per espletare attività specifiche o per adempiere a requisiti contrattuali o di legge. Ci sarà il consulente del lavoro per I dati del personale dipendete, ma anche gli Enti Previdenziali di competenza, Banche, Assicurazioni e così via. Predisporre un elenco esaustivo non è facile. Bisogna comprendere tutti quelli che trattano I dati in questione o solo quelli a cui vengono comunicati? Nel primo caso ci possono essere società di informatica che gestiscono I sistemi gestionali o l’assistenza sistemistica.

Trasferimento presso Paesi terzi o presso un’organizzazione internazionale: occorre indicare se i dati possono essere trasferiti presso un Paese extra UE (dove non vige il GDPR) e, in tal caso, quali sono le misure adottate per garantire il rispetto della privacy? Ad esempio, si può invocare il Privacy Shield per dati trasferiti negli USA, norme vincolanti d’impresa per dati trasferiti nell’ambito di un’azienda multinazionale o il consenso dell’interessato. In questo caso attenzione ai dati mantenuti in cloud: il datacenter potrebbe essere fuori dalla UE e, dunque, occorre assicurarsi che siano rispettate le regole previste.

Termine ultimo per la cancellazione: questa informazione può essere resa anche in forma di criterio (ad esempio fino al termine del periodo di prescrizione previsto per legge), non necessariamente di anni e mesi. Tuttavia, il rispetto del principio di limitazione temporale del trattamento spesso contrasta con gli interessi dell’organizzazione e la legislazione applicabile non aiuta a determinare periodi di conservazione congrui. Su questo aspetto si potrebbe discutere all’infinito per trovare un giusto compromesso fra le esigenze della privacy (e dei diritti dell’interessato) e quelle del titolare del trattamento che potrebbe voler mantenere certi dati per un tempo molto lungo per eventualmente difendersi in giudizio in caso di contenzioso. I dati conservati da un medico o da una struttura sanitaria relativamente ad un intervento chirurgico o un esame sono solo un esempio di questa problematica.

Base giuridica per effettuare il trattamento: è opportuno stabilire fin da subito qual è la base giuridica che rende lecito il trattamento, da ricercare fra quelle stabilite dall’articolo 6 del GDPR per tutte le tipologie di dati:

  • Consenso dell’interessato
  • Esecuzione di un contratto
  • Esecuzione misure precontrattuali
  • Obbligo legale
  • Salvaguardia interessi vitali dell’interessato
  • Esecuzione compiti di interesse generale
  • Esercizio di pubblici poteri
  • Legittimo interesse del Titolare

Se invece trattasi di dati appartenenti a particolari categorie di dati occorre ricercare la liceità fra le opzioni dell’articolo 9 del Regolamento UE 679, ovvero:

  • Consenso dell’interessato
  • Esercizio obblighi in materia di diritto del lavoro
  • Esercizio obblighi in materia di protezione sociale
  • Esercizio obblighi in materia di protezione sociale
  • Tutela interesse vitale dell’Interessato
  • Trattamento ex art. 9 lett. d) GDPR
  • Dati personali resi pubblici dall’Interessato
  • Trattamento in sede giudiziaria
  • Trattamento per interesse pubblico rilevante
  • Finalità di medicina
  • Interesse pubblico per sanità pubblica
  • Archiviazione nel pubblico interesse
  • Ricerca storica o statistica

Descrizione generale delle misure di sicurezza adottate per garantire la riservatezza, l’integrità e la disponibilità dei dati: questo campo del registro è difficilmente compilabile con una descrizione sintetica che non rimandi ad altri documenti. Ecco che potrebbe essere utile rimandare ad un documento apposito che descriva nel dettaglio quali misure tecniche ed organizzative sono state poste in essere per tutelare i dati personali, ad esempio facendo riferimento ad un capitolo del manuale privacy o procedura di gestione della privacy, relazione sulle misure di sicurezza dei sistemi informatici e così via. Questo serve anche a evitare ridondanze visto che se la conservazione di un archivio cartaceo in armadi e contenitori chiusi a chiave può riferirsi ad alcuni trattamenti, l’implementazione di sistemi anti-malware copre probabilmente tutti i trattamenti effettuati con mezzi elettronici.

Eventuali contitolari e responsabili del trattamento nominati: per ogni trattamento potrebbe esserci un contitolare del trattamento che va indicato nel registro con i relativi dati identificativi e di contatto e riferimenti dell’eventuale DPO, mentre ogni trattamento potrebbe avere un responsabile esterno nominato secondo l’articolo 28 del GDPR in quanto effettua il trattamento “per conto del titolare”. In tal caso una gestione efficiente del Registro potrebbe prevedere un’anagrafica dei responsabili esterni del trattamento nominati con i relativi dati (denominazione, dati di contatto, data dell’atto di nomina, riferimenti contrattuali e relativa scadenza, ecc.) a cui associare ogni trattamento che prevede un responsabile esterno.

Per quanto riguarda il Registro del Responsabile il set di informazioni richieste dal GDPR è inferiore a quello del Registro del Titolare, direi forse troppo ridotto. È comunque opportuno riprendere molti dei campi utilizzati per il registro del Titolare anche per quello del Responsabile, al fine di mantenere una visione coerente dei dati trattati.

La principale problematica che si presenta per il Registro del Responsabile è che un’organizzazione che effettua un medesimo trattamento di dati personali per conto di diversi Titolari dovrebbe avere un Registro del Responsabile con moltissime voci (righe), praticamente tutte uguali se non per il nome del Titolare del trattamento (il Cliente). Questa situazione può essere risolta riportando nel Registro del Responsabile una sola riga con le informazioni identiche che sarebbero ripetute per tutti i trattamenti effettuati per conto di tutti i Titolari, richiamando – nel campo riservato all’identificazione del Titolare – un apposito elenco esterno al Registro nel quale sono riportati tutti i clienti per i quali si effettua il trattamento, con i relativi dati di contatto, ecc.

Questa situazione è comune a diverse categorie di attività, ad esempio consulenti del lavoro, commercialisti, software house e fornitori di SaaS in cloud.




Fatturazione elettronica? Si grazie

Come tutti ormai sanno la fatturazione elettronica B2B è diventata obbligatoria dallo scorso 1° gennaio per tutti o quasi.

Al di là degli oserei dire inevitabili problemi tecnici che si stanno rilevando per mettere a regime questa rivoluzione contabile e fiscale del nostro Paese, credo sia opportuno capire meglio gli effetti di questa innovazione.



Già perché di una grande innovazione tecnologica si tratta
ed il fatto che il nostro Paese sia tra I primi ad adottarla in Europa deve,
una volta tanto, farci pensare positivo, di essere all’avanguardia. Invece
molti dicono: «ma gli altri Paesi non ce l’hanno!»

Come tutte le innovazioni occorre un po’ di impegno e di
risorse per arrivare a regime, ma questo non deve far ritenere che sia una cosa
sbagliata. Occorrerà “soffrire” un po’ per imparare ed abituarsi a questa nuova
modalità di fatturazione, ma alla fine i vantaggi saranno notevoli.

Da parte dello Stato e del Fisco (Agenzia delle Entrate) ci
saranno innumerevoli vantaggi: comunicazione tempestiva delle fatture emesse,
maggior controllo su potenziali evasioni fiscali ed altri reati, omogeneità dei
dati in formato elettronico standard, maggior possibilità di effettuare
controlli incrociati, ecc.

Ma vorrei analizzare i vantaggi dal punto di vista delle
imprese e dei professionisti, fermo restando che bisogna dare per scontato che
la possibilità di evasioni e truffe ai danni dello Stato non deve essere
considerata una penalizzazione.

Premesso ciò il nuovo sistema obbliga le imprese ed i professionisti
(eventualmente attraverso i rispettivi commercialisti) a dotarsi di un applicativo
web per l’invio delle fatture elettroniche (o di adottare quello messo a
disposizione dalla AE), A parte singoli liberi professionisti o imprese
individuali di imprenditori di ridotte capacità di utilizzo di strumenti
informatici, la scelta di adottare la soluzione proposta dal proprio software
gestionale oppure di dotarsi di un nuovo applicativo dedicato è sicuramente
quella vincente.

Tali soluzioni permetteranno alle aziende di disporre delle
fatture attive già registrate in contabilità al momento dell’emissione e del
relativo pagamento e di registrare le fatture passive al momento della
ricezione, o poco tempo dopo, con un minimo inserimento di dati. Questo
significa eliminazione completa del documento cartaceo e riduzione della
probabilità di commettere errori, ovvero riduzione dei costi del processo
contabile. Soprattutto per le piccole imprese, che magari emettevano le fatture
con un software e poi il consulente fiscale le reinseriva nel proprio
applicativo di contabilità.

Niente più pile di carta di fatture da registrare (e da pagare),
niente più fatture non ricevute con inevitabili solleciti del fornitore, niente
più paure che un’errata registrazione possa comportare sanzioni fiscali.

Per arrivare al processo amministrativo-contabile perfetto
basterebbe rendere automatici i pagamenti in base ai termini pattuiti, ma
questo è un altro discorso… sebbene volendo lo Stato potrebbe ovviare a questa
mala-abitudine di molte imprese italiane di ritardare I pagamenti oltre ogni
limite.

Certamente questa rivoluzione dei processi contabili porterà
dei vantaggi alle aziende che avranno saputo cogliere questa opportunità per
migliorare la propria efficienza. Chi avrà deciso di affidarsi a servizi di
fatturazione elettronica di terzi, ad esempio della Banca o di provider a basso
costo, piuttosto che sposare le soluzioni integrate in un proprio gestionale, pagherà
dazio nei prossimi anni perché si troverà a duplicare le registrazioni o a
pagare uno Studio Commercialista esterno per un servizio in più. A proposito
dei Commercialisti: molti di loro che hanno tenuto la contabilità dei clienti
si vedranno eliminare questo servizio per i clienti che avranno deciso di
seguire il proprio applicativo gestionale, dunque i compensi per le loro
prestazioni dovranno inevitabilmente diminuire, magari non subito, ma nel medio
periodo.

Purtroppo oggi esistono imprese che ancora non dispongono di
un software gestionale, almeno per gestire ordini e fatture, e forse avranno
colto anche loro questa opportunità di informatizzare la gestione di alcuni
processi. Parliamoci chiaro, un’impresa che fattura almeno 500 mila euro
oggigiorno non può non disporre di un software gestionale per la propria
attività.

La rivoluzione dei processi contabili, forzata dalla
fatturazione elettronica, poterà anche ad una rivalutazione nelle risorse umane
e delle relative competenze.

Anche certe abitudini delle nostre imprese di fatturare le
prestazioni a scadenze definite (ad es. metà e fine mese) dovranno essere
riviste; perché a parte il primo periodo di messa a regime della fatturazione
elettronica, fra pochi mesi per emettere una fattura con data ad es. 30 maggio,
non si potrà aspettare il 5 o 6 giugno e i tempi fra consuntivazione delle
vendite di prodotti e servizi e loro fatturazione dovranno essere rivisti.

Da un lato, dunque, cerchiamo di capire bene come funzionerà
questo nuovo sistema, dall’altro pensiamo anche come riprogettare il processo
contabile per non trovarsi in difficoltà e non dover sopportare maggiori costi.

Infine, il problema di privacy, evidenziato dal Garante per
la Protezione dei Dati Personali quando ormai mancava poco tempo all’avvio
della fatturazione elettronica obbligatoria fra privati.

Si potrebbe osservare che ci potevano pensare prima, Agenzia
delle Entrate nel progettare il sistema e Garante nell’esaminare il contesto.

In realtà sono stati posti molti interrogativi, anche
piuttosto inquietanti, sul possibile utilizzo dei dati di fatturazione
elettronica gestiti nelle varie piattaforme software e dai provider di conservazione
sostitutiva.

Mi sembra chiaro che è a prescindere vietato sfruttare i
dati presenti nelle piattaforme per ricavare dati statistici significativi,
salvo che i titolari di tali dati non ne concedano il permesso.

Sul fronte più squisitamente tecnico della sicurezza
informatica ci si pone l’interrogativo se siano sicure tutte queste fatture,
anche contenenti dati sensibili se relative a prestazioni sanitarie, nei
database conservati dai provider dei vari applicativi per la fatturazione
elettronica. E il famigerato SDI dell’Agenzia delle Entrate?

Verrebbe invece da chiedersi quanto siano sicuri i dati
conservati nei software gestionali di contabilità nei vari server aziendali (o
PC di piccole imprese e professionisti della sanità), relativamente alle
fatture gestite informaticamente finora.




Prime esperienze di applicazione del GDPR

Il GDPR è divenuto pienamente attuativo dal 25 maggio scorso, anche se in realtà era stato pubblicato due anni prima, però il processo di adeguamento delle imprese italiane al GDPR è ancora in corso. Questo perché da un lato, come è consuetudine nel nostro Paese, le Imprese affrontano le scadenze legislative solo all’ultimo momento, non preoccupandosi di capire prima quanto tempo è necessario per l’adeguamento legislativo. Dall’altro anche le Istituzioni (Stato Italiano e Garante Privacy) stanno impiegando molto più tempo del previsto per rendere completo, ed auspicabilmente di chiara interpretazione, il panorama legislativo in materia di protezione dei dati personali.

Il fatto che molti punti del GDPR non sono di facile interpretazione e, anzi, gli approcci sono talvolta differenti, non ha fatto altro che rallentare il percorso di adeguamento.

Tra gli effetti collaterali di questo lento percorso di adeguamento c’è la difficoltà di interfacciarsi con i soggetti esterni all’impresa o allo studio professionale, perché il mondo perfetto in cui i miei clienti ed i miei fornitori sono già adeguati al GDPR – e lo hanno interpretato in modo uniforme – al momento non esiste, e non si sa quando ci si arriverà.

Passiamo ad esaminare le principali problematiche – e possibili soluzioni – delle prime applicazioni del GDPR in organizzazioni di diverso tipo e dimensioni.

1) Informative e consensi

L’informativa è lo specchietto delle allodole della nuova normativa sulla privacy; non bisogna credere che basta trovare un modello di informativa, magari gratuitamente dal web o da amici e colleghi, per aver risolto il problema privacy: uno su mille ce la fa! Solo pochi singoli (ditte individuali, professionisti singoli) senza dipendenti possono accontentarsi della nuova informativa.

Inoltre, l’informativa ha un contenuto che non può essere redatto in modo completo solo partendo da un modello standard e conoscendo l’art. 13 (e seguenti) del Regolamento UE 679/2016; occorre conoscere come funzionano i flussi di trattamento dei dati personali nell’organizzazione. Magari attraverso un’assessment ed una gap analysis approfondita, soprattutto nelle organizzazioni più complesse.

Infine, c’è il problema di come comunicare l’informativa agli interessati. Occorre analizzare bene requisiti normativi, processi gestionali ed esigenze organizzative per scegliere le modalità più opportune. Probabilmente un’informativa pubblicata su una pagina web ed una e-mail ai clienti (effettivi e potenziali) e fornitori, che comunica l’aggiornamento dell’informativa privacy, reperibile al sito www…. è la soluzione migliore nella maggior parte delle organizzazioni, soprattutto se operano B2B.

2) Responsabili esterni del trattamento

Il GDPR ci dice di identificare i soggetti esterni all’organizzazione che trattano per “suo conto” dati personali e di designarli come responsabili del trattamento attraverso un atto a valenza contrattuale.

In primo luogo occorre stabilire quali fornitori (e non solo) operano come responsabili del trattamento perché trattano dati personali di cui l’organizzazione è titolare del trattamento: società e studi che forniscono servizi contabili e fiscali, società e studi che forniscono servizi di elaborazione buste paga e consulenza del lavoro, società che forniscono servizi informatici (servizi di assistenza sistemistica, fornitori di software gestionale ed applicativo, fornitori di servizi cloud, ecc.) sono solo alcuni candidati… occorre anche qui capire come si svolgono le varie attività internamente ed esternamente ed è necessario valutare l’affidabilità del fornitore in termini di garanzie relative alla protezione dei dati personali.

Per gestire correttamente questo punto bisogna essere in due ed essere d’accordo sulla nomina di responsabile del trattamento e sui relativi obblighi contrattuali del responsabile.

Questa attività di “regolarizzazione” dei responsabili del trattamento è spesso lunga e non priva di ostacoli, anche per l’inerzia dei fornitori in questione a rispondere a semplici questionari nei quali si va a chiedere loro quali misure di sicurezza sono state implementate al loro interno (ad es. nella gestione operativa dello studio e/o nel software). Se poi il fornitore non accetta la nomina a responsabile del trattamento (e dei relativi obblighi contrattuali) perché si sente titolare autonomo o semplice soggetto autorizzato a trattare dati personali, ecco che il processo di adeguamento al GDPR si complica enormemente. Se si prende spunto dai sistemi di gestione qualità ISO 9001 si comprende che i fornitori dovranno essere “qualificati” per fornire la nostra organizzazioni e situazioni nelle quali il fornitore tiene “in scacco” il cliente in tema di privacy sono da evitare.

3) Registro delle attività di trattamento

È un adempimento non solo formale (praticamente l’unico richiesto alla stragrande maggioranza delle organizzazioni), ma sostanziale: per redigere il registro dei trattamenti (del titolare e del responsabile) bisogna conoscere quali dati personali vengono trattati, in quali processi dell’organizzazione e con quali modalità. Anche in questo caso occorre un’analisi dei processi dell’organizzazione precisa e puntuale. Effetto collaterale di questa attività di mappatura dei flussi di dati dell’organizzazioni potrebbe essere quello, gradito, di individuare gestioni di dati ridondanti e inefficienti, da eliminare in prospettiva, non solo di privacy.

Ci sono diverse interpretazioni nella composizione del Registro dei trattamenti, francamente non credo che le diverse interpretazioni possano costituire un rischio di compliance del registro dei trattamenti a fronte di ispezioni del Garante, dato che in fondo non esistono linee guida chiare sulle corrette modalità di alimentazione dei registri dei trattamenti (le recenti FAQ del Garante in merito non aiutano più di tanto).

Un registro completo anche di informazioni non necessariamente richieste dal GDPR, ma utili nella gestione dei dati personali (es. software gestionali ed applicativi che trattano i dati personali, funzioni aziendali autorizzate a trattare i dati, ecc.) risulta utile per comprendere come sono gestiti i dati personali.

Da ultimo, per completare i registri dei trattamenti occorre sapere per quali attività di trattamento l’organizzazione è titolare del trattamento e per quali è solo responsabile: e ciò si lega alle problematiche del punto precedente, anche in senso opposto, relativamente ai ruoli di titolare e responsabile del trattamento, o magari di contitolare.

4) Misure di sicurezza tecniche ed organizzative

La definizione delle misure di sicurezza adeguate è uno dei punti più difficili del GDPR. Propedeutica a questa attività c’è la valutazione dei rischi che incombono sui dati personali e soprattutto sulle persone fisiche cui si riferiscono.

Al di là della criticità o meno dei trattamenti effettuati dalle diverse organizzazioni occorre stabilire un livello minimo di sicurezza nei sistemi di protezione dei dati personali, coerente con gli standard nazionali ed internazionali e le best practice di sicurezza informatica. Il problema è che non esistono più le misure minime di sicurezza stabilite per legge, anche se alcune di esse (non tutte) rimangono valide a livello di standard minimo di sicurezza sostenibile davanti ad un Giudice. Infatti, dobbiamo pensare al caso peggiore: l’ispezione del Nucleo Privacy della Guardia di Finanza (magari a seguito di un data breach) e le richieste di risarcimento danni di un interessato che si ritiene danneggiato da una violazione dei suoi dati personali.

Allora occorre documentare lo stato dei sistemi informatici con riferimento alle misure di sicurezza implementate e documentare anche le misure organizzative attuare. È il minimo per dimostrare l’accountability, ma può essere solo un punto di partenza se le misure implementate non sono convincenti per essere sostenute nei confronti di terzi.

Nelle PMI talvolta la gestione sistemistica dei sistemi informatici è delegata ad un soggetto esterno (singolo professionista o società di servizi informatici). In questi casi il titolare dei trattamenti come minimo dovrebbe pretendere una descrizione dettagliata delle logiche di funzionamento dei sistemi e delle misure di sicurezza implementate, ma spesso il fornitore è restio a documentare una prassi non completamente sicura, implicitamente accettata dalla Direzione aziendale che non intendeva sobbarcarsi ulteriori costi per rendere maggiormente sicuri i sistemi.

Una misura di sicurezza (organizzativa) è costituita proprio dalla disponibilità di relazioni e dichiarazioni scritte da parte del fornitore di servizi IT.

Tra le misure organizzative di sicurezza rientrano anche nomine ad amministratore di sistema (secondo il provvedimento del Garante per la Privacy del 2008 ancora valido) di coloro che di fatto svolgono tali mansioni, contratti con fornitori che garantiscono sicurezze adeguate sui dati personali da essi gestiti, compresa una designazione a responsabile esterno del trattamento, la formazione del personale, procedure e istruzioni interne.

Su quest’ultimo aspetto risulta molto utile istituire una sorta di “Regolamento informatico interno”, che descriva le regole da seguire da parte del personale quando utilizza i dispositivi ITC messi a disposizione dall’azienda e non solo. Tale Regolamento dovrebbe trattare – coerentemente con le misure di sicurezza effettivamente implementate – argomenti quali: gestione delle password, gestione delle postazioni di lavoro, gestione dei dispositivi portatili, misure di sicurezza da adottare in viaggio, modalità di utilizzo dei dispositivi elettronici assegnati (cosa si può fare e cosa no), regole da seguire nella navigazione internet e nell’utilizzo della posta elettronica e così via.

Tali disposizioni, oltre che per la protezione dei dati personali, sono utili alla Direzione aziendale per garantirsi in caso di atti illeciti commessi da un dipendente tramite strumenti ICT dell’azienda.

Tornando alle misure di sicurezza informatica implementate, le principali carenze che si rilevano, soprattutto nelle piccole e microimprese, sono legate all’utilizzo di antivirus free (che talvolta non lo sono per utilizzo a fini commerciali), indirizzi di posta elettronica gratuiti, piattaforme in cloud gratuite, servizi di trasmissione di file di grandi dimensioni, ecc. Come noto il termine “gratis” è estremamente gradito a molti piccoli imprenditori, ma per chi tratta dati personali, specie se di tipo sanitario o giudiziario, i sistemi gratuiti offerti anche da importanti player mondiali quali Google, Microsoft, ecc. potrebbero non rappresentare una misura di sicurezza adeguata. Se i dati personali sono critici dal punto di vista della riservatezza, sistemi che non la garantiscono a priori (il servizio gratuito è generalmente fornito in cambio dell’utilizzo dei dati) non costituiscono la scelta migliore. Inoltre la conservazione di dati personali in cloud storage che fisicamente risiedono fuori dalla UE è ammessa solo sotto determinate condizioni.




Nuovo Decreto Legislativo n. 101 del 10 agosto 2018 – Codice Privacy emendato

Il Decreto Legislativo 10 agosto 2018, n. 101 “Disposizioni per l’adeguamento della normativa nazionale alle disposizioni del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati)” è stato pubblicato in Gazzetta Ufficiale il 04/09/2018 ed entra in vigore dal 19/09/2018.

Il tanto atteso (da chi si occupa di GDPR e privacy in generale) documento normativo permette di inquadrare meglio la materia “protezione dati personali” nel panorama legislativo italiano dopo l’entrata in vigore del Regolamento UE 679/2016 (RGPD o GDPR).

Come previsto dalle letture delle precedenti versioni dello schema di Decreto, approvato dal C.d.M. lo scorso 8 agosto, il testo di legge non fuga molti dubbi che sono emersi dall’applicazione del GDPR in questi primi mesi (in realtà il Regolamento è noto da oltre due anni).

In particolare, non viene trattato il tema delle nomine dei Responsabili esterni del Trattamento (quando si rientra in questo caso? Che fare se la nomina viene rifiutata dal fornitore?), ma questo forse potrà essere argomento delle Linee Guida per le PMI del Garante Privacy, che di fatto riguarderanno la quasi totalità delle organizzazioni italiane per come è strutturato il nostro panorama industriale e dei servizi. Non vengono nemmeno fugati i molti dubbi circa l’applicazione di determinate misure di sicurezza o relativamente al concetto di “larga scala”.

Purtroppo il concetto di accountability (responsabilizzazione) è lontano dall’animo degli imprenditori italiani, che hanno sempre necessitato di regole certe e ben definite: o bianco o nero, permesso o vietato. È come se nel Codice della Strada scomparissero i limiti di velocità e comparisse una regola generale che preveda che “in ogni strada ogni automobilista deve mantenere una velocità adeguata a garantire la sicurezza di persone e cose, minimizzando i rischi di provocare incidenti”.

Oltre alle misure di semplificazione per le PMI, che il Garante Privacy italiano dovrà emanare prossimamente (i tempi previsti sono piuttosto lunghi, visto anche che il GDPR è pienamente attuativo già da oltre tre mesi ed è stato pubblicato nel 2016), farà certamente piacere a molte organizzazioni sapere che tra le disposizioni transitorie e finali, contenute all’art. 22 del nuovo D.Lgs 101/2018, è invece previsto che “per i primi otto mesi dalla data di entrata in vigore, il Garante per la protezione dei dati personali tiene conto, ai fini dell’applicazione delle sanzioni amministrative (…), della fase di prima applicazione delle disposizioni sanzionatorie”. Dunque, fino al 19 maggio 2019 il Garante sarà clemente? Cosa significa? Vuol dire che non ci saranno sanzioni, se non nei casi più gravi (o che costituiscono violazioni della normativa sulla privacy già da tempo), fino a maggio 2019, ma non si può dire ufficialmente per non subire la reprimenda della UE?

Il nuovo D. Lgs 101/2018 in realtà va a modificare il vecchio D. Lgs 196/2003 che, però, vede abrogati la maggior parte dei suoi articoli e, di fatto, viene riscritto tenendo conto delle prescrizioni del GDPR Europeo. In pratica il D. Lgs 101/2018 è poco leggibile, se non si dispone di una versione del D. Lgs 196/2003 modificata e integrata. Ampiamente criticabile è la scelta di novellare il Codice Privacy (D. Lgs 196/2003 con le sue successive modifiche ed integrazioni intercorse negli anni) anziché abrogarlo in toto ed emanare un nuovo Decreto.

Tutto ciò non fa che rendere il panorama normativo in materia di privacy sempre più complesso, oltre che ancora fluido. Si pensi anche ai provvedimenti del Garante Privacy preesistenti all’entrata in vigore del Regolamento 679/2016, che sono stati ritenuti ancora validi, fatto salvo che il Garante stesso potrà modificarli per aggiornarli alla normativa attuale.

Ma veniamo ai punti salienti trattati dal nuovo Decreto Legislativo 101 del 2018:

  • Inquadramento dei compiti di interesse pubblico che riguardano i trattamenti dei dati personali, attività della Pubblica Amministrazione e tutto ciò che concerne i trattamenti di dati personali effettuati dagli apparati Statali e dalla Sanità Pubblica. Nel GDPR tali situazioni erano correttamente rimandate a regolamentazioni nazionali.
  • Chiarimenti sulle modalità di trattamento di particolari categorie di dati, quali dati relativi alla salute, dati genetici e dati biometrici.
  • Definizione più dettagliata dei criteri di applicazione delle sanzioni ed introduzione delle sanzioni penali (solo per situazioni molto gravi).
  • Introduzione dei soggetti “designati” al trattamento dei dati personali, con particolari compiti e responsabilità, non solo soggetti “istruiti” e non più “responsabili interni al trattamento”.
  • Disposizioni per settori specifici (anche semplificazioni per la gestione dei curriculum ricevuti dalle organizzazioni).
  • Regole per il settore delle comunicazioni elettroniche e per il giornalismo.
  • Conferimento di poteri al Garante per la Protezione dei Dati Personali per l’aggiornamento di provvedimenti e disposizioni varie, comprese le misure semplificate per le PMI e la definizione dei ruoli nei confronti di ACCREDIA relativamente alla certificazione.
  • Criteri di applicazione delle sanzioni.

In conclusione il percorso di rinnovamento del “sistema privacy” non si è ancora concluso e le problematiche attuative, soprattutto per le organizzazioni che trattano in modo significativo dati personali, anche appartenenti alle “particolari categorie di dati” individuate dal GDPR, restano abbastanza complesse, soprattutto a fronte di un meccanismo sanzionatorio incerto che potrebbe portare a parecchie contestazioni. Vedremo come il Garante potrà svolgere il gravoso compito demandatogli dal Governo.

Decreto Legislativo 101/2018 - Modifiche al Codice Privacy




La norma UNI 11697:2017 e la figura del DPO

Lo scorso dicembre – dopo lunghe discussioni – è stata pubblicata la norma UNI 11697:2017 “Attività professionali non regolamentate – Profili professionali relativi al trattamento e alla protezione dei dati personali – Requisiti di conoscenza, abilità e competenza”, inerente la definizione dei requisiti relativi all’attività professionale dei soggetti operanti nell’ambito del trattamento e della protezione dei dati personali (compreso il DPO), da questi esercitata a diversi livelli organizzativi (pubblico o privato).

L’UNI dichiara che “La norma definisce i profili professionali relativi al trattamento e alla protezione dei dati personali coerentemente con le definizioni fornite dall’EQF e utilizzando gli strumenti messi a disposizione dalla UNI 11621-1 Attività professionali non regolamentate – Profili professionali per l’ICT – Parte 1: Metodologia per la costruzione di profili professionali basati sul sistema e-CF“.

La norma, anche dopo la sua uscita, è stata fonte di animate discussioni fra gli esperti del settore e, soprattutto, è stata vivacemente contestata da chi ritiene che non esponga in modo chiaro e preciso i requisiti professionali delle figure in oggetto oppure definisca delle figure professionali favorevoli a certi profili piuttosto che altri.

Le figure professionali delineate dalla norma UNI sono le seguenti:

  1. Data Protection Officer (DPO), figura di supporto al titolare o responsabile del trattamento nell’applicazione e per l’osservanza del Regolamento (UE) 2016/679, in conformità all’ art. 37 (Designazione del Responsabile della protezione dei dati), art. 38 (Posizione del Responsabile della protezione dei dati) e art. 39 (Compiti del Responsabile della protezione dei dati).
  2. Manager Privacy, figura che assiste il titolare nelle attività di coordinamento di tutti i soggetti che – nell’organizzazione – sono coinvolti nel trattamento di dati personali (responsabili, incaricati, amministratori di sistema, ecc.), garantendo il rispetto delle norme in materia di privacy e il mantenimento di un adeguato livello di protezione dei dati personali.
  3. Specialista Privacy, figura di supporto appositamente formato (è richiesta una formazione minima di 24 ore), che collabora con il Manager Privacy e cura la corretta attuazione del trattamento dei dati personali all’interno dell’organizzazione, svolgendo le attività operative che, di volta in volta, si rendono necessarie durante tutto il ciclo di vita di un trattamento di dati personali.
  4. Valutatore Privacy, figura dotata di una apposita formazione (minima di 40 ore) che si caratterizza per la sua terzietà sia nei confronti del Manager che dello Specialista Privacy; egli esercita una attività di monitoraggio (audit) andando ad esaminare periodicamente il trattamento dei dati personali e valutando il rispetto delle normative di settore emanate.

Concentriamoci sulla figura del DPO o RPD. La norma definisce una descrizione sintetica del profilo, una missione, dei risultati attesi, dei compiti principali, delle competenze, delle abilità e delle conoscenze.

Per ognuna delle competenze assegnate seguenti è definito un livello di competenza:

  • Pianificazione di Prodotto o di Servizio
  • Sviluppo della Strategia per la Sicurezza Informatica
  • Gestione del Contratto
  • Sviluppo del Personale
  • Gestione del Rischio
  • Gestione delle Relazioni
  • Gestione della Sicurezza dell’Informazione
  • Governante dei sistemi informativi

Tra le Abilità (Skill) stabilite che deve possedere il DPO si segnalano:

  • Contribuire alla strategia per il trattamento e per la protezione dei dati personali
  • Capacità di analisi
  • Capacità organizzative
  • Pianificazione e programmazione
  • Saper analizzare gli asset critici dell’azienda ed identificare debolezze e vulnerabilità riguardo ad intrusioni o attacchi
  • Saper anticipare i cambiamenti richiesti alla strategia aziendale dell’information security e formulare nuovi piani
  • Saper applicare gli standard, le best practice e i requisiti legali più rilevanti all’information security
  • Garantire che la proprietà intellettuale (IPR) e le norme della privacy siano rispettate
  • egoziare termini e condizioni del contratto
  • Preparare i template per pubblicazioni condivise
  • Progettare e documentare i processi dell’analisi e della gestione del rischio
  • Essere in grado di seguire e controllare l’uso effettivo degli standard documentativi aziendali

Invece tra le Conoscenze (Knowledge) possedute dal DPO vi sono:

  • I principi di privacy e protezione dei dati by design e by default I diritti degli interessati previsti da leggi e regolamenti vigenti Le responsabilità connesse al trattamento dei dati personali
  • Norme di legge italiane ed europee in materia di trattamento e di protezione dei dati personali
  • Norme di legge in materia di trasferimento di dati personali all’estero e circolazione dei dati personali extra UE
  • Le metodologie di valutazione d’impatto sulla protezione dei dati e PIA
  • Le norme tecniche ISO/IEC per la gestione dei dati personali
  • Le tecniche crittografiche
  • Le tecniche di anonimizzazione
  • Le tecniche di pseudonimizzazione
  • Sistemi e tecniche di monitoraggio e “reporting”
  • Gli strumenti di controllo della versione per la produzione di documentazione
  • I rischi critici per la gestione della sicurezza
  • I tipici KPI (key performance indicators)
  • Il ritorno dell’investimento comparato all’annullamento del rischio
  • la computer forensics (analisi criminologica di sistemi informativi)
  • La politica di gestione della sicurezza nelle aziende e delle sue implicazioni con gli impegni verso i clienti, i fornitori e i sub-contraenti
  • Le best practice (metodologie) e gli standard nella analisi del rischio
  • Le best practice e gli standard nella gestione della sicurezza delle informazioni
  • Le norme legali applicabili ai contratti
  • Le nuove tecnologie emergenti (per esempio sistemi distribuiti, modelli di virtualizzazione, sistemi di mobilità, data sets)
  • Le possibili minacce alla sicurezza
  • Le problematiche legate alla dimensione dei data sets (per esempio big data)
  • Le problematiche relative ai dati non strutturati (per esempio data analytics)
  • Le tecniche di attacco informatico e le contromisure per evitarli

Fra le competenze richieste determinate dalla norma emergono profili afferenti a:

  • Consulenti direzione
  • Consulenti ed esperti di sistemi di gestione della sicurezza delle informazioni (famiglia delle norme ISO 27000)
  • Auditor di sistemi di gestione
  • Esperti di Risk Management
  • Consulenti/esperti sulle normative attinenti alla privacy ed alla protezione dei dati personali (leggi, normative, disposizioni del Garante, ecc.)

Inoltre sono richieste conoscenze legali sulla contrattualistica, competenze sulla sicurezza informatica (tecniche di attacco, crittografia, ecc.) e sui sistemi informatici e relativi database.

Pur con le dovute precisazioni relative al fatto che il candidato DPO dovrà ricoprire un ruolo le cui caratteristiche dipendono fortemente dall’organizzazione in cui dovrà andare a operare, è evidente che prevalgono le competenze gestionali/manageriali e quelle relative alla sicurezza delle informazioni, piuttosto che quelle legali. Per quanto possa essere contestata, la norma chiaramente individua soggetti più vicini all’ingegnere dell’informazione che all’esperto legale come possibile DPO/RPD. Sicuramente le competenze legali eventualmente mancanti a un profilo molto vicino all’ingegnere dell’informazione sono più facilmente colmabili, anche attraverso consulenze specifiche, rispetto ad altre situazioni in cui il potenziale DPO si trova a dover colmare il gap di competenza relativo ai sistemi di gestione della sicurezza delle informazione, al risk management, alle basi di dati e magari anche alla cybersecurity.

Sicuramenteci sono in giro illustri avvocati esperti di info security e data protection, magari anche consulenti ed auditor ISO 27001, ma tutti coloro che si propongono per il ruolo di DPO con competenze essenzialmente giurisprudenziali saranno adatti a ricoprire il ruolo di DPO?

Naturalmente queste considerazioni valgono se si pensa di affidare il ruolo di DPO ad un’unica figura, con l’eventuale supporto di un team di esperti nelle varie discipline.

Chiaramente ogni organizzazione o ente pubblico che vorrà selezionare il proprio DPO potrà decidere come meglio crede in base ai compiti e le caratteristiche identificate per il DPO dal Regolamento UE 679/2016, ma la norma UNI 11697, volontaria, dice questo.