Considerata quale attività preliminare e prodromica al processo di adeguamento, la mappatura dei processi aziendali, specie negli enti e nelle imprese di rilevanti dimensioni, svolge un ruolo primario nella creazione di un sistema di gestione dei dati pienamente “compliant” alla normativa privacy vigente.
Per tale ragione, facendo riferimento ai principi del GDPR nonché al recente manuale redatto da Douwe Korff e Marie Georges “Manuale RPD”, diamo uno sguardo pratico alle modalità di identificazione delle unità operative dei titolari del trattamento e dei rapporti intercorrenti tra quest’ultimo e soggetti terzi cui si demanda parte del trattamento dei dati personali.
Indice degli argomenti
Profilo dimensionale della mappatura dei processi aziendali
È indispensabile, per poter pienamente comprendere il funzionamento e le modalità di utilizzo e gestione dei dati da parte del titolare del trattamento e adattare la normativa alle necessità peculiari del settore in cui quest’ultimo opera, che il consulente/DPO proceda preliminarmente all’analisi di tre aspetti:
- la distribuzione interna delle responsabilità e delle operazioni relative al trattamento dei dati (dalla fase di acquisizione del dato fino alla sua cancellazione o anonimizzazione);
- i rapporti esterni, siano essi formali o informali, con altri titolari o con soggetti qualificabili quali responsabili del trattamento;
- la normativa di settore applicabile al titolare, nonché della giurisprudenza e delle opinion dei Garanti in relazione a specifici trattamenti oggetto di provvedimenti ad hoc, per la definizione delle basi del trattamento ex art. 6 GDPR.
Sebbene sia opportuno, in un primo momento, fare riferimento all’organigramma della società o dell’ente, il quale identifica le unità ed i dipartimenti nei quali gli stessi si esplicano, è bene ricordare che a quest’ultimo non sempre corrisponde il cosiddetto organigramma privacy, ossia l’organigramma che mappa il flusso dei dati sia all’interno che all’esterno del titolare del trattamento.
Sarà pertanto naturale che alcuni dei rami dell’organigramma societario, solitamente connessi alla fase di produzione del prodotto (ad esempio gli operai che, nel settore manifatturiero, si occupano di eseguire specifiche lavorazioni senza avere conoscenza di alcun dato personale) non saranno inclusi nell’organigramma di gestione dei dati personali.
Analisi del modus operandi delle unità operative
Sarà compito del consulente/DPO chiarire nel dettaglio, procedendo anche all’audizione dei singoli responsabili d’area (cosiddetto “business owner”), quali siano le operazioni di trattamento per le quali ogni unità operativa può ritenersi responsabile; quali tecnologie siano impiegate dalle stesse, ivi incluso il cloud computing; quali rapporti ogni singola unità intrattenga con soggetti esterni.
In questa fase sarà necessario familiarizzare anche con i sistemi informatici utilizzati, nonché con le politiche proprie della società, avendo particolare riguardo a:
- il tipo di hardware e software utilizzato e quali dati personali sono coinvolti nelle fasi di utilizzo di tali sistemi;
- le politiche di utilizzo di sistemi mobili quali cellulari, computer portatili, o di dispositivi personali (cosiddetto Bring Your Own Device [BYOD] policy, le quali, comportando un maggiore rischio di accesso non autorizzato, richiedono l’implementazione di specifiche misure di sicurezza);
- le modalità di collegamento alla rete dei dispositivi utilizzati;
- le misure di sicurezza adottate, sia fisiche che digitali, per proteggere i dispositivi ed i locali di archiviazione da accessi non autorizzati;
- la vetustà dei sistemi in uso e la necessità di procedere ad un aggiornamento degli stessi;
- i rapporti con società esterne per lo svolgimento di determinate fasi del trattamento (es: conservazione);
- l’eventuale trasferimento dei dati personali al di fuori dell’UE e l’adeguatezza delle clausole contrattuali connesse a tale trasferimento.
Ove si riscontrino delle situazioni di inadeguatezza/non conformità rispetto al disposto normativo disciplinante il trattamento dei dati, tali criticità dovranno essere annotate, mappate e registrate al fine di poterle correttamente risolvere e identificare nella successiva fase di analisi dei rischi connessi alle singole operazioni di trattamento dati (anch’essa imprescindibile).
Verifica dei rapporti esterni connessi al trattamento dati
Nel processo di stesura dell’organigramma privacy, di fondamentale importanza è anche l’analisi dei rapporti che la società intrattiene con altri soggetti per l’esecuzione di determinate fasi del trattamento. La fonte del rapporto può essere di due tipi:
- gerarchica: molto più frequente nel settore pubblico (vedasi il classico caso in cui un’autorità locale è formalmente subordinata alla giurisdizione di un ente regionale, che a sua volta è soggetto al controllo od alla supervisione di un ente sovraordinato, e così via), è un rapporto i cui confini sono definiti per legge e strettamente connessi al modo in cui la struttura amministrativa del titolare si declina sul territorio. Ove ci si trovi innanzi ad una gerarchia organizzativa di tal guisa, è altamente consigliato, al fine di coordinare i processi di adeguamento alla normativa privacy e monitoraggio periodico della compliance, creare una rete di comunicazione fra i DPO dei singoli enti/organizzazioni e fra questi ultimi ed i membri dell’Autorità di protezione dei dati personali;
- contrattuale: può essere regolato sia da leggi specifiche che da accordi formali e vincolanti (ad esempio: accordi relativi alla condivisione di dati personali). Il consulente e/o DPO ha il compito di revisionare accuratamente gli accordi ove riguardino il trattamento di dati personali e, ove necessario, adeguarli affinché siano conformi alla normativa privacy vigente.
In alcuni casi residuali, il rapporto fra due soggetti può essere regolato esclusivamente da accordi informali non pubblici.
In casi come questo, diviene fondamentale formalizzare quanto prima il rapporto in comunione con le parti, anche attraverso l’utilizzo di forme contrattuali tipiche dell’outsourcing, al fine di regolarne tutti gli aspetti, in particolar modo i profili di responsabilità connessi, come è noto, alle figure del titolare e del responsabile del trattamento, cui il GDPR demanda specifici oneri. L’accordo dovrà riflettere le concrete divisioni e attribuzioni di responsabilità ed incontrare pienamente i requisiti richiesti dal GDPR.
In termini di trattamento dati, ciò comporterà la stesura di accordi di contitolarità (per rapporti titolare – titolare) o di contratti contenenti gli elementi richiesti dall’art. 28 GDPR (per rapporti titolare-responsabile o responsabile – sub-responsabile).
Ove, in esecuzione del rapporto contrattuale, si verifichi un trasferimento di dati al di fuori dell’Unione Europea, tale atto o contratto dovrà regolare anche ogni aspetto connesso al trasferimento dei dati personali, con particolare riguardo alle misure di sicurezza da attuare a tutela dei dati dell’interessato.
Conclusione
Conclusasi anche quest’ultima fase, i risultati delle attività svolte confluiranno in un più completo organigramma che tenga conto dei succitati tre elementi fondamentali (distribuzione interna, rapporti esterni e normativa alla base del trattamento o dello stesso rapporto) al fine di costituire la base cui far riferimento per monitorare l’andamento delle politiche organizzative e, eventualmente, procedere alla loro implementazione sulla base degli sviluppi normativi e/o giurisprudenziali.
La mappatura dei processi aziendali di gestione dei dati, per come risultante, sarà anche la base cui far riferimento per la conseguente stesura del registro del trattamento.
