Gli accordi fra Titolare del trattamento e Responsabile del Trattamento sono probabilmente uno dei punti più difficili da gestire nell’applicazione del GDPR, sia perché i requisiti del GDPR sono diversi dalla vecchia nomina del responsabile esterno del trattamento del Codice Privacy, sia perché le responsabilità, in capo sia al Titolare, sia al Responsabile sono più pesanti che in passato.
Spesso tale accordo è imposto dal Titolare al Responsabile che non gradisce e troppo spesso il Titolare evita contrasti con il Responsabile, magari fornitore già scelto da tempo, e desiste. In altri casi – come quelli dei colossi del web, fornitori di servizi cloud – il Titolare non ha nemmeno modo di discutere le clausole contrattuali dell’accordo per la protezione dati imposto dal Responsabile.
L’articolo 28 del regolamento UE 679/2016 /GDPR), al comma 1, indica che:
Qualora un trattamento debba essere effettuato per conto del titolare del trattamento, quest’ultimo ricorre unicamente a responsabili del trattamento che presentino garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del presente regolamento e garantisca la tutela dei diritti dell’interessato.
Inoltre, il suddetto Regolamento – al comma 3 -prevede anche che:
I trattamenti da parte di un responsabile del trattamento sono disciplinati da un contratto o da altro atto giuridico a norma del diritto dell’Unione o degli Stati membri, che vincoli il responsabile del trattamento al titolare del trattamento e che stipuli la materia disciplinata e la durata del trattamento, la natura e la finalità del trattamento, il tipo di dati personali e le categorie di interessati, gli obblighi e i diritti del titolare del trattamento
Da questi requisiti e dal prosieguo del comma 3 discendono le clausole che normalmente vengono imposte nei contratti fra titolare e responsabile, ovvero nei contratti di “nomina del responsabile del trattamento”. Al di là delle discussioni sull’opportunità di denominare ancora questi accordi “nomina del responsabile del trattamento” retaggio della precedente normativa italiana (D.Lgs. 196/2003), di fatto si tratta di un accordo o contratto che impegna le due Parti nei rispettivi ruoli, ma soprattutto è il Responsabile nominato che dovrà adempiere ad alcuni obblighi.
Nel corso di questi oltre quattro anni di applicazione del GDPR ho riscontrato diverse situazioni difficili nel finalizzare la sottoscrizione di questo accordo di nomina del Responsabile, da entrambe le parti.
Il problema principale che si riscontra è quello che il nominando Responsabile non accetta la nomina/accordo perché ritiene di non ricoprire il ruolo di Responsabile, ma piuttosto quello di Titolare autonomo o di soggetto autorizzato al trattamento dei dati personali.
È ormai noto il caso dei consulenti del lavoro o studi/società che elaborano le buste paga per aziende e organizzazioni di ogni tipo: il loro ruolo era chiaramente quello di Responsabile del trattamento, ma finché il Garante Privacy non si è espresso hanno “resistito” anche in forza di una interpretazione di parte del loro Ordine Professionale.
Per altri soggetti il ruolo non è sempre ben definito e, anche quando è stato definito il ruolo di Responsabile del Trattamento, spesso le clausole contrattuali sono contestate.
Mi riferisco ai Responsabili del Servizio di Prevenzione e Protezione (RSPP), naturalmente se professionisti esterni all’organizzazione Titolare del trattamento, ai Commercialisti e Consulenti Fiscali, ai Consulenti legali, ai Revisori Contabili, all’Organismo di Vigilanza (OdV), ai membri del Collegio Sindacale, ai consulenti di servizi di assistenza informatica e così via.
È importante capire che non è il semplice incarico a determinare il ruolo soggettivo privacy del consulente/professionista esterno o fornitore. Dipende da quali dati tratta e come li tratta.
Emblematico è il caso del RSPP che può trattare i dati del personale dipendente (solo dati anagrafici e di contatto, talvolta – ma non sempre – anche dati su infortuni, dunque dati personali appartenenti a categorie particolari di dati ai sensi dell’art. 9 del GDPR) solo presso la sede dell’azienda su sistemi informatici della stessa (alla stregua di un RSPP interno), oppure può trattare i medesimi dati su propri dispositivi e sistemi informatici, anche presso il proprio Studio. A mio parere nel primo caso il suo ruolo si avvicina più a quello del soggetto autorizzato a trattare dati personali, nel secondo a quello di Responsabile esterno del trattamento ex art. 28 del Regolamento Ue 679/2016.
Ma non vorrei qui soffermarmi sulle numerose casistiche che si possono verificare nei rapporti fra Titolare e fornitore e sulla conseguente determinazione del ruolo soggettivo privacy di quest’ultimo, ma piuttosto sui contratti che vengono stipulati (o che si cerca di proporre) fra le parti.
Il caso tipico è quello nel quale il Titolare, tramite il suo consulente privacy o DPO propone un contratto standard per quasi tutti i fornitori che trattano dati personali. Qui se l’autore del contratto/accordo per il trattamento dei dati personali è stato predisposto da un giurista o proviene da una fonte similare (es. modello di DPA dell’Autorità di Controllo della Danimarca oppure le Clausole Contrattuali tipo emanate dalla Commissione Europea) è possibile che alcune clausole siano giustamente rifiutate dal Responsabile designato. In generale un contratto con nomina a Responsabile troppo esteso e dettagliato, scritto in “legalese” potrebbe essere respinto nella sua interezza dal fornitore. Come spesso capita la ragione sta nel mezzo, infatti alcune clausole non fanno che ribadire quello che è già scritto nel GDPR e responsabilizzano il responsabile, se mi è consentito il gioco di parole.
Veniamo a trattare alcuni elementi specifici.
Natura del trattamento, tipi di dati personali trattati e categorie di interessati
Su questo aspetto l’accordo sulla protezione dati potrebbe richiamare il contratto con il fornitore/responsabile, ma talvolta tale contratto non specifica in modo corretto queste informazioni per cui bisogna sopperire nell’accordo di nomina a responsabile. È evidente che senza disporre del contratto che origina il rapporto non si può redigere un accordo di nomina a responsabile completamente corretto.
Personalmente sconsiglio di scendere troppo nel dettaglio dei tipi di dati personali trattati dal Responsabile: è sufficiente indicare dati anagrafici anziché nome, cognome, indirizzo di residenza, ecc.; dati fiscali anziché codice fiscali, partita IVA, dati di fatturazione, ecc.; dati di contatto anziché numero di telefono fisso e cellulare, indirizzo e-mail, PEC, ecc.. Altrimenti ci si troverebbe facilmente a discutere con il Responsabile e, a fronte di nuovi dati l’accordo sarebbe da integrare.
Riguardo ad eventuali dati appartenenti acategorie particolari si può opportunamente distinguere tra i dati sanitari (dati relativi alla salute) da altre categorie di dati particolari come idee politiche, credo religioso e così via.
Regolamentazione di un eventuale sub-responsabile o altri responsabili del trattamento
Il Responsabile può essere autorizzato ad impiegare suoi fornitori (sub-responsabili) nel trattamento dei dati personali del titolare oppure può essere vincolato a richiedere l’autorizzazione per ogni nuovo sub- responsabile o altro responsabile che intende coinvolgere. In ogni caso il nome dell’eventuale “altro responsabile” deve essere reso noto al Titolare.
Se da un lato il fornitore che gestisce una piattaforma di elaborazione delle paghe dei dipendenti in modalità SaaS è sicuramente un Responsabile del Trattamento dello Studio di Consulenza sul Lavoro e, quindi, un Sub-Responsabile dell’azienda che ha la titolarità dei dati dei dipendenti di cui ha esternalizzato la gestione delle paghe, dall’altro ci sarebbe da discutere sul ruolo dei consulenti informatici dello Studio di Consulenza sul Lavoro che occasionalmente possono venire a conoscenza di alcuni dati personali dei dipendenti del titolare in occasione di interventi di assistenza sui sistemi informatici – in questo caso client-server – dello Studio.
Consideriamo che a ogni Sub-Responsabile dovrebbero essere applicate le medesime clausole contrattuali in essere fra Titolare e Responsabile.
Qui evidentemente c’è un problema nel Regolamento UE 679/2016 che non chiarisce fino a che punto considerare la catena degli altri responsabili del trattamento. Il paradosso sarebbe quello che un sub-responsabile che opera per un determinato Responsabile si dovrebbe veder applicate clausole contrattuali diverse a seconda delle clausole imposte al Responsabile da ogni Titolare per cui esso fornisce il servizio. Ma non solo: il nostro Sub-Responsabile forse non lavorerà per un unico cliente che opera come Responsabile… e allora a quali contratti e clausole contrattuali deve fare riferimento?
Credo che se chi ha ideato questo articolo 28 del GDPR (e relativo Considerando 81) non ha pensato a queste casistiche bisognerebbe che il Legislatore Europeo, piuttosto che l’EDPB o le Autorità di Controllo dei singoli Paesi chiariscono la situazione.
Una situazione emblematica è quella che riguarda le misure di sicurezza tecniche ed organizzative (le vedremo in seguito) che il Titolare può imporre – a termini di Regolamento – al Responsabile: che succede se un Titolare chiede al Responsabile di adottare delle password di almeno 8 caratteri variate ogni 180 gg. e un altro chiede le password di almeno 12 caratteri variate ogni 90 giorni e un altro ancora chiede la MFA?
I dati devono essere trattati dal Responsabile solo su istruzione documentata del Titolare
Spesso le istruzioni dettagliate non esistono, sono verbali oppure ripercorrono il testo del GDPR. Chiaramente il Titolare non può e non deve dare istruzioni al fornitore come fare il suo lavoro (non può indicare al consulente del lavoro come elaborare le paghe, che evidentemente devono rispettare requisiti di legge che il consulente del lavoro ben conosce), ma solo quali misure adottare per mantenere la protezione dei dati personali. Ad esempio non trasmettere dati riservati in chiaro tramite e-mail, consegnare documenti in busta chiusa tramite corriere piuttosto che Raccomandata A.R. o posta ordinaria. O adottare determinate misure di sicurezza…
Il Responsabile deve adottare misure di sicurezza adeguate come previsto dall’art. 32 del GDPR
Un’indicazione al Responsabile che richiami semplicemente di adottare misure di sicurezza adeguate come prescritto dall’articolo 32 del GDPR non ci dice nulla. L’art. 32 non ci indica quali misure di sicurezza adottare, ma solo quelle ritenute adeguate a fronte di una valutazione del rischio!
Imporre al Responsabile determinate misure di sicurezza può costituire un rischio, ossia che non vengano accettate. Ad esempio l’imposizione della variazione della password periodicamente è ormai appurato che non può essere considerata sempre una misura di sicurezza pienamente efficace, purché il mancato obbligo di modifica della password sia affiancato da altre tecniche (criteri di complessità elevati, notifiche di accesso, MFA, …).
Alcuni contratti, poi, richiamano a titolo esemplificativo (come il GDPR) la cifratura e la pseudonimizzazione come misure di sicurezza. Mentre la prima dovrebbe essere contestualizzata e meglio dettagliata (collegamenti VPN, area dati cifrata sui dischi, dischi dei notebook cifrati, dati in cloud cifrati…), la seconda è molto impegnativa, se non impraticabile, nella stragrande maggioranza dei casi se i dati non sono pseudonomizzati all’origine.
Forse la soluzione migliore è quella di chiedere al Responsabile, attraverso un apposito questionario, quali misure di sicurezza tecniche ed organizzative sta adottando. In tal modo, oltre a stimolare il fornitore sul tema, si può decidere se accettare o meno le misure di sicurezza proposte dal fornitore, ritenendole più o meno adeguate al contesto in cui opera il fornitore. In tal modo si si assicura di aver valutato anche l’adeguatezza del fornitore prima di affidargli l’attività di trattamento dati.
Clausole che descrivono come il Responsabile deve assistere il Titolare in caso di violazione dei dati personali
Il c.d. Data Breach deve essere notificato al GPDP entro 72 ore da quando si è venuti a conoscenza del fatto. Imporre al Responsabile tempistiche molto ridotte per segnalare al Titolare eventuali violazioni di dati personali non ha molto senso, anche perché i tempi non si sommano! Mi spiego meglio: se il Responsabile del trattamento si accorge di un data breach che coinvolge i dati del Titolare alle ore 12 del 10 febbraio e lo comunica al Titolare il12 febbraio alle ore 12 (ovvero dopo 48 ore), il Titolare del trattamento ha 72 ore per fare la notifica al GPDP a partire dalle ore 12 del 12 febbraio, non dalle ore 12 del 10 febbraio, dunque non ha solo 24 ore dalla comunicazione del Responsabile, semplicemente perché prima non lo sapeva del data breach!
Conservazione ovvero cancellazione dei dati personali trattati al termine del contratto
Anche questo punto è molto discutibile: non può essere sempre imposto al Responsabile di cancellare o restituire tutti i dati personali trattati al termine del contratto o dopo un breve periodo da esso, ad es. 30/60 giorni. Per certe attività o prestazioni professionali è ammissibile che il Responsabile trattenga alcuni dati, non solo per adempiere a requisiti di legge, ma anche per dimostrare la correttezza della prestazione svolta, soprattutto se questa deve rispondere a particolari normative.
Occorre poi precisare che qualunque fornitore-responsabile tratta solo determinati dati, per determinate finalità, del cliente-titolare in qualità di Responsabile. Dunque, i dati di contatto delle persone di riferimento del Titolare, i dati che rientrano nella fatturazione ed in altri obblighi contabili e fiscali sono trattati in qualità di Titolare (autonomo), dunque non rientrano nei termini di cancellazione del contratto di nomina a responsabile, ma saranno quelli indicati nell’Informativa al trattamento dati ai sensi dell’art. 13 del GDPR come titolare del trattamento.
Premesso ciò, diversi consulenti includono inevitabilmente dati anagrafici di dipendenti o persone che rappresentano i clienti o altri fornitori nei loro documenti. Non è pensabile che essi restituiscano e cancellino ogni copia di tali elaborati che costituiscono know-how personale o aziendale e nemmeno che oscurino/cancellino tutti i riferimenti a persone fisiche in tali documenti (sarebbe un lavoro spropositato). Non parliamo poi dei documenti ed altre informazioni scambiate via e-mail!
Anche in questo caso se il legislatore non sopperisce a chiarire queste assurdità dovrebbero essere i contratti fra Titolari e Responsabili ad adeguarsi.
Diritto di audit da parte del Titolare sul Responsabile
Il GDPR prevede che il Responsabile:
h) metta a disposizione del titolare del trattamento tutte le informazioni necessarie per dimostrare il rispetto degli obblighi di cui al presente articolo e consenta e contribuisca alle attività di revisione, comprese le ispezioni, realizzati dal titolare del trattamento o da un altro soggetto da questi incaricato.
Questo è stato tradotto da molti accordi con il diritto di effettuare audit al Responsabile. Anche se il contenuto del Regolamento è un po’ più sfumato non è pensabile che il Titolare abbia il diritto di effettuare un audit, come e quando vuole, presso la sede del Responsabile. Premesso che tale attività ha senso solo per trattamenti particolarmente critici e per fornitori che non si dimostrino pienamente attendibile nelle loro risposte ad un eventuale questionario, le modalità di svolgimento di tali audit andrebbero regolamentate contrattualmente.
Impegno alla riservatezza del personale del Responsabile
Tutto il personale del Responsabile del trattamento deve aver sottoscritto un impegno alla riservatezza, probabilmente inserito nella designazione a soggetto autorizzato al trattamento dei dati personali. Questa è un’evidenza che il Titolare potrebbe chiedere al responsabile.
Altre evidenze potrebbe giustamente richiedere il Titolare al Responsabile, come il Registro dei Trattamenti del responsabile (dopo la tipula dell’accordo), solamente, però, per le informazioni riguardanti il trattamento dei dati personali svolto per conto del medesimo Titolare.
In conclusione, i contratti standard fra Titolare e Responsabile mal si applicano a tutte le realtà ed andrebbero personalizzati altrimenti i rischi sono due:
Che il responsabile si rifiuti di sottoscrivere l’accordo
Che il responsabile non consideri tutte le clausole contrattuali e le firmi senza neanche leggerle.
Nella gestione di tutto il processo di esternalizzazione di un’attività che comprende il trattamento di dati personali sarebbe opportuno seguire quanto indicato dalla norma ISO 9001 in relazione al controllo dei processi affidati all’esterno: a partire dalla valutazione iniziale e qualifica dei fornitori, pass
Nuovo Regolamento UE sulla Privacy: cosa cambia per le imprese?
Lo scorso 4 maggio è stato pubblicato sulla gazzetta ufficiale della Comunità Europea il “Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati)” e dopo 20 giorni dalla sua pubblicazione è divenuto legge europea, pertanto a partire dal 25 maggio 2016 decorrono i due anni di transitorio per l’applicazione del nuovo Regolamento.
Nella pagina Documenti di questo sito è possibile scaricare il testo ufficiale (ora anche per gli utenti non registrati).
Rispetto al precedente articolo pubblicato su questo sito il 27/04/2016, basato sulla traduzione della proposta di Regolamento approvata dal Parlamento Europeo a dicembre 2015, di cui il presente articolo costituisce un aggiornamento, si rilevano alcune differenze nella traduzione del testo originale inglese in lingua italiana, rispetto all’attuale Codice privacy D.Lgs 196/2003:
Viene mantenuto il “Titolare del trattamento” (Data Controller);
Viene mantenuto il “Responsabile del Trattamento” (Data processor);
Viene abolito l’Incaricato del trattamento.
Il nuovo Regolamento introdurrà una legislazione in materia di protezione dati uniforme e valida in tutta Europa, affrontando temi innovativi – come il diritto all’oblio e alla portabilità dei dati – e stabilendo anche criteri che da una parte responsabilizzano maggiormente imprese ed enti rispetto alla protezione dei dati personali e, dall’altra, introducono notevoli semplificazioni e sgravi dagli adempimenti per chi rispetta le regole. Il Regolamento UE 679/2016, però, non sarà l’unica fonte legislativa per regolamentare la protezione dei dati personali, infatti le Autorità dei singoli Stati Membri – e quindi il Garante della Privacy per l’Italia – potranno integrare i contenuti del Regolamento dettagliando meglio alcuni aspetti che al momento appaiono poco chiari, introdurre linee guida generali e di settore, regolamentare aspetti particolari, ecc.
A tal proposito occorre ricordare che, con l’uscita del Regolamento 679 non vengono aboliti i provvedimenti del nostro Garante su Videosorveglianza, Amministratori di Sistema, fidelity card, biometria, tracciamento flussi bancari, ecc. Tali provvedimenti probabilmente verranno modificati e/o integrati dal Garante Privacy per aggiornarli ed eventualmente adeguarli alle prescrizioni del Regolamento Europeo 679.
Il Garante Privacy italiano potrà inoltre integrare il Regolamento UE 679 per disciplinare il trattamento di dati personali effettuato per adempiere obblighi di legge italiana e in particolari ambiti, ad esempio quello dei dati sanitari, oppure per definire in modo più dettagliato gli obblighi per le PMI (ovvero per le organizzazioni che occupano meno di 250 dipendenti, per le quali il regolamento 679 ha stabilito delle semplificazioni).
Ma quali sono le principali novità per le imprese nella gestione della privacy a fronte del Regolamento UE?
L’aspetto più significativo è sicuramente il cambio di approccio rispetto al Codice Privacy attualmente in vigore in Italia, ed in particolare all’Allegato B, ovvero al Disciplinare Tecnico delle Misure Minime di Sicurezza. Il nuovo Regolamento Europeo sulla privacy, infatti, non definisce requisiti specificati in termini precisi, come avviene per l’attuale normativa italiana sulla privacy, ma sposta la responsabilità di definire le misure di sicurezza idonee a garantire la privacy dei dati personali trattati sul titolare o responsabile del trattamento, dopo un’attenta analisi dei rischi.
Dunque non ci sono più misure minime, ma solo misure di sicurezza adeguate, progettate dal titolare o responsabile del trattamento dopo aver effettuato l’analisi dei rischi che incombono sui dati personali che si intende trattare. Sottolineiamo quest’ultimo aspetto: le misure di prevenzione vanno poste in atto prima di iniziare il trattamento.
Poiché a livello nazionale la legislazione italiana ed il Garante per la Protezione dei Dati Personali hanno seguito il percorso europeo, a partire dalla Direttiva Europea 46/95, a livello di principi sulla privacy non ci sono differenze significative tra normativa italiana e Regolamento Europeo. Infatti, alcune regole già imposte dal Codice Privacy e dalle successive disposizioni del Garante restano valide, anche se con contorni un po’ meno definiti da criteri oggettivi. In sostanza:
Viene regolamentato solo il trattamento di dati personali di persone fisiche (non giuridiche) per scopi diversi dall’uso personale.
Resta una distinzione fra trattamento di dati personali comuni e trattamento di dati c.d. sensibili, anche se la definizione del D.lgs 196/2003 non viene utilizzata nel Regolamento UE 679, lasciando però la possibilità agli Stati membri di stabilire una disciplina particolare in merito.
Restano gli obblighi di informare l’interessato sull’uso che verrà fatto dei suoi dati personali.
Restano gli obblighi di ottenere il consenso per i trattamenti non necessari o per i trattamenti di particolari tipi di dati, ad esempio quelli idonei a rivelare lo stato di salute delle persone, le origini razziali, le idee religiose, ecc.
Tra gli elementi che cambiano vi sono sicuramente:
La denominazione ed i ruoli degli attori: il titolare del trattamento rimane tale, ilresponsabile del trattamento è ora responsabile in solido con il titolare per i danni derivanti da un trattamento non corretto, l’incaricato rimane il soggetto che fisicamente tratta i dati, ma tale ruolo non è delegabile, se non attraverso uno specifico accordo contrattuale. Il responsabile può individuare un proprio rappresentante.
I dati personali trattati devono essere protetti con misure organizzative e tecniche adeguate a garantirne la riservatezza e l’integrità.
I diritti dell’interessato sono più ampi e maggiormente tutelati.
Il responsabile del trattamento deve mettere in atto misure tecniche ed organizzative tali da consentirgli di dimostrare che tratta i dati personali in conformità al Regolamento. Tali misure devono seguire lo stato dell’arte e devono derivare dall’analisi dei rischi che incombono sui dati, secondo relativa gravità e probabilità.
Privacy by default: devono essere trattati “per default” solo i dati necessari a perseguire le finalità del trattamento posto in essere dal responsabile dello stesso, ovvero non devono essere trattati dati in eccesso senza che una persona fisica autorizzata lo consenta.
Privacy by design: ogni nuovo trattamento di dati personali dovrà essere progettato in modo da garantire la sicurezza richiesta in base ai rischi a cui è sottoposto prima di essere implementato. Anche i sistemi informatici dovranno essere progettati secondo tale principio.
Possono esserci più responsabili per un medesimo trattamento che risulteranno, pertanto, corresponsabili di eventuali trattamenti non conformi, ma dovranno stabilire congiuntamente le rispettive responsabilità.
Le imprese con sede al di fuori dell’Unione Europea, che trattano dati personali di interessati residenti nella UE dovranno eleggere una propria organizzazione o entità all’interno della UE che sarà responsabile di tali trattamenti.
Devono essere mantenuti registri dei trattamenti di dati effettuati con le informazioni pertinenti e le relative responsabilità. Tali registri non sono obbligatori per organizzazioni con meno di 250 dipendenti salvo che non trattino dati sensibili (secondo la definizione del Codice della Privacy attualmente in vigore) o giudiziari. Tale discriminante potrà essere meglio specificata da appositi provvedimenti del nostro Garante.
Il responsabile del trattamento deve notificare all’autorità competente – e, in casi gravi, anche all’interessato – ogni violazione dei dati (data breach) trattati entro 72 ore dall’evento.
Quando un trattamento presenta dei rischi elevati per i dati personali degli interessati (i casi specifici dovranno essere esplicitati dall’Autorità Garante), il responsabile del trattamento deve effettuare una valutazione di impatto preventiva, prima di iniziare il trattamento.
Viene introdotta la certificazione del sistema di gestione della privacy (le cui modalità dovranno essere meglio definite tramite gli Organismi di Accreditamento Europei, ACCREDIA per l’Italia)..
È richiesta la designazione di un Responsabile della Protezione dei Dati (Data Protection Officer) nelle Aziende Pubbliche e nelle organizzazioni che trattano dati sensibili o giudiziari su larga scala oppure che la tipologia di dati trattati e la loro finalità richieda il controllo degli incaricati al trattamento su larga scala.
Proprio quest’ultimo punto, variato rispetto alle precedenti versioni del Regolamento, farà molto discutere, poiché non stabilisce criteri precisi ed oggettivi (cosa significa “su larga scala”?) per l’adozione di tale figura professionale, di competenze adeguate a garantire una corretta applicazione della normativa sulla privacy. Il Responsabile per la Protezione dei Dati dovrà essere correttamente informato dal Responsabile del Trattamento su tutte le attività che riguardano la privacy e dovrà disporre di risorse adeguate per svolgere il proprio compito e mantenere le sue competenze adeguate al ruolo che ricopre. Egli dovrà inoltre essere indipendente dalle altre funzioni dell’organizzazione e riferire solamente all’alta direzione.
La sicurezza dei dati – in termini di riservatezza, integrità e disponibilità – deve essere garantita in funzione del rischio che corrono i dati stessi, dei costi delle misure di sicurezza e dello stato dell’arte della tecnologia. Pertanto le password di almeno 8 caratteri variate almeno trimestralmente, l’antivirus aggiornato, il firewall e l’aggiornamento del sistema operativo potrebbero essere misure adeguate per determinati trattamenti, ma non per altri, oppure in determinate organizzazioni, ma non in altre, in ogni caso lo potrebbero essere oggi, ma non domani quando il progresso tecnologico (anche degli hacker e di coloro che minacciano i nostri dati) potrebbe renderle insufficienti.
Lasciando per il momento stare gli impatti che il nuovo Regolamento UE sulla privacy potrà avere per i colossi del web, quali Facebook, Google, ecc., è opportuno osservare che per le piccole e medie imprese italiane dovrà cambiare l’approccio alla privacy, soprattutto per quelle organizzazioni che trattano dati sensibili o giudiziari. Occorrerà un cambio di mentalità: non serve più un po’ di carte (informative, consensi, lettere di incarico, …) ed alcune misure minime di sicurezza specifiche (password, antivirus,…) per garantire il rispetto della legge. Poiché molti imprenditori vedono la privacy solo come un disturbo da gestire soltanto per non incorrere in sanzioni e, quindi, come una pratica da sbrigare nel modo più indolore possibile, ecco che il passaggio al nuovo Regolamento – che dovrà avvenire nei prossimi due anni – non sarò proprio una passeggiata.
Le responsabilità in capo al responsabile del trattamento (ex titolare del trattamento) sono maggiori e comunque più impegnative da gestire, soprattutto laddove il trattamento di dati venga delegato a fornitori (es. consulenti del lavoro, consulenti fiscali e legali, strutture esterne, ecc.) che dovranno inevitabilmente essere tenuti sotto controllo.
Non è che taluni principi fossero assenti dalla normativa italiana del 2003, ma – complice la crisi e le semplificazioni adottate da precedenti governi, soprattutto l’abolizione del DPS – hanno un po’ sminuito l’importanza della privacy in azienda, anche perché – si sa come siamo fatti noi italiani – senza sanzioni esemplari non ci preoccupiamo di nulla… e sono stati molto rare le sanzioni comminate alle aziende, anche perché i controlli sono stati molto poco frequenti.
Paradossalmente ha spaventato di più la disposizione sui cookie perché la sua mancata applicazione è di fatto pubblica, mentre altre regole di fatto trascurate rimangono tra le muar delle organizzazioni di ogni dimensione.
L’indeterminatezza di alcune regole potrà essere colmata da disposizioni specifiche dei singoli Stati membri e/o da linee guida di settori specifici che potranno agevolare l’interpretazione della legge.
Ora la privacy sarà meno materia per avvocati – se non per la stesura di contratti che regolamentano i rapporti fra clienti e fornitori anche in materia di trattamento dati personali – e più materia per esperti della sicurezza delle informazioni. Infatti l’approccio del nuovo Regolamento Europeo sulla Privacy si avvicina, mutatis mutandis, a quello della norma UNI EN ISO/IEC ISO 27001 e della linea guida UNI EN ISO/IEC 27002.
L’adozione del nuovo Regolamento UE sarà, pertanto, più impegnativa per piccole organizzazioni che trattano molti dati c.d. sensibili o giudiziari, quali organizzazioni private nel campo della sanità (cliniche ed ambulatori privati, farmacie, …), studi di consulenza del lavoro, infortunistiche, studi legali, studi di consulenza fiscale, ecc., piuttosto che per aziende che trattano come unici dati sensibili i dati relativi ai propri dipendenti. Anzi saranno proprio queste ultime che dovranno pretendere da società e studi di consulenza esterna adeguate garanzie per il trattamento dei dati di cui sono responsabili.
La privacy in Farmacia e nell’ambulatorio medico privato
La privacy dei privati cittadini utenti delle farmacie e dei piccoli ambulatori privati spesso è messa a repentaglio da una gestione non accurata delle regole stabilite dalla normativa al riguardo (D.Lgs 196/2003 – “Codice per la protezione dei dati personali”) e da tutte le buone pratiche di gestione della sicurezza delle informazioni.
I titolari di farmacie ed ambulatori medici polifunzionali sono di fatto legali rappresentanti di imprese che, seppur di piccole dimensioni, raccolgono e gestiscono dati personali sensibili (in particolare dati sanitari relativi alla salute delle persone) di una grande moltitudine di persone fisiche e, come tali, sono tenuti a rispondere di fronte alla legge di tali gestioni.
In questi ultimi anni si è passati da una gestione prevalentemente cartacea dei dati personali sensibili raccolti da queste organizzazioni, ad una gestione elettronica di molte informazioni che riguardano la sfera privata delle persone, ovvero i dati sanitari.
Se pensiamo ad una farmacia moderna possiamo trovare molti trattamenti di dati in formato digitale che solo pochi anni fa non erano presenti: si passa dal ben noto scontrino fiscale parlante (sul quale ha molto disquisito il Garante della Privacy), generato e poi gestito da un sistema informatico, alla ricetta elettronica di recente introduzione, passando per una serie di servizi che le farmacie hanno introdotto da pochi anni: intolleranze alimentari, analisi della pelle, gestione referti esami diagnostici, preparazione di diete, fidelity card, e-commerce, ecc.. Ma anche servizi meno recenti come le prenotazioni di esami tramite CUP ASL o la Dispensazione per Conto vengono gestiti dalle farmacie, attraverso appositi portali dedicati, per conto dei clienti.
Ognuno di questi trattamenti di dati presenta vulnerabilità intrinseche per la sicurezza delle informazioni trasmesse: credenziali di accesso non sufficientemente difficili da individuare, scarsa protezione dei PC e dei Server da attacchi esterni, inadeguata protezione dei medesimi elaboratori in caso di furto e via dicendo.
Come le piccole organizzazioni di altri settori industriali o dei servizi, anche le farmacie non sono dotate di personale esperto nella gestione della sicurezza dei sistemi informatici e spesso il coinvolgimento dei fornitori esterni specializzati non è così sistemato (soprattutto per motivi di costo) da poter garantire una protezione adeguata.
D’altro canto dai computer delle farmacie transitano quantità di dati sensibili di gran linga superiori a quelle di altre piccole organizzazioni e costituiscono il canale di consultazione di archivi di prenotazione di esami diagnostici di un elevatissimo numero di pazienti. Da qui la necessità di proteggere i sistemi informatici delle farmacie, sia da un punto di vista logico, sia fisico, in modo molto più attento rispetto ad un normale PC aziendale.
Anche i piccoli ambulatori privati, che ospitano medici che eseguono visite specialistiche ed esami diagnostici, ultimamente hanno trovato grande beneficio dall’utilizzo delle nuove tecnologie, nonostante la ritrosia all’utilizzo del computer da parte di numerosi medici. Tutto ciò, però, comporta la necessità di proteggere adeguatamente i dati sensibili dei pazienti che transitano in formato digitale in reti locali poco protette. In tali organizzazioni spesso non è nemmeno chiaro chi è il titolare del trattamento dati – il medico che visita il paziente o il centro medico – ed a chi vengono eventualmente delegate le responsabilità per i trattamenti delegati ad altri.
In generale, nelle farmacie e nei piccoli centri medici, tutta la “parte informatica” è delegata a fornitori specializzati che talvolta non conoscono in modo preciso la normativa sulla privacy e sono negligenti nel sottoscrivere le proprie assunzioni di responsabilità a fronte delle attività eseguite; conseguentemente tutte le responsabilità ricadono sul titolare del trattamento, persona fisica o giuridica avente comunque un legale rappresentante, generalmente poco avvezzo a questioni informatiche.
Dal punto di vista normativo, poi, il passaggio da una normativa italiana – molto completa e severa per taluni aspetti, ma ormai obsoleta per quanto riguarda il disciplinare tecnico delle misure minime di sicurezza – ad un nuovo Regolamento Europeo in fase di approvazione, non fa che complicare le cose per le piccole organizzazioni che finora hanno avuto regole precise (password di almeno 8 caratteri variate ogni 3 mesi se si trattano dati sensibili, backup almeno ogni 7 giorni, aggiornamenti semestrali dei programmi software, assenza di idonee dichiarazioni di conformità dei fornitori, ecc.) con le quali confrontarsi. Il nuovo Regolamento, infatti, introdurrà la necessità di valutare i rischi che si corrono dal punto di vista della sicurezza dei dati personali e, conseguentemente, progettare il sistema di gestione della privacy in funzione delle reali esigenze di riservatezza, adottando misure di sicurezza adeguate (non solo “minime”).
Inoltre l’attuale versione del Regolamento Europeo sulla Privacy in approvazione contiene l’obbligo per i titolari di dati personali di dotarsi – entro determinate condizioni – di un “Privacy Officer”, ovvero di una persona, dotata di adeguate competenze in materia di privacy e sicurezza dei dati, responsabile per la gestione della privacy all’interno dell’organizzazione. Ma il limite attualmente stabilito per l’obbligo di nominare un Privacy Officer è legato al numero di dati personali gestiti (più di 5000 in un anno) che viene facilmente superato da una farmacia di medio volume di affari, ma non da numerose imprese industriali con oltre 50 dipendenti.
La ratio del nuovo Regolamento UE è evidentemente quella di garantire migliore protezione dove esistono maggiori rischi, sia per il numero di dati personali trattati, sia per la vulnerabilità dei sistemi.
Il cambio di mentalità di chi gestisce piccole organizzazioni nel settore sanitario non sarà facile, anche perché non ci saranno più regole precise da seguire per stare tranquilli, ma, oserei dire giustamente, il Regolamento Europeo ribalterà la responsabilità di progettare un sistema di gestione della privacy adeguato sulle spalle degli imprenditori. Molti di questi ultimi non saranno in grado di valutare in modo competente ed oggettivo quali misure adottare e dovranno fare attenzione a non credere alle “ricette preconfezionate” a basso costo che hanno già rovinato l’approccio alla privacy negli anni del ben noto DPS (Documento Programmatico sulla Sicurezza).
Già oggi il rischio di molte piccole organizzazioni del settore sanitario è quello di non essere conformi alla legislazione attuale sotto diversi aspetti (mancate nomine degli incaricati, mancanza di credenziali di autenticazione ai sistemi informatici adeguate e variate periodicamente, utilizzo troppo invasivo della videosorveglianza, archiviazione di dati privi di protezione, ecc.), figuriamoci domani se saranno i titolari del trattamento (ovvero i legali rappresentanti o direttori delle organizzazioni) a dover decidere quali misure di sicurezza sono adeguate! Il rischio concreto è quello di sottovalutare il problema privacy, come del resto è avvenuto dopo l’abolizione del DPS che non ha abolito tutti gli altri adempimenti!
Dimenticarsi di proteggere adeguatamente i dati personali dei propri clienti può comportare non solo sanzioni civili (e in alcuni casi anche reati penali) in caso di ispezione da parte del nucleo Privacy della Guardia di Finanza (oggi peraltro molto rare), ma anche, in caso di richiesta di risarcimento danni da parte dell’interessato i cui dati sensibili sono stati violati, ingenti perdite economiche. Talvolta, poi, la mancata diligenza del titolare del trattamento potrebbe portare anche al divieto di intraprendere relazioni commerciali con la Pubblica Amministrazione, riducendo o annullando di fatto la possibilità di operare.
Infine, oltre agli aspetti legati al rispetto della normativa cogente, esistono altri pericoli a cui è sottoposta una organizzazioni che gestisce in modo inconsapevole la sicurezza dei dati, ad esempio la perdita di dati e l’indisponibilità di risorse per garantire la continuità del servizio al cliente e, quindi, perdite economiche più o meno rilevanti in funzione della gravità dell’evento.
