La sicurezza di un sito web è fondamentale per proteggere i dati e le informazioni degli utenti e dei gestori.

Sappiamo (dalla ISO 27001 e dal GDPR in primis) che la sicurezza va declinata nelle sue proprietà: Riservatezza, Integrità e Disponibilità. Dunque, non solo è importante garantire la riservatezza dei dati, ma anche la loro integrità (esattezza, correttezza) e la loro disponibilità in tempi idonei laddove attraverso il sito web si fornisce un servizio a clienti effettivi e potenziali. Inoltre, l’indisponibilità del sito web a causa di un attacco hacker (attacco DDOS, defacement del sito web) comporta un grave rischio reputazionale per il suo proprietario.

L’impresa deve dunque assicurarsi che il gestore del sito lo mantenga adeguatamente protetto, perché la sicurezza di un sito web è fondamentale per proteggere i dati personali e le informazioni degli utenti e dell’impresa proprietaria del sito. Tuttavia, esistono diverse vulnerabilità che possono compromettere la sicurezza di un sito web e renderlo esposto agli attacchi informatici. Alcune di queste vulnerabilità sono:

• L’iniezione di codice, che consiste nell’inserire dei comandi o delle query malevoli nel sito web, sfruttando le sue interfacce di input. Questo può portare a modificare, cancellare o rubare i dati del sito web o ad eseguire azioni indesiderate.
• Il cross-site scripting (XSS), che consiste nell’inserire dei codici JavaScript nel sito web, sfruttando le sue pagine web dinamiche. Questo può portare a manipolare il contenuto del sito web o a rubare le informazioni degli utenti, come i cookie o le credenziali di accesso.
• Il cross-site request forgery (CSRF), che consiste nell’indurre gli utenti a eseguire delle richieste non autorizzate al sito web, sfruttando la loro sessione attiva. Questo può portare a modificare le impostazioni del sito web o a effettuare delle operazioni dannose, come il trasferimento di denaro o l’invio di e-mail spam.
• Il furto di identità, che consiste nell’ottenere le informazioni personali degli utenti, come il nome, l’e-mail, il numero di telefono o i dati bancari. Questo può portare a utilizzare queste informazioni per scopi fraudolenti, come l’accesso ai loro account online o l’effettuazione di acquisti non autorizzati.

Per prevenire queste vulnerabilità e rendere il sito web più sicuro, esistono diverse misure di sicurezza che possono essere adottate. Alcune di queste misure sono le seguenti:

• Utilizzare un protocollo HTTPS per criptare le comunicazioni tra il sito web e i visitatori. Questo impedisce che i dati possano essere intercettati o modificati da terze parti malintenzionate. Inoltre, i siti “non https” vengono considerati come pericolosi dai browser e dagli antivirus e indicizzati con priorità bassa da Google, per cui risultano meno accessibili.
• Mantenere aggiornato il software del sito web, compresi i temi, i plugin e il sistema di gestione dei contenuti (CMS quali WordPress, Joomla od altri). Questo riduce il rischio di vulnerabilità e bug che potrebbero essere sfruttati dagli hacker.
• Impostare delle regole di accesso al sito web, come l’utilizzo di password forti, l’autenticazione a due fattori e il blocco degli indirizzi IP sospetti. Questo limita le possibilità di accesso non autorizzato al sito web e ai suoi dati.
• Effettuare dei backup regolari del sito web e dei suoi dati, in modo da poter ripristinare il tutto in caso di danni o perdite. Questo garantisce la continuità del servizio e la salvaguardia delle informazioni.
• Monitorare il traffico e le attività sul sito web, per individuare eventuali anomalie o tentativi di intrusione. Questo permette di intervenire tempestivamente in caso di problemi e di prevenire ulteriori danni.

Queste sono solo alcune delle misure di sicurezza che possono essere adottate per rendere un sito web più sicuro. Ogni sito web ha delle esigenze specifiche e richiede una valutazione personalizzata delle minacce che incombono su di esso, delle sue vulnerabilità e delle sue soluzioni. Per questo, è consigliabile affidarsi a dei professionisti del settore, che possano offrire una consulenza qualificata e un supporto tecnico adeguato.

Talvolta, infatti, le web agency sono molto preparate sulle tecniche di digital marketing e di pubblicità on-line, ma lo sono meno gli sviluppatori del sito web dal punto di vista della sicurezza.

In questo ambito, poi, si inserisce il rispetto del GDPR. Il General Data Protection Regulation (GDPR) è la normativa europea che stabilisce le regole sulla protezione dei dati personali dei cittadini dell’Unione Europea. Il GDPR (Regolamento UE 2016/679) ha un impatto diretto sulla gestione dei dati personali dei visitatori del sito web. Infatti, se il sito web che raccoglie dati personali dei visitatori, è importante che rispetti il GDPR. Ecco alcune delle caratteristiche che il sito web dovrebbe avere per essere conforme al GDPR:

1. Politica sulla privacy: Il sito web deve avere una privacy policy facilmente accessibile e comprensibile per i visitatori. La politica sulla privacy dovrebbe spiegare come i dati personali verranno raccolti, elaborati e utilizzati. Inoltre, dovrebbe essere indicato chi è il titolare del trattamento dei dati personali e come i visitatori possono esercitare i loro diritti di protezione dei dati.
2. Cookie banner e Cookie policy: in conformità alle disposizioni relative ai cookie e tecnologie similari il sito deve presentare, all’apertura, un c.d. banner che permette di accettare o rifiutare, oppure personalizzare, la gestione dei cookie non necessari (cookie tecnici), richiamando la cookie policy (spesso inclusa nella privacy policy generale). Tale funzionalità può essere efficacemente attuata tramite appositi plugin dei CMS, progettati allo scopo.
3. Consenso informato: I visitatori del sito web devono essere informati in modo chiaro e trasparente sui dati personali che verranno raccolti e su come verranno utilizzati. Inoltre, i visitatori devono essere invitati ad accettare o rifiutare l’utilizzo dei loro dati personali in modo esplicito e inequivocabile. Questo processo di consenso – necessario se i dati raccolti verranno utilizzati per finalità di marketing – dovrebbe essere documentato in modo che si possa dimostrare di aver ottenuto il consenso informato dei visitatori. Anche i moduli di contatto, form nei quali l’utente compila alcuni dati personali e formula una richiesta, dovranno comprendere un riferimento all’informativa privacy con un flag di spunta che attesta, almeno formalmente, che l’utente ha letto e compreso tale informativa.
4. Protezione dei dati: Il sito web deve garantire la sicurezza e la protezione dei dati personali dei visitatori. Ciò significa che deve utilizzare misure di sicurezza tecniche e organizzative per proteggere i dati personali da accessi non autorizzati, perdite o danni. Inoltre, si dovrebbe implementare un piano di gestione dei dati personali che preveda la cancellazione dei dati personali una volta che non sono più necessari.
5. Diritti degli interessati: I visitatori del sito web hanno diritti specifici in relazione ai loro dati personali. Questi diritti includono il diritto di accesso, il diritto di rettifica, il diritto all’oblio, il diritto di limitazione del trattamento, il diritto alla portabilità dei dati e il diritto di opposizione. Il sito web dovrebbe fornire ai visitatori un modo semplice ed efficace per esercitare questi diritti.
6. Responsabile del trattamento dei dati: Il proprietario del sito web dovrebbe nominare un responsabile del trattamento dei dati personali nella figura del fornitore della gestione del sito (normalmente la web agency). Questo soggetto dovrebbe essere responsabile di garantire che il tuo sito web rispetti le regole del GDPR e dovrebbe essere in grado di rispondere alle istanze dei visitatori sulla gestione dei dati personali. Si ricorda che anche siti dinamici semplici, realizzati con CMS quali WordPress, memorizzano in un database del sito i dati di coloro che si iscrivono alla newsletter o compilano form di richiesta contatto. Dunque, chi gestisce il sito ha accesso ai dati personali memorizzati nel database del sito.
7. Trasferimento dati extra–UE: i dati personali memorizzati nel sito potrebbero essere ospitati in un servizio cloud collocato al di fuori dello Spazio Economico Europeo e dunque soggetto a decisioni di adeguatezza della UE oppure ad altri meccanismi atti  a garantire la conformità dei trattamenti di dati svolti fuori UE. Anche se la recente decisione della Commissione Europea (Data Protection Framework USA-UE) dovrebbe regolarizzare l’esportazione di dati personali negli Stati Uniti, occorre comunque tenere in considerazione questo aspetto, anche in considerazione dell’utilizzo di plugin specifici.

In sintesi, per essere conforme al GDPR, il sito web deve rispettare le regole sulla protezione dei dati personali dei visitatori. Ciò significa che occorre garantire la trasparenza nella raccolta e nel trattamento dei dati personali, la sicurezza dei dati e il rispetto dei diritti degli interessati. Se il sito web rispetta queste regole, i visitatori avranno maggiore fiducia nella gestione dei loro dati personali e il proprietario del sito potrà evitare pesanti sanzioni.

Normalmente i soggetti che entrano in gioco nella progettazione, sviluppo e gestione del sito web sono i seguenti:

• Impresa committente che vuole realizzare un nuovo sito web, proprietaria del dominio internet;
• Web Agency che gestisce le attività di digital marketing;
• Sviluppatori software del sito
• Cloud Service Provider che ospita il sito (hosting)

La prima risulta titolare del trattamento, gli altri nella maggior parte delle situazioni sono Responsabili del Trattamento e devono avere un apposito atto ai sensi dell’art. 28 del Reg. UE 679/2016 che li vincola al titolare del trattamento. Questo aspetto deve essere visto da entrambe i punti di vista: del committente e del fornitore. Da un lato il committente dovrà predisporre un contratto coerente con i requisiti del Regolamento UE 679/2016 e che fornisca sufficienti garanzie al proprietario del sito che ne risponde nei confronti della legge, dall’altro il fornitore potrà proporre il proprio contratto a tutti i propri clienti per semplificare la gestione e regolarizzare il rapporto definendo compiti e responsabilità di ciascuno. Per quest’attività spesso è opportuno rivolgersi ad un consulente legale affiancato da un esperto delle tecnologie utilizzate.

Chiaramente se attraverso il sito web si vendono prodotti (e-commerce) le cose si complicano e le responsabilità aumentano, per non parlare dei siti di e-commerce per la vendita di farmaci, parafarmici, cosmetici ed altri prodotti che possono far presumere uno stato di salute dell’acquirente.

L’azienda titolare del dominio è direttamente responsabile di eventuali violazioni del sito (data breach) che possono comportare conseguenze negative ai diritti e alle libertà delle persone che hanno i propri dati memorizzati nel sito, ma spesso da un lato è spinta dalla web agency che vorrebbe attuare azioni di marketing non rispettose della normativa privacy, dall’altro non riesce a controllare l’efficacia delle misure di sicurezza del sito web.

Spesso capita che l’impresa committente non si preoccupi della corretta gestione dei consensi raccolti per l’invio delle newsletter, delle c.d. “fidelity card” o di altri concorsi a premi gestiti attraversò il sito web ed eventuali app per mobile collegate ad esso e nemmeno dei corretti tempi di conservazione dei dati degli utenti nelle diverse situazioni.

Dal punto di vista del fornitore del sito è invece opportuno puntualizzare che cosa ne farà l’azienda del sito web e chi sarà responsabile della predisposizione delle informative privacy.

In conclusione, i rischi per l’impresa che commissiona la realizzazione e gestione di un sito web sono molteplici, ma anche il ruolo del fornitore deve essere correttamente inquadrato, infatti diverso è il caso di chi progetta, realizza e mantiene il sito – azioni di marketing digitale annesse – e quello del fornitore che realizza il sito, lo avvia presso un cloud provider qualsiasi e poi lo consegna all’impresa che dovrà mantenere tutto secondo normativa privacy.

Gli accordi fra Titolare del trattamento e Responsabile del Trattamento sono probabilmente uno dei punti più difficili da gestire nell’applicazione del GDPR, sia perché i requisiti del GDPR sono diversi dalla vecchia nomina del responsabile esterno del trattamento del Codice Privacy, sia perché le responsabilità, in capo sia al Titolare, sia al Responsabile sono più pesanti che in passato.

Spesso tale accordo è imposto dal Titolare al Responsabile che non gradisce e troppo spesso il Titolare evita contrasti con il Responsabile, magari fornitore già scelto da tempo, e desiste. In altri casi – come quelli dei colossi del web, fornitori di servizi cloud – il Titolare non ha nemmeno modo di discutere le clausole contrattuali dell’accordo per la protezione dati imposto dal Responsabile.

L’articolo 28 del regolamento UE 679/2016 /GDPR), al comma 1, indica che:

Qualora un trattamento debba essere effettuato per conto del titolare del trattamento, quest’ultimo ricorre unicamente a responsabili del trattamento che presentino garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del presente regolamento e garantisca la tutela dei diritti dell’interessato.

Inoltre, il suddetto Regolamento – al comma 3 -prevede anche che:

I trattamenti da parte di un responsabile del trattamento sono disciplinati da un contratto o da altro atto giuridico a norma del diritto dell’Unione o degli Stati membri, che vincoli il responsabile del trattamento al titolare del trattamento e che stipuli la materia disciplinata e la durata del trattamento, la natura e la finalità del trattamento, il tipo di dati personali e le categorie di interessati, gli obblighi e i diritti del titolare del trattamento

Da questi requisiti e dal prosieguo del comma 3 discendono le clausole che normalmente vengono imposte nei contratti fra titolare e responsabile, ovvero nei contratti di “nomina del responsabile del trattamento”. Al di là delle discussioni sull’opportunità di denominare ancora questi accordi “nomina del responsabile del trattamento” retaggio della precedente normativa italiana (D.Lgs. 196/2003), di fatto si tratta di un accordo o contratto che impegna le due Parti nei rispettivi ruoli, ma soprattutto è il Responsabile nominato che dovrà adempiere ad alcuni obblighi.

Nel corso di questi oltre  quattro anni di applicazione del GDPR ho riscontrato diverse situazioni difficili nel finalizzare la sottoscrizione di questo accordo di nomina del Responsabile, da entrambe le parti.

Il problema principale che si riscontra è quello che il nominando Responsabile non accetta la nomina/accordo perché ritiene di non ricoprire il ruolo di Responsabile, ma piuttosto quello di Titolare autonomo o di soggetto autorizzato al trattamento dei dati personali.

È ormai noto il caso dei consulenti del lavoro o studi/società che elaborano le buste paga per aziende e organizzazioni di ogni tipo: il loro ruolo era chiaramente quello di Responsabile del trattamento, ma finché il Garante Privacy non si è espresso hanno “resistito” anche in forza di una interpretazione di parte del loro Ordine Professionale.

Per altri soggetti il ruolo non è sempre ben definito e, anche quando è stato definito il ruolo di Responsabile del Trattamento, spesso le clausole contrattuali sono contestate.

Mi riferisco ai Responsabili del Servizio di Prevenzione e Protezione (RSPP), naturalmente se professionisti esterni all’organizzazione Titolare del trattamento, ai Commercialisti e Consulenti Fiscali, ai Consulenti legali, ai Revisori Contabili, all’Organismo di Vigilanza (OdV), ai membri del Collegio Sindacale, ai consulenti di servizi di assistenza informatica e così via.

È importante capire che non è il semplice incarico a determinare il ruolo soggettivo privacy del consulente/professionista esterno o fornitore. Dipende da quali dati tratta e come li tratta.

Emblematico è il caso del RSPP che può trattare i dati del personale dipendente (solo dati anagrafici e di contatto, talvolta – ma non sempre – anche dati su infortuni, dunque dati personali appartenenti a categorie particolari di dati ai sensi dell’art. 9 del GDPR) solo presso la sede dell’azienda su sistemi informatici della stessa (alla stregua di un RSPP interno), oppure può trattare i medesimi dati su propri dispositivi e sistemi informatici, anche presso il proprio Studio. A mio parere nel primo caso il suo ruolo si avvicina più a quello del soggetto autorizzato a trattare dati personali, nel secondo a quello di Responsabile esterno del trattamento ex art. 28 del Regolamento Ue 679/2016.

Ma non vorrei qui soffermarmi sulle numerose casistiche che si possono verificare nei rapporti fra Titolare e fornitore e sulla conseguente determinazione del ruolo soggettivo privacy di quest’ultimo, ma piuttosto sui contratti che vengono stipulati (o che si cerca di proporre) fra le parti.

Il caso tipico è quello nel quale il Titolare, tramite il suo consulente privacy o DPO propone un contratto standard per quasi tutti i fornitori che trattano dati personali. Qui se l’autore del contratto/accordo per il trattamento dei dati personali è stato predisposto da un giurista o proviene da una fonte similare (es. modello di DPA dell’Autorità di Controllo della Danimarca oppure le Clausole Contrattuali tipo emanate dalla Commissione Europea) è possibile che alcune clausole siano giustamente rifiutate dal Responsabile designato. In generale un contratto con nomina a Responsabile troppo esteso e dettagliato, scritto in “legalese” potrebbe essere respinto nella sua interezza dal fornitore. Come spesso capita la ragione sta nel mezzo, infatti alcune clausole non fanno che ribadire quello che è già scritto nel GDPR e responsabilizzano il responsabile, se mi è consentito il gioco di parole.

Veniamo a trattare alcuni elementi specifici.

Natura del trattamento, tipi di dati personali trattati e categorie di interessati

Su questo aspetto l’accordo sulla protezione dati potrebbe richiamare il contratto con il fornitore/responsabile, ma talvolta tale contratto non specifica in modo corretto queste informazioni per cui bisogna sopperire nell’accordo di nomina a responsabile. È evidente che senza disporre del contratto che origina il rapporto non si può redigere un accordo di nomina a responsabile completamente corretto.

Personalmente sconsiglio di scendere troppo nel dettaglio dei tipi di dati personali trattati dal Responsabile: è sufficiente indicare dati anagrafici anziché nome, cognome, indirizzo di residenza, ecc.; dati fiscali anziché codice fiscali, partita IVA, dati di fatturazione, ecc.; dati di contatto anziché numero di telefono fisso e cellulare, indirizzo e-mail, PEC, ecc.. Altrimenti ci si troverebbe facilmente a discutere con il Responsabile e, a fronte di nuovi dati l’accordo sarebbe da integrare.

Riguardo ad eventuali dati appartenenti a categorie particolari si può opportunamente distinguere tra i dati sanitari (dati relativi alla salute) da altre categorie di dati particolari come idee politiche, credo religioso e così via.

Regolamentazione di un eventuale sub-responsabile o altri responsabili del trattamento

Il Responsabile può essere autorizzato ad impiegare suoi fornitori (sub-responsabili) nel trattamento dei dati personali del titolare oppure può essere vincolato a richiedere l’autorizzazione per ogni nuovo sub- responsabile o altro responsabile che intende coinvolgere. In ogni caso il nome dell’eventuale “altro responsabile” deve essere reso noto al Titolare.

Se da un lato il fornitore che gestisce una piattaforma di elaborazione delle paghe dei dipendenti in modalità SaaS è sicuramente un Responsabile del Trattamento dello Studio di Consulenza sul Lavoro e, quindi, un Sub-Responsabile dell’azienda che ha la titolarità dei dati dei dipendenti di cui ha esternalizzato la gestione delle paghe, dall’altro ci sarebbe da discutere sul ruolo dei consulenti informatici dello Studio di Consulenza sul Lavoro che occasionalmente possono venire  a conoscenza di alcuni dati personali dei dipendenti del titolare in occasione di interventi di assistenza sui sistemi informatici – in questo caso client-server – dello Studio.

Consideriamo che a ogni Sub-Responsabile dovrebbero essere applicate le medesime clausole contrattuali in essere fra Titolare e Responsabile.

Qui evidentemente c’è un problema nel Regolamento UE 679/2016 che non chiarisce fino a che punto considerare la catena degli altri responsabili del trattamento. Il paradosso sarebbe quello che un sub-responsabile che opera per un determinato Responsabile si dovrebbe veder applicate clausole contrattuali diverse a seconda delle clausole imposte al Responsabile da ogni Titolare per cui esso fornisce il servizio. Ma non solo: il nostro Sub-Responsabile forse non lavorerà per un unico cliente che opera come Responsabile… e allora a quali contratti e clausole contrattuali deve fare riferimento?

Credo che se chi ha ideato questo articolo 28 del GDPR (e relativo Considerando 81) non ha pensato a queste casistiche bisognerebbe che il Legislatore Europeo, piuttosto che l’EDPB o le Autorità di Controllo dei singoli Paesi chiariscono la situazione.

Una situazione emblematica è quella che riguarda le misure di sicurezza tecniche ed organizzative (le vedremo in seguito) che il Titolare può imporre – a termini di Regolamento – al Responsabile: che succede se un Titolare chiede al Responsabile di adottare delle password di almeno 8 caratteri variate ogni 180 gg. e un altro chiede le password di almeno 12 caratteri variate ogni 90 giorni e un altro ancora chiede la MFA?

I dati devono essere trattati dal Responsabile solo su istruzione documentata del Titolare

Spesso le istruzioni dettagliate non esistono, sono verbali oppure ripercorrono il testo del GDPR. Chiaramente il Titolare non può e non deve dare istruzioni al fornitore come fare il suo lavoro (non può indicare al consulente del lavoro come elaborare le paghe, che evidentemente devono rispettare requisiti di legge che il consulente del lavoro ben conosce), ma solo quali misure adottare per mantenere la protezione dei dati personali. Ad esempio non trasmettere dati riservati in chiaro tramite e-mail, consegnare documenti in busta chiusa tramite corriere piuttosto che Raccomandata A.R. o posta ordinaria. O adottare determinate misure di sicurezza…

Il Responsabile deve adottare misure di sicurezza adeguate come previsto dall’art. 32 del GDPR

Un’indicazione al Responsabile che richiami semplicemente di adottare misure di sicurezza adeguate come prescritto dall’articolo 32 del GDPR non ci dice nulla. L’art. 32 non ci indica quali misure di sicurezza adottare, ma solo quelle ritenute adeguate a fronte di una valutazione del rischio!

Imporre al Responsabile determinate misure di sicurezza può costituire un rischio, ossia che non vengano accettate. Ad esempio l’imposizione della variazione della password periodicamente è ormai appurato che non può essere considerata sempre una misura di sicurezza pienamente efficace, purché il mancato obbligo di modifica della password sia affiancato da altre tecniche (criteri di complessità elevati, notifiche di accesso, MFA, …).

Alcuni contratti, poi, richiamano a titolo esemplificativo (come il GDPR) la cifratura e la pseudonimizzazione come misure di sicurezza. Mentre la prima dovrebbe essere contestualizzata e meglio dettagliata (collegamenti VPN, area dati cifrata sui dischi, dischi dei notebook cifrati, dati in cloud cifrati…), la seconda è molto impegnativa, se non impraticabile, nella stragrande maggioranza dei casi se i dati non sono pseudonomizzati all’origine.

Forse la soluzione migliore è quella di chiedere al Responsabile, attraverso un apposito questionario, quali misure di sicurezza tecniche ed organizzative sta adottando. In tal modo, oltre a stimolare il fornitore sul tema, si può decidere se accettare o meno le misure di sicurezza proposte dal fornitore, ritenendole più o meno adeguate al contesto in cui opera il fornitore. In tal modo si si assicura di aver valutato anche l’adeguatezza del fornitore prima di affidargli l’attività di trattamento dati.

Clausole che descrivono come il Responsabile deve assistere il Titolare in caso di violazione dei dati personali

Il c.d. Data Breach deve essere notificato al GPDP entro 72 ore da quando si è venuti a conoscenza del fatto. Imporre al Responsabile tempistiche molto ridotte per segnalare al Titolare eventuali violazioni di dati personali non ha molto senso, anche perché i tempi non si sommano! Mi spiego meglio: se il Responsabile del trattamento si accorge di un data breach che coinvolge i dati del Titolare alle ore 12 del 10 febbraio e lo comunica al Titolare il12 febbraio alle ore 12 (ovvero dopo 48 ore), il Titolare del trattamento ha 72 ore per fare la notifica al GPDP a partire dalle ore 12 del 12 febbraio, non dalle ore 12 del 10 febbraio, dunque non ha solo 24 ore dalla comunicazione del Responsabile, semplicemente perché prima non lo sapeva del data breach!

Conservazione ovvero cancellazione dei dati personali trattati al termine del contratto

Anche questo punto è molto discutibile: non può essere sempre imposto al Responsabile di cancellare o restituire tutti i dati personali trattati al termine del contratto o dopo un breve periodo da esso, ad es. 30/60 giorni. Per certe attività o prestazioni professionali è ammissibile che il Responsabile trattenga alcuni dati, non solo per adempiere a requisiti di legge, ma anche per dimostrare la correttezza della prestazione svolta, soprattutto se questa deve rispondere a particolari normative.

Occorre poi precisare che qualunque fornitore-responsabile tratta solo determinati dati, per determinate finalità,  del cliente-titolare in qualità di Responsabile. Dunque, i dati di contatto delle persone di riferimento del Titolare, i dati che rientrano nella fatturazione ed in altri obblighi contabili e fiscali sono trattati in qualità di Titolare (autonomo), dunque non rientrano nei termini di cancellazione del contratto di nomina a responsabile, ma saranno quelli indicati nell’Informativa al trattamento dati ai sensi dell’art. 13 del GDPR come titolare del trattamento.

Premesso ciò, diversi consulenti includono inevitabilmente dati anagrafici di dipendenti o persone che rappresentano i clienti o altri fornitori nei loro documenti. Non è pensabile che essi restituiscano e cancellino ogni copia di tali elaborati che costituiscono know-how personale o aziendale e nemmeno che oscurino/cancellino tutti i riferimenti a persone fisiche in tali documenti (sarebbe un lavoro spropositato). Non parliamo poi dei documenti ed altre informazioni scambiate via e-mail!

Anche in questo caso se il legislatore non sopperisce a chiarire queste assurdità dovrebbero essere i contratti fra Titolari e Responsabili ad adeguarsi.

Diritto di audit da parte del Titolare sul Responsabile

Il GDPR prevede che il Responsabile:

h) metta a disposizione del titolare del trattamento tutte le informazioni necessarie per dimostrare il rispetto degli obblighi di cui al presente articolo e consenta e contribuisca alle attività di revisione, comprese le ispezioni, realizzati dal titolare del trattamento o da un altro soggetto da questi incaricato.

Questo è stato tradotto da molti accordi con il diritto di effettuare audit al Responsabile. Anche se il contenuto del Regolamento è un po’ più sfumato non è pensabile che il Titolare abbia il diritto di effettuare un audit, come e quando vuole, presso la sede del Responsabile. Premesso che tale attività ha senso solo per trattamenti particolarmente critici e per fornitori che non si dimostrino pienamente attendibile nelle loro risposte ad un eventuale questionario, le modalità di svolgimento di tali audit andrebbero regolamentate contrattualmente.

Impegno alla riservatezza del personale del Responsabile

Tutto il personale del Responsabile del trattamento deve aver sottoscritto un impegno alla riservatezza, probabilmente inserito nella designazione a soggetto autorizzato al trattamento dei dati personali. Questa è un’evidenza che il Titolare potrebbe chiedere al responsabile.

Altre  evidenze potrebbe giustamente richiedere il Titolare al Responsabile, come il Registro dei Trattamenti del responsabile (dopo la tipula dell’accordo), solamente, però, per le informazioni riguardanti il trattamento dei dati personali svolto per conto del medesimo Titolare.

In conclusione, i contratti standard fra Titolare e Responsabile mal si applicano a tutte le realtà ed andrebbero personalizzati altrimenti i rischi sono due:

1. Che il responsabile si rifiuti di sottoscrivere l’accordo
2. Che il responsabile non consideri tutte le clausole contrattuali e le firmi senza neanche leggerle.

Nella gestione di tutto il processo di esternalizzazione di un’attività che comprende il trattamento di dati personali sarebbe opportuno seguire quanto indicato dalla norma ISO 9001 in relazione al controllo dei processi affidati all’esterno: a partire dalla valutazione iniziale e qualifica dei fornitori, pass

Il Responsabile del trattamento, ai sensi dell’art. 28 del Regolamento UE 679/2016 (GDPR), è una figura molto ostica da gestire nell’ambito di un adeguamento della gestione della privacy di un’organizzazione italiana.

Moltissimi punti del GDPR definiscono prescrizioni applicabili ai titolari e/o ai responsabili del trattamento, ovvero alle figure che hanno determinate responsabilità nel trattare dati personali. Altri soggetti identificati dal GDPR (contitolari, “titolari autonomi” e soggetti autorizzati al trattamento) o sono riconducibili ad essi oppure hanno responsabilità di gran lunga inferiori.

Il considerando 81 introduce il ruolo del Responsabile del Trattamento:

(81) Per garantire che siano rispettate le prescrizioni del presente regolamento riguardo al trattamento che il responsabile del trattamento deve eseguire per conto del titolare del trattamento, quando affida delle attività di trattamento a un responsabile del trattamento il titolare del trattamento dovrebbe ricorrere unicamente a responsabili del trattamento che presentino garanzie sufficienti, in particolare in termini di conoscenza specialistica, affidabilità e risorse, per mettere in atto misure tecniche e organizzative che soddisfino i requisiti del presente regolamento, anche per la sicurezza del trattamento. L’applicazione da parte del responsabile del trattamento di un codice di condotta approvato o di un meccanismo di certificazione approvato può essere utilizzata come elemento per dimostrare il rispetto degli obblighi da parte del titolare del trattamento. L’esecuzione dei trattamenti da parte di un responsabile del trattamento dovrebbe essere disciplinata da un contratto o da altro atto giuridico a norma del diritto dell’Unione o degli Stati membri che vincoli il responsabile del trattamento al titolare del trattamento, in cui siano stipulati la materia disciplinata e la durata del trattamento, la natura e le finalità del trattamento, il tipo di dati personali e le categorie di interessati, tenendo conto dei compiti e responsabilità specifici del responsabile del trattamento nel contesto del trattamento da eseguire e del rischio in relazione ai diritti e alle libertà dell’interessato. Il titolare del trattamento e il responsabile del trattamento possono scegliere di usare un contratto individuale o clausole contrattuali tipo che sono adottate direttamente dalla Commissione oppure da un’autorità di controllo in conformità del meccanismo di coerenza e successivamente dalla Commissione. Dopo il completamento del trattamento per conto del titolare del trattamento, il responsabile del trattamento dovrebbe, a scelta del titolare del trattamento, restituire o cancellare i dati personali salvo che il diritto dell’Unione o degli Stati membri cui è soggetto il responsabile del trattamento prescriva la conservazione dei dati personali.

Successivamente l’articolo 28 ne disciplina il rapporto con il titolare e le relative condizioni.

In questi oltre due anni di applicazione del GDPR si sono viste diverse forme di “nomina” del responsabile del trattamento da parte del titolare. Spesso tali nomine venivano rifiutate dal fornitore responsabile, che non voleva assumersi tali oneri, con motivazioni inconsistenti. Purtroppo anche alcune linee guida, check-list, questionari ed anche app sul GDPR hanno fornito indicazioni fuorvianti sull’applicabilità di questa figura. Alla domanda: “determini le finalità ed i mezzi del trattamento?” molti rispondono “sì” e pertanto anche l’algoritmo più autorevole risponde “sei titolare del trattamento”. Invece la situazione è un po’ diversa. Laddove si verifica un outsourcing, un’esternalizzazione, di attività che comportano anche il trattamento di dati personali, allora si configura un rapporto fra un titolare del trattamento ed un responsabile che esegue “per conto del titolare”, un trattamento di dati personali.

Molte organizzazioni hanno, purtroppo, voluto “smarcare” in modo troppo rapido questo punto del GDPR, secondo una moda del tutto italiana: della serie “prepariamo le nomine ai responsabili del trattamento e mandiamogliele…” poi se nessuno risponderà a tali istanze, pazienza!

Spesso si è trascurato il fatto che il titolare

“ricorre unicamente a responsabili del trattamento che presentino garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del presente Regolamento e garantisca la tutela dei diritti dell’interessato”.

Dunque, prima di effettuare una nomina, occorre verificare che il fornitore/responsabile sia affidabile dal punto di vista della protezione dati. Come? Ad esempio tramite un questionario da somministrare al fornitore per poter verificare che stia applicando i principi e le regole del GDPR e che abbia implementato misure di sicurezza, tecniche ed organizzative, adeguate a tutelare i dati personali che gli facciamo trattare. Nella maggior parte dei casi tali dati personali si riferiscono a dipendenti e clienti del titolare, pertanto presentano alcune criticità, se si dovessero perdere i requisiti di riservatezza, integrità e disponibilità degli stessi.

Molte organizzazioni saltano questo punto, ma allora come dimostrano che il responsabile del trattamento fornisce adeguate garanzie lato privacy? Spesso si tratta di rapporti consolidati da anni, mai messi in discussione. Ora la mancata risposta ad un questionario ed il rifiuto (magari non palese, ma semplicemente “dimenticandosi” di rispondere all’istanza ed ai solleciti) di sottoscrivere la c.d. nomina espone il titolare a importanti responsabilità sui dati affidati all’esterno. In caso di problemi (ispezioni del Nucleo Privacy della Guardia di Finanza, Data Breach, reclami di interessati) il titolare non è in grado di dimostrare di aver agito “responsabilmente”, contravvenendo al principio di accountability (art. 5, comma 2 del Regolamento UE 679/2016).

Teniamo presente che il rapporto tra titolare e responsabile “deve essere disciplinato da un contratto”, dunque a rigore non si tratta solo di “nominare” il responsabile esterno, ma di stabilire – con un atto a valenza contrattuale – quali sono le condizioni per il trattamento di dati personali da parte del responsabile. Dunque, le soluzioni sono due:

• Si predispone una nomina del responsabile sottoscritta da entrambe le parti, che fa riferimento al contratto già esistente (es. per rapporti consolidati) che integra e che deve contenere gli elementi richiesti dal Regolamento UE 679/2016, oppure
• Si definisce un nuovo contratto fra le parti che disciplini anche la gestione dei dati personali.

A seconda delle competenze professionali di chi lo ha redatto, questa nomina, accordo o contratto per il trattamento dei dati personali, può essere di un paio di pagine o di parecchie pagine scritte in “legalese” e, pertanto, di difficile comprensione da parte del fornitore, che potrebbe essere diffidente di fronte ad un articolato complesso..

Bisognerebbe discutere a lungo sull’utilità reale di stipulare contratti di responsabile del trattamento molto lunghi e ricchi di clausole che potrebbero risultare ostiche al responsabile ed indurlo a non firmarlo. D’altro canto, si vedono nomine o contratti da responsabile che riportano essenzialmente solo quanto riportato dal Regolamento UE 679/2016 all’art. 28, ma bisognerebbe altresì  capire cosa significa pretendere che il responsabile adotti misure di sicurezza “adeguate” (per chi?) o si attenga alle “istruzioni del titolare” (quali?).

Nella catena delle subforniture che si inquadrano come rapporti fra titolare e responsabile è difficile pensare che un fornitore responsabile del trattamento debba assoggettarsi a misure specifiche determinate da ogni titolare del trattamento suo cliente. Pensiamo, ad esempio, a studi di consulenza del lavoro o centri di elaborazione paghe, a fornitori di servizi informatici quali software in cloud e così via, che hanno decine di clienti. Per questo motivo si è verificato che molti di questi soggetti hanno proposto in maniera unilaterale un proprio accordo di trattamento dei dati personali che li individua come responsabili. A questo punto il titolare/cliente si vede portato ad accettare quanto proposto dal fornitore/responsabile, che dovrà comunque essere in linea con quanto stabilito dal GDPR ed è comunque opportuno verificare che le condizioni non siano troppo favorevoli al responsabile del trattamento.

Come anticipato sopra, nel contratto da responsabile del trattamento, o nomina che dir si voglia, si dovrà comunque prescrivere al fornitore l’adozione di misure di sicurezza adeguate, ma quali sono queste misure adeguate? Adeguate per chi? Per il fornitore/responsabile o per il titolare/cliente?

Torniamo alla “qualifica” preliminare del fornitore che può essere ispirata alla normativa ISO 9001 ed ai sistemi di gestione per la qualità. A seconda di quello che sarà il trattamento effettuato dal fornitore potremmo valutare le misure di sicurezza intraprese da esso per proteggere i dati personali oppure di imporgli delle nostre misure in qualità di titolare del trattamento. Facciamo qualche esempio. I tipici casi di trattamenti effettuati esternamente nelle imprese italiane sono:

• Elaborazione paghe e consulenza del lavoro
• Tenuta della contabilità e consulenza fiscale
• Fornitura di software e servizi in modalità Saas (software as a service), compresa la gestione di siti web
• Fornitura di servizi cloud.

Le ultime due situazioni hanno poi diverse variazioni sul tema, spesso i programmi software gestionali sono installati in modalità client/server su Server interni all’azienda, ma tenuti sotto controllo dal fornitore che può fare qualsiasi cosa, anche da remoto.

Naturalmente possono verificarsi situazioni più critiche in settori particolari, ad esempio quello della sanità pubblica e privata.

Le misure di sicurezza che chiederemo al consulente del lavoro o allo studio di commercialisti dovranno riguardare sia la sicurezza fisica ed ambientale degli archivi cartacei (e degli storage ove sono memorizzati i nostri dati), sia la sicurezza informatica per proteggere i dati da accessi non autorizzati. Dunque, potremmo richiedere al fornitore se e come applica determinate misure di sicurezza, ad esempio, per quanto riguarda la sicurezza fisica e le misure di sicurezza organizzative:

• Archivi chiusi a chiave fuori dall’orario di lavoro;
• Sistema di allarme ed eventuale videosorveglianza;
• Designazione dei soggetti autorizzati/incaricati al trattamento con obbligo di riservatezza;
• Formazione del personale;
• Tecniche di pseudonimizzazione;
• Ecc.

Mentre per quanto riguarda la sicurezza informatica dovremo chiedere se sono applicate le seguenti misure di sicurezza:

• Accesso ai dati con credenziali di autenticazione univoche;
• Profilazione degli utenti nei sistemi informatici per garantire l’accesso solo alle informazioni necessarie;
• Gestione delle password (segretezza, cambio al primo accesso e periodicamente, complessità delle password, ecc.);
• Sistemi anti-malware su tutti i dispositivi;
• Firewall hardware e software ed eventuali altri sistemi antintrusione;
• Sistemi di cifratura dei dati;
• Procedure di backup/restore ed eventuale disaster recovery garantito anche da copie in remoto;
• Nomina degli amministratori di sistema;
• E così via.

Poi naturalmente si pone il problema dei software utilizzati dal fornitore per elaborare i nostri dati (dati personali dei dipendenti, dei clienti, dei fornitori…). Occorrono le nomine dei sub-responsabili del trattamento (o “altri responsabili”) con garanzie analoghe a quelle sopra esposte, dal punto di vista ICT, che devono essere ribaltate sul fornitore del software.

Nel caso in cui il nostro fornitore sia un fornitore di servizi ICT occorre altresì essere garantiti su tutta la catena di fornitura del software e dei servizi ICT, compresi eventuali servizi cloud di terze parti.

In questo caso, oltre alla valutazione sulle misure di sicurezza adottate dal fornitore del software e dei servizi di assistenza ad esso correlati (accesso ai nostri dati con credenziali univoche, gestione delle password, utilizzo di anti-malware e firewall quando i tecnici del fornitore accedono ai nostri database con dispositivi propri e così via) occorrerebbe valutare le caratteristiche del software che acquistiamo o che abbiamo “noleggiato”: soddisfa il requisito di privacy by design e privacy by default? Si apre un altro capitolo che potrebbe non riguardare strettamente il contratto/accordo da responsabile del trattamento, se il software è stato acquistato o dovrà essere acquistato dall’azienda. Viceversa, le forniture di software e servizi SaaS, PaaS, IaaS, ecc. rientrano generalmente nel contratto per il trattamento di dati personali.

Ad esempio, a differenza di un software di tipo client/server installato in azienda ed accessibile solo dall’interno di essa, per un software in cloud dovremmo richiedere misure di sicurezza aggiuntive per garantirci da accessi fraudolenti (autenticazione a due fattori, numero massimo di login falliti oltre il quale viene bloccato l’account, complessità minima della password…).

In questo quadro si colloca anche l’eventuale nomina degli Amministratori di Sistema, che sono figure non disciplinate dal GDPR (sebbene costituiscano una misura di sicurezza), ma dalla normativa privacy italiana, in base ad una disposizione ancora in vigore. Normalmente chi opera in qualità di Amministratore di Sistema, se esterno all’organizzazione, ricopre anche il ruolo di responsabile del trattamento (come persona giuridica).

Veniamo, infine, all’atto di nomina del responsabile del trattamento che – come anticipato sopra – potrebbe essere un atto integrativo del contratto tra le parti oppure potrebbe essere compreso nel contratto stesso revisionato. In esso devono essere regolamentati i seguenti punti:

• Materia disciplinata;
• Durata del trattamento;
• Natura del trattamento;
• Finalità del trattamento;
• Tipo di dati personali;
• Categorie degli interessati;
• Misure di sicurezza adottate;
• Istruzioni operative.

Premesso che – in caso di nomina o atto integrativo rispetto al contratto preesistente – alcuni dei suddetti punti potrebbero e dovrebbero essere già disciplinati dal contratto (ad es. materia disciplinata, durata del contratto, ecc.), occorre precisare che:

• Il tipo di dati personali trattati può essere esplicitato in forma generale, ad es. dati personali comuni o dati particolari, dati anagrafici, dati di natura fiscale, dati relativi alla salute e così via; senza scendere in un dettaglio che poi sarebbe difficile mantenere aggiornato,
• Le categorie degli interessati possono essere dipendenti, clienti, fornitori, potenziali clienti o contatti commerciali, e così via.
• Le misure di sicurezza potrebbero essere richiamate da un questionario o check-list preliminare compilata a monte dal fornitore ed accettata dal cliente oppure potrebbero essere definite esplicitamente in un allegato o altro documento condiviso fra le parti, tenendo presente che potrebbero essere soggette ad aggiornamento per evolversi della tecnologia o altro.
• Le istruzioni operative potrebbero essere disciplinate nel dettaglio, eventualmente a partire da uno schema come segue.
• Trattare i dati suddetti per le sole finalità indicate;
• Predisporre e mantenere aggiornato un registro dei trattamenti – se previsto – in conformità all’art. 30 del Regolamento UE 679/2016;
• Valutare i rischi che incombono sui dati trattati sopra riportati;
• Adottare le idonee misure di sicurezza, tecniche ed organizzative, per garantire la riservatezza, l’integrità e la disponibilità dei dati trattati;
• Nominare ed istruire adeguatamente il personale incaricato del trattamento dei dati sulle procedure da adottare e sulle misure di sicurezza;
• Garantire che le persone autorizzate al trattamento dei dati personali si siano impegnate alla riservatezza o abbiano un adeguato obbligo legale di riservatezza;
• Vigilare sulla puntuale osservanza, da parte degli incaricati del trattamento dei dati, delle disposizioni di legge e delle proprie istruzioni, anche tramite verifiche periodiche;
• Assistere il titolare del trattamento – tenendo conto della natura del trattamento – con misure tecniche e organizzative adeguate, nella misura in cui ciò sia possibile, al fine di soddisfare l’obbligo del titolare del trattamento di dare seguito alle richieste per l’esercizio dei diritti dell’interessato di cui al capo III “Diritti dell’interessato” del Regolamento UE 679/2016;
• Assistere il titolare del trattamento nel garantire il rispetto degli obblighi di cui agli articoli da 32 a 36 del Regolamento UE 679/2016, tenendo conto della natura del trattamento e delle informazioni a disposizione del responsabile del trattamento;
• Su scelta del titolare del trattamento, cancellare o restituire tutti i dati personali dopo che è terminata la prestazione dei servizi relativi al trattamento in oggetto e cancellare le copie esistenti, salvo che il diritto dell’Unione o degli Stati membri preveda la conservazione di tali dati;
• Mettere a disposizione del titolare del trattamento tutte le informazioni necessarie per dimostrare il rispetto degli obblighi di cui all’articolo 28 del Regolamento UE 679/2016 e consentire e contribuire alle attività di revisione, comprese le ispezioni, realizzate dal titolare del trattamento o da un altro soggetto da questi incaricato;
• Comunicare al titolare del trattamento le misure tecniche d organizzative adottate per garantire la sicurezza dei dati, in particolare riguardo alle misure di sicurezza informatica (gestione delle credenziali di autenticazione, procedure di backup e restore, protezioni contro il malware, ecc.), eventuale nomina di un Amministratore di Sistema, misure di sicurezza fisica, eventuale nomina di un Responsabile della Protezione dei Dati (RPD o DPO, Data Protection Officer).

Sulla questione di eventuali sub-responsabili l’elenco approvato potrebbe essere gestito a parte in modo più efficiente, ma il problema più rilevante è quello legato ai dati in cloud, ovvero dove sono i datacenter? Quali misure di sicurezza garantiscono? Dispongono di certificazioni?

Sulla territorialità in UE o fuori UE con adeguate garanzie la responsabilità rimane del titolare del trattamento si possono riscontrare diversi problemi in prima istanza nascosti. Senza voler entrare troppo nel merito di quest’argomento, molto articolato, si può precisare il fatto che il cliente deve sapere dove il fornitore archivia i suoi dati personali, ovvero quelli di cui è titolare.

Infine, il Titolare dovrebbe avere il diritto di effettuare un audit sul responsabile del trattamento per verificare il rispetto del contratto, in assenza di certificazioni specifiche del responsabile ai sensi del GDPR (ad es. ISPD©10003) o comunque che offrono adeguate garanzie sulla sicurezza delle informazioni (ISO 27001, ISO 27701). Il responsabile del trattamento non potrebbe sottrarsi a tale obbligo. Su quest’ultimo aspetto e su quant’altro riportato nell’atto di nomina del responsabile è bene non dimenticare che il titolare del trattamento è il cliente ed il fornitore nominato responsabile dovrebbe essere sostituito se non adempie a quanto previsto dal GDPR, ovvero certi rapporti contrattuali non devono per forza proseguire se non forniscono adeguate garanzie sul trattamento dei dati personali in conformità al GDPR.

Lo scorso 4 maggio è stato pubblicato sulla gazzetta ufficiale della Comunità Europea il “Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati)” e dopo 20 giorni dalla sua pubblicazione è divenuto legge europea, pertanto a partire dal 25 maggio 2016 decorrono i due anni di transitorio per l’applicazione del nuovo Regolamento.

Nella pagina Documenti di questo sito è possibile scaricare il testo ufficiale (ora anche per gli utenti non registrati).

Il Garante per la Protezione dei dati personali ha pubblicato un’apposita guida (http://194.242.234.211/documents/10160/5184810/Guida+al+nuovo+Regolamento+europeo+in+materia+di+protezione+dati ).

Rispetto al precedente articolo pubblicato su questo sito il 27/04/2016, basato sulla traduzione della proposta di Regolamento approvata dal Parlamento Europeo a dicembre 2015, di cui il presente articolo costituisce un aggiornamento, si rilevano alcune differenze nella traduzione del testo originale inglese in lingua italiana, rispetto all’attuale Codice privacy D.Lgs 196/2003:

• Viene mantenuto il “Titolare del trattamento” (Data Controller);
• Viene mantenuto il “Responsabile del Trattamento” (Data processor);
• Viene abolito l’Incaricato del trattamento.

Il nuovo Regolamento introdurrà una legislazione in materia di protezione dati uniforme e valida in tutta Europa, affrontando temi innovativi – come il diritto all’oblio e alla portabilità dei dati – e stabilendo anche criteri che da una parte responsabilizzano maggiormente imprese ed enti rispetto alla protezione dei dati personali e, dall’altra, introducono notevoli semplificazioni e sgravi dagli adempimenti per chi rispetta le regole. Il Regolamento UE 679/2016, però, non sarà l’unica fonte legislativa per regolamentare la protezione dei dati personali, infatti le Autorità dei singoli Stati Membri – e quindi il Garante della Privacy per l’Italia – potranno integrare i contenuti del Regolamento dettagliando meglio alcuni aspetti che al momento appaiono poco chiari, introdurre linee guida generali e di settore, regolamentare aspetti particolari, ecc.

A tal proposito occorre ricordare che, con l’uscita del Regolamento 679 non vengono aboliti i provvedimenti del nostro Garante su Videosorveglianza, Amministratori di Sistema, fidelity card, biometria, tracciamento flussi bancari, ecc. Tali provvedimenti probabilmente verranno modificati e/o integrati dal Garante Privacy per aggiornarli ed eventualmente adeguarli alle prescrizioni del Regolamento Europeo 679.

Il Garante Privacy italiano potrà inoltre integrare il Regolamento UE 679 per disciplinare il trattamento di dati personali effettuato per adempiere obblighi di legge italiana e in particolari ambiti, ad esempio quello dei dati sanitari, oppure per definire in modo più dettagliato gli obblighi per le PMI (ovvero per le organizzazioni che occupano meno di 250 dipendenti, per le quali il regolamento 679 ha stabilito delle semplificazioni).

Ma quali sono le principali novità per le imprese nella gestione della privacy a fronte del Regolamento UE?

L’aspetto più significativo è sicuramente il cambio di approccio rispetto al Codice Privacy attualmente in vigore in Italia, ed in particolare all’Allegato B, ovvero al Disciplinare Tecnico delle Misure Minime di Sicurezza. Il nuovo Regolamento Europeo sulla privacy, infatti, non definisce requisiti specificati in termini precisi, come avviene per l’attuale normativa italiana sulla privacy, ma sposta la responsabilità di definire le misure di sicurezza idonee a garantire la privacy dei dati personali trattati sul titolare o responsabile del trattamento, dopo un’attenta analisi dei rischi.

Dunque non ci sono più misure minime, ma solo misure di sicurezza adeguate, progettate dal titolare o responsabile del trattamento dopo aver effettuato l’analisi dei rischi che incombono sui dati personali che si intende trattare. Sottolineiamo quest’ultimo aspetto: le misure di prevenzione vanno poste in atto prima di iniziare il trattamento.

Poiché a livello nazionale la legislazione italiana ed il Garante per la Protezione dei Dati Personali hanno seguito il percorso europeo, a partire dalla Direttiva Europea 46/95, a livello di principi sulla privacy non ci sono differenze significative tra normativa italiana e Regolamento Europeo. Infatti, alcune regole già imposte dal Codice Privacy e dalle successive disposizioni del Garante restano valide, anche se con contorni un po’ meno definiti da criteri oggettivi. In sostanza:

• Viene regolamentato solo il trattamento di dati personali di persone fisiche (non giuridiche) per scopi diversi dall’uso personale.
• Resta una distinzione fra trattamento di dati personali comuni e trattamento di dati c.d. sensibili, anche se la definizione del D.lgs 196/2003 non viene utilizzata nel Regolamento UE 679, lasciando però la possibilità agli Stati membri di stabilire una disciplina particolare in merito.
• Restano gli obblighi di informare l’interessato sull’uso che verrà fatto dei suoi dati personali.
• Restano gli obblighi di ottenere il consenso per i trattamenti non necessari o per i trattamenti di particolari tipi di dati, ad esempio quelli idonei a rivelare lo stato di salute delle persone, le origini razziali, le idee religiose, ecc.

Tra gli elementi che cambiano vi sono sicuramente:

• La denominazione ed i ruoli degli attori: il titolare del trattamento rimane tale, il responsabile del trattamento è ora responsabile in solido con il titolare per i danni derivanti da un trattamento non corretto, l’incaricato rimane il soggetto che fisicamente tratta i dati, ma tale ruolo non è delegabile, se non attraverso uno specifico accordo contrattuale. Il responsabile può individuare un proprio rappresentante.
• I dati personali trattati devono essere protetti con misure organizzative e tecniche adeguate a garantirne la riservatezza e l’integrità.
• I diritti dell’interessato sono più ampi e maggiormente tutelati.
• Il responsabile del trattamento deve mettere in atto misure tecniche ed organizzative tali da consentirgli di dimostrare che tratta i dati personali in conformità al Regolamento. Tali misure devono seguire lo stato dell’arte e devono derivare dall’analisi dei rischi che incombono sui dati, secondo relativa gravità e probabilità.
• Privacy by default: devono essere trattati “per default” solo i dati necessari a perseguire le finalità del trattamento posto in essere dal responsabile dello stesso, ovvero non devono essere trattati dati in eccesso senza che una persona fisica autorizzata lo consenta.
• Privacy by design: ogni nuovo trattamento di dati personali dovrà essere progettato in modo da garantire la sicurezza richiesta in base ai rischi a cui è sottoposto prima di essere implementato. Anche i sistemi informatici dovranno essere progettati secondo tale principio.
• Possono esserci più responsabili per un medesimo trattamento che risulteranno, pertanto, corresponsabili di eventuali trattamenti non conformi, ma dovranno stabilire congiuntamente le rispettive responsabilità.
• Le imprese con sede al di fuori dell’Unione Europea, che trattano dati personali di interessati residenti nella UE dovranno eleggere una propria organizzazione o entità all’interno della UE che sarà responsabile di tali trattamenti.
• Devono essere mantenuti registri dei trattamenti di dati effettuati con le informazioni pertinenti e le relative responsabilità. Tali registri non sono obbligatori per organizzazioni con meno di 250 dipendenti salvo che non trattino dati sensibili (secondo la definizione del Codice della Privacy attualmente in vigore) o giudiziari. Tale discriminante potrà essere meglio specificata da appositi provvedimenti del nostro Garante.
• Il responsabile del trattamento deve notificare all’autorità competente – e, in casi gravi, anche all’interessato – ogni violazione dei dati (data breach) trattati entro 72 ore dall’evento.
• Quando un trattamento presenta dei rischi elevati per i dati personali degli interessati (i casi specifici dovranno essere esplicitati dall’Autorità Garante), il responsabile del trattamento deve effettuare una valutazione di impatto preventiva, prima di iniziare il trattamento.
• Viene introdotta la certificazione del sistema di gestione della privacy (le cui modalità dovranno essere meglio definite tramite gli Organismi di Accreditamento Europei, ACCREDIA per l’Italia)..
• È richiesta la designazione di un Responsabile della Protezione dei Dati (Data Protection Officer) nelle Aziende Pubbliche e nelle organizzazioni che trattano dati sensibili o giudiziari su larga scala oppure che la tipologia di dati trattati e la loro finalità richieda il controllo degli incaricati al trattamento su larga scala.

 

Proprio quest’ultimo punto, variato rispetto alle precedenti versioni del Regolamento, farà molto discutere, poiché non stabilisce criteri precisi ed oggettivi (cosa significa “su larga scala”?) per l’adozione di tale figura professionale, di competenze adeguate a garantire una corretta applicazione della normativa sulla privacy. Il Responsabile per la Protezione dei Dati dovrà essere correttamente informato dal Responsabile del Trattamento su tutte le attività che riguardano la privacy e dovrà disporre di risorse adeguate per svolgere il proprio compito e mantenere le sue competenze adeguate al ruolo che ricopre. Egli dovrà inoltre essere indipendente dalle altre funzioni dell’organizzazione e riferire solamente all’alta direzione.

La sicurezza dei dati – in termini di riservatezza, integrità e disponibilità – deve essere garantita in funzione del rischio che corrono i dati stessi, dei costi delle misure di sicurezza e dello stato dell’arte della tecnologia. Pertanto le password di almeno 8 caratteri variate almeno trimestralmente, l’antivirus aggiornato, il firewall e l’aggiornamento del sistema operativo potrebbero essere misure adeguate per determinati trattamenti, ma non per altri, oppure in determinate organizzazioni, ma non in altre, in ogni caso lo potrebbero essere oggi, ma non domani quando il progresso tecnologico (anche degli hacker e di coloro che minacciano i nostri dati) potrebbe renderle insufficienti.

Lasciando per il momento stare gli impatti che il nuovo Regolamento UE sulla privacy potrà avere per i colossi del web, quali Facebook, Google, ecc., è opportuno osservare che per le piccole e medie imprese italiane dovrà cambiare l’approccio alla privacy, soprattutto per quelle organizzazioni che trattano dati sensibili o giudiziari. Occorrerà un cambio di mentalità: non serve più un po’ di carte (informative, consensi, lettere di incarico, …) ed alcune misure minime di sicurezza specifiche (password, antivirus,…) per garantire il rispetto della legge. Poiché molti imprenditori vedono la privacy solo come un disturbo da gestire soltanto per non incorrere in sanzioni e, quindi, come una pratica da sbrigare nel modo più indolore possibile, ecco che il passaggio al nuovo Regolamento – che dovrà avvenire nei prossimi due anni – non sarò proprio una passeggiata.

Le responsabilità in capo al responsabile del trattamento (ex titolare del trattamento) sono maggiori e comunque più impegnative da gestire, soprattutto laddove il trattamento di dati venga delegato a fornitori (es. consulenti del lavoro, consulenti fiscali e legali, strutture esterne, ecc.) che dovranno inevitabilmente essere tenuti sotto controllo.

Non è che taluni principi fossero assenti dalla normativa italiana del 2003, ma – complice la crisi e le semplificazioni adottate da precedenti governi, soprattutto l’abolizione del DPS – hanno un po’ sminuito l’importanza della privacy in azienda, anche perché – si sa come siamo fatti noi italiani – senza sanzioni esemplari non ci preoccupiamo di nulla… e sono stati molto rare le sanzioni comminate alle aziende, anche perché i controlli sono stati molto poco frequenti.

Paradossalmente ha spaventato di più la disposizione sui cookie perché la sua mancata applicazione è di fatto pubblica, mentre altre regole di fatto trascurate rimangono tra le muar delle organizzazioni di ogni dimensione.

L’indeterminatezza di alcune regole potrà essere colmata da disposizioni specifiche dei singoli Stati membri e/o da linee guida di settori specifici che potranno agevolare l’interpretazione della legge.

Ora la privacy sarà meno materia per avvocati – se non per la stesura di contratti che regolamentano i rapporti fra clienti e fornitori anche in materia di trattamento dati personali – e più materia per esperti della sicurezza delle informazioni. Infatti l’approccio del nuovo Regolamento Europeo sulla Privacy si avvicina, mutatis mutandis, a quello della norma UNI EN ISO/IEC ISO 27001 e della linea guida UNI EN ISO/IEC 27002.

L’adozione del nuovo Regolamento UE sarà, pertanto, più impegnativa per piccole organizzazioni che trattano molti dati c.d. sensibili o giudiziari, quali organizzazioni private nel campo della sanità (cliniche ed ambulatori privati, farmacie, …), studi di consulenza del lavoro, infortunistiche, studi legali, studi di consulenza fiscale, ecc., piuttosto che per aziende che trattano come unici dati sensibili i dati relativi ai propri dipendenti. Anzi saranno proprio queste ultime che dovranno pretendere da società e studi di consulenza esterna adeguate garanzie per il trattamento dei dati di cui sono responsabili.