Trattamento dati a prova di ispezione: come superare indenni una verifica | Agenda Digitale

i suggerimenti

Trattamento dati a prova di ispezione: come superare indenni una verifica

Alcuni suggerimenti pratici per aiutare le organizzazioni a rapportarsi in maniera efficace con gli ispettori e l’Autorità durante le verifiche e a rappresentar loro una conformità costruita con motivazioni solide e scelte necessarie

08 Dic 2020
Nicola Manzi

Consulente Direzionale, Compliance, DPO

Ci sono due momenti topici intorno ai quali un modello organizzativo sulla protezione dei dati ben progettato dimostra effettivamente la propria tenuta:

  • quando resiste fronteggiando efficacemente gli eventi per i quali è stato costruito;
  • quando sorpassa indenne una verifica dell’Autorità Garante Privacy.

Sì, perché, per quanto preventivamente, in fase di costruzione, si possano ipotizzare e valutare correttamente i rischi, immaginare tutti gli scenari prevedibili e accordare le risposte dell’organizzazione alla sensibilità che la stessa accorda al principio fondamentale di “accountability”; nella realtà possiamo dimostrare di aver compreso il reale significato dell’aggettivo “adeguate” richiamato nell’art 32 co.1 del GDPR, soltanto in due modi:

  • riducendo ad un valore prossimo allo zero il danno subito dall’organizzazione in caso di incidente;
  • portando a termine una verifica ispettiva da parte dell’Autorità senza che venga emesso un provvedimento nei confronti della nostra organizzazione (o al limite cavandocela con una semplice ammonizione).

Limitandoci, per ragioni di trattazione, ad affrontare il solo il tema della verifica del Garante, proveremo a fornire alcuni suggerimenti pratici per aiutare le organizzazioni a rapportarsi in maniera efficace con ispettori e l’Autorità durante le verifiche e a rappresentar loro una conformità costruita con motivazioni solide e scelte necessarie.

Dobbiamo, però, fare delle doverose premesse:

  • nessun suggerimento può essere valido in difetto del sistema. Se non abbiamo, cioè, costruito o provato a costruire un modello tecnico ed organizzativo adeguato ci troveremo inermi di fronte al controllore;
  • Rappresentare falsamente la realtà e/o ostacolare le indagini del Garante costituiscono illeciti di natura penale;
  • L’aspetto sostanziale sovrasta quello formale. Pur disponendo, cioè, di ottimi documenti realizzati dai migliori consulenti, se questi non corrispondono alla realtà dei fatti, saremo giudicati non conformi.

Le fonti normative

Chiariti questi aspetti preliminari, entriamo più a fondo nell’argomento ricostruendo brevemente le fonti normative e disposizioni che riguardano i compiti, i poteri e le competenze dell’Autorità in merito alle attività di controllo ed ispezione:

Webinar, 28 aprile
Industria 4.0: come proteggere gli asset più importanti?
IoT
Manifatturiero/Produzione
  • Il Regolamento Europeo 679/2016 (capo VI) in special modo gli artt. 58 e 62;
  • Il D.lgs. 196/03 (capo III) in special modo gli articoli dal 157 al 160bis;
  • Il Regolamento 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali;
  • Il Regolamento n.1/2019 “concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la privacy per la protezione dei dati personali”.

Anche soltanto da una lettura veloce delle fonti richiamate emerge evidente l’ampiezza dei poteri dell’Autorità nazionale che può (in breve):

  • attivarsi a seguito di un’istanza di parte (per esempio in seguito a un Reclamo o ad una segnalazione) o d’ufficio (ad esempio in base alla pianificazione semestrale dei controlli – al momento in cui scrivo l’ultima pianificazione è quella disposta con deliberazione del 1° ottobre 2020 iscritta nel Registro dei provvedimenti n.171 del 1° ottobre 2020).
  • Delegare alla Guardia di finanza (cosiddetto Nucleo Privacy) o svolgere in proprio le attività ispettive e di revisione. (Di solito l’Autorità procede personalmente ai controlli nei casi più gravi e cioè quando (- – sulla base di numerose segnalazioni e/o reclami – ritiene fondato il sospetto di un mancato rispetto delle disposizioni normative);
  • convocare il titolare presso l’Autorità o ispezionarne la sede;
  • annunciare la propria visita tramite una comunicazione (la visita viene preannunciata solitamente il giorno prima a mezzo PEC) o presentarsi a sorpresa negli uffici del titolare
  • verificare la tenuta dei sistemi di sicurezza informatica (vengono condotti dei veri e propri penetration test e scansioni delle reti ad opera di esperti di sicurezza informatica)
  • accedere al contenuto di tutte le banche dati del titolare ed estrarne copia.

A cosa mirano le ispezioni del Garante

Al netto dell’ampiezza dei suoi poteri, ci può essere utile rispondere ad una domanda: cosa intende accertare l’Autorità quando dispone un’ispezione?

La risposta corretta è: il rispetto del principio di responsabilizzazione.

Si vuole, cioè, che il titolare del trattamento chiarisca e sia in grado di comprovare di aver messo in atto misure tecniche e organizzative efficaci ed opportune per assicurare il rispetto dei diritti e delle libertà degli interessati, e sia capace al contempo di fronteggiare il rischio di perdita di riservatezza, disponibilità ed integrità delle informazioni personali che tratta in conformità alle previsioni del Regolamento Europeo 2016/679 (GDPR) e della normativa nazionale in materia.

Dimostrare in fase di ispezione di esser stato “accountable” significa, in sostanza, riuscire ad associare ad ogni scelta compiuta dal titolare un ragionamento logico e documentato capace di giustificarla ed allo stesso tempo di poter etichettare ogni “omissione” come non necessaria o inidonea a compromettere la tenuta del sistema.

Come intende, invece, accertare il rispetto di questo fondamentale principio?

L’ispettore consegna agli uffici del titolare una “Richiesta di informazioni”, un documento con il quale l’Autorità Garante per la protezione dei dati personali delimita la propria attività di controllo richiedendo in maniera formale come il Titolare del trattamento abbia assolto i propri obblighi in materia di privacy.

Il contenuto della richiesta può avere un perimetro limitato o essere al contrario molto ampia e può approfondire aspetti tecnologici e/o pratici nella gestione delle informazioni personali.

L’importanza del Registro delle attività di trattamento

Compito dell’organizzazione sarà quindi quello di rispondere fornendo ogni informazione utile e ogni evidenza necessaria al sostegno di essa partendo da un’efficace illustrazione delle informazioni contenute all’interno del “Registro delle attività di trattamento”.

Tale documento, esiziale in ogni modello organizzativo sulla privacy, dovrà essere completo, aggiornato ed aderente all’organizzazione.

Cosa deve contenere per rispondere a tali requisiti?

Innanzitutto, tutte ciò che viene richiesto all’interno dell’Art 30 del GDPR.

Deve, poi, racchiudere tutte le informazioni ritenute utili per “agevolare in maniera dialogante e collaborativa l’attività di controllo del Garante stesso” e “recare, in maniera verificabile, la data della sua prima istituzione (o la data della prima creazione di ogni singola scheda per tipologia di trattamento) unitamente a quella dell’ultimo aggiornamento”.

Conviene quindi che contenga tutte le informazioni necessarie allo sviluppo della valutazione preliminare dei rischi e degli impatti nonché tutte quelle utili alla predisposizione completa delle informative (attività di trattamento, finalità, basi giuridiche, eventuali responsabili, conservazione dei dati etc.), il dettaglio di ogni misura di sicurezza logistica ed informatica effettivamente implementata in relazione all’attività di trattamento specifica, gli eventuali trasferimenti all’estero dei dati, ogni indicazioni utile ad identificare i responsabili del trattamento e i soggetti autorizzati.

Un registro completo e ben compilato restituirà immediatamente agli ispettori uno schema chiaro del ciclo di vita dei dati personali trattati dall’organizzazione con il quale il Titolare del trattamento potrà dare conto in maniera schematica ed efficace ad ogni “Richiesta di informazioni” presentata.

La corretta tenuta del Registro è aspetto importante ma soltanto preliminare della visita. Partendo dalle informazioni ivi inserite, infatti, il Nucleo Privacy o i funzionari dell’Autorità Garante continueranno con il controllare ogni altro elemento di conformità individuato nella richiesta.

Gli altri elementi di conformità

Il controllore, infatti, potrà verificare che l’organizzazione (se tenuta a farlo) abbia correttamente designato al Garante un DPO, che abbia correttamente autorizzato e formato il proprio personale dipendente, che abbia formalizzato i rapporti con i Responsabili del trattamento alla luce delle indicazioni contenute nell’art. 28 del Regolamento, che abbia predisposto il registro delle violazioni e che abbia effettuato le DPIA necessarie.

Controlli che non vanno però ridimensionati al mero rapporto tra richiesta ed esibizione di documenti.

Comprovare di essere stati responsabilizzati può significare, infatti, in merito alla funzione di DPO, dover rendere conto delle motivazioni che hanno portato alla sua designazione.

Non già l’offerta economica più bassa reperita sul mercato ma aspetti sostanziali quali il curriculum, le questioni logistiche (vicinanza alla sede dell’organizzazione) etc.

Una volta chiarita la rispondenza tra esigenze d’impresa e le competenze del soggetto individuato, poi, si dovrà fornire dimostrazione del coinvolgimento di tale figura nei processi decisionali riguardanti la protezione dei dati personali.

In merito ai soggetti autorizzati potrebbe, invece, essere necessario produrre evidenza della predisposizione di un piano formativo, della partecipazione di ogni soggetto a tale piano nonché comprovare che ogni unità abbia compreso le tematiche approfondite durante le giornate di formazione.

Con tali premesse sembra evidente come l’Autorità potrebbe contestare con un provvedimento anche aspetti non esplicitamente richiesti dalla norma come la mancata corrispondenza tra compiti svolti e formazione ricevuta, tra mansionari e lettere di autorizzazione.

In merito ai Responsabili del trattamento potrebbero essere, invece, contestate le istruzioni se tutte uguali e non aderenti ai servizi oggetto del contratto.

In merito alle valutazioni d’impatto (DPIA) il fondamento delle ragioni che ne hanno escluso l’adozione o le ragioni che hanno portato a segnalare all’Autorità un Data Breach.

Tale profondità di indagine implica che ogni Titolare del trattamento si debba preoccupare non soltanto di costruire un modello conforme ma di condividerlo all’interno della propria organizzazione in maniera sostanziale e capillare.

È soltanto, infatti, con la comprensione a tutti i livelli dei principi e delle regole sulle quali basa il sistema costruito dal Titolare che si può assicurare su base continuativa il rispetto dei diritti degli interessati.

Consapevolezza che può essere agevolata dalla condivisione delle informazioni, dal coinvolgimento di tutto il personale dal lavoro del DPO.

Una politica ad hoc sulla gestione delle ispezioni

È però altrettanto vero che anche in presenza di tale consapevolezza un’ispezione all’interno di un’organizzazione non è mai un processo semplice da vivere per il controllato.

Il doversi confrontare con esponenti dell’Autorità o della Guardia di Finanza potrebbe, infatti, provocare ansie e timori da parte di personale non avvezzo a tali controlli.

Sarebbe, quindi, utile per ogni organizzazione costruire una politica ad hoc sulla gestione delle ispezioni e fare in modo che tutto il personale sia conscio dei diritti del titolare, pronto a rispondere alle richieste dell’Autorità, formato e preparato a collaborare con i controllori;

Una procedura interna dettagliata che chiarisca ruoli, responsabilità e processi efficaci per gestire ogni eventuale ispezione.

Sì, perché se è vero che l’obbligo di collaborazione cui è tenuta l’organizzazione implica che venga agevolato l’accesso a tutti gli archivi e documenti (cartacei e digitali) di interesse, ovunque siano detenuti, che non siano ostacolate le attività degli ispettori o fornite false dichiarazioni; se è vero che i poteri assegnati dalla legge all’autorità permettono che gli ispettori possano:

  • accedere per più giorni agli uffici o a luoghi di ispezione anche privati ;
  • richiedere qualsiasi documento considerato utile ai fini dell’ispezione
  • apporre sigilli su locali e/o documenti
  • avere la possibilità di interrogare ogni persona coinvolta nell’organizzazione

allo stesso tempo non si perde il diritto di:

  • essere assistiti nel corso dell’intera ispezione dal proprio DPO, da un consulente privacy o informatico o da un legale esperto nella materia;
  • non consegnare i documenti in originale ma rilasciare copie di essi;
  • produrre documenti anche in un momento successivo;
  • prendere nota di tutte le richieste effettuate dagli ispettori e di tutte le banche dati visionate;
  • coinvolgere i Responsabili del trattamento per le attività di gestione dei dati in outsourcing;
  • poter verificare la correttezza di tutte le dichiarazioni messe a verbale (chiedendo anche le opportune rettifiche in caso di fraintendimenti e contestazioni in caso di rappresentazioni non veritiere) e ricevere una copia dello stesso.

Conclusioni

In conclusione, una volta messo su il sistema tecnico ed organizzato adeguato, occorre dedicare il proprio tempo e le proprie risorse alla condivisione dello stesso all’interno dell’organizzazione anche per rispondere in maniera efficace ad un’ispezione dell’Autorità.

Se all’interno dell’organizzazione, infatti, viene diffusa efficacemente la cultura della data protection non ci saranno tentennamenti nel rispondere alle richieste dell’Autorità Garante per la protezione dei dati personali e, soprattutto, nell’assicurare ad ogni interessato la giusta tutela.

WHITEPAPER
Come è cambiato in Italia il quadro normativo dei pagamenti digitali verso la PA?
@RIPRODUZIONE RISERVATA

Articolo 1 di 3