Per non ridurre un tema fondamentale come il trattamento dei dati personali a tanta burocrazia è necessario costruire una seria e puntuale privacy policy in azienda iniziando dalla conoscenza della realtà produttiva in cui si va ad operare.
Dall’entrata in vigore del Regolamento europeo 2016/679 (GDPR) ad oggi, invece, i primi rapporti ufficiali del Garante in tema di trattamento dei dati personali ci dicono che, in termini di numeri non statisticamente rilevanti per quanto attiene alla qualità, la situazione italiana non cambia di molto rispetto al precedente D.lgs. 196/2003.
Le colpe sono molteplici e diversamente imputabili, ma sicuramente partono da una cronistoria normativa il cui susseguirsi di date nel tempo ha permesso varie e fantasiose interpretazioni che ogni volta rinviavano la data di start ufficiale.
Senza volerci dilungare su questa tematica, particolarmente tediosa se riferita alle sole date, verifichiamo subito che quanto normato con il regolamento europeo ad oggi non ha ancora ricevuto le giuste attenzioni da parte del “mercato”.
Indice degli argomenti
Trattamento dati: tanta burocrazia e poca tecnica
Preso atto che in Italia il quadro normativo in materia di tutela dei dati personali è disciplinato dal Regolamento Europeo sulla privacy e dal Codice Privacy novellato dal Decreto Legislativo 101/2018, ai quali si susseguono alcuni importanti atti come il provvedimento 5 giugno 2019 recante: prescrizioni relative al trattamento di categorie particolari di dati, ai sensi dell’articolo 21, comma 1 del decreto legislativo 10 agosto 2018, n. 101. (Provvedimento n. 146 – GU Serie Generale n.176 del 29-07-2019), si evince facilmente che uno dei problemi principali nell’esecuzione di questa norma è la grande massa di letteratura, anche e soprattutto legislativa, nei cui meandri si cerca di nascondere la non sempre attenta e puntuale attuazione del provvedimento.
Internet è indubbiamente una grande macchina da guerra ma se proviamo ad effettuare le ricerche specifiche, andando oltre il sito del Garante, noteremo subito come a tanti articoli esplicativi in tema di giurisprudenza e confronto con il vecchio D.lgs. 196/2003 si associano pochi, se non pochissimi, articoli tecnici sulle attività e sulle azioni da compiere per mettere in piedi un serio e preciso piano di protezione dei dati.
Ciò comporta che ad oggi un tema fondamentale come il trattamento dei dati personali si sta riducendo a tanta burocrazia.
Da sempre uno dei grandi problemi della privacy, ma in generale potremmo dire della conoscenza, è da attribuirsi all’uso smodato della ricerca di verità su Internet.
Proviamo ad immettere attraverso il nostro browser una ricerca tipo “GDPR – Valutazione di impatto”: potremo riscontrare che i risultati afferiscono praticamente tutti alla letteratura del caso e pochi, se non addirittura nessuno, riportano qualche indicazione tecnica sulle metodologie e sulle attività di ricerca.
Sicuramente ad oggi, anche attraverso il peso che si dà ai nuovi mezzi tecnologici, il rapporto fra letteratura e tecnica applicata è sempre di più visto come un debole confine fra due modalità culturali che, anche quando entrano in contatto, restano ben distinte fra loro e questo è proprio il caso della privacy: una realtà dove, invece di convivere, i due sostantivi lettura e tecnica combattono senza saperlo una propria guerra e quindi non mettono a disposizione l’uno dell’altro il sapere.
Nel mondo privacy su Internet sta accadendo esattamente questo: da un lato tantissima letteratura giurisprudenziale, che inevitabilmente porta con sé tantissima interpretazione, mentre dall’altro lato si trova pochissima tecnica che porta con sé il fatto che attività semplici vengano poi rese complesse dalla presenza delle troppe regole “interpretative”.
Per toccare con mano quanto stiamo dicendo basti pensare al registro dei trattamenti: su Internet si trova di tutto, dal registro semplificato, proposto anche dal Garante, ai cosiddetti “lenzuoli”, spesso anche matrimoniali, impossibili da leggere, da controllare e che quindi non assolvono allo scopo previsto di verificare il trattamento se non dopo lunghe ed estenuanti ricostruzioni.
Tutto ciò sta comportando che in tanti si stanno dedicando al fai da te nella realizzazione di una privacy policy in azienda senza capire l’importanza della norma ed il risvolto che essa porta a livello di sicurezza fisica e logica, con il risultato immediato di non essere compliance ed avere investito, nel migliore dei casi solo tempo, per andare incontro poi ad una sicura sanzione in caso di verifica.
Va bene la giurisprudenza, cosa dalla quale non si può prescindere in campo privacy, ma è necessario comprendere che il trattamento dei dati personali come da regolamento europeo non si limita ad una informativa ed un consenso ma ci sono tutta una serie di attività metodologiche e tecniche senza le quali anche i documenti citati prima non hanno nessun valore.
Il giurista e il tecnico devono lavorare insieme nella stesura della metodologia prima dei controlli sulle regole, poi fino a scrivere le procedure tecniche che andranno a tappeto sulle varie realtà.
Quanto detto fino ad ora ci porta inevitabilmente a cercare di non cadere nello stesso errore, ed è per questo motivo che cercheremo di identificare e poi dettagliare in altri articoli futuri tutte quelle attività giuridiche e tecniche necessarie, obbligatori ed a valore aggiunto che permettono di perimetrare con serietà e certezza il mondo privacy all’interno delle realtà in cui giorno per giorno ci confrontiamo.
Creare una privacy policy in azienda: conoscere la realtà produttiva
Per determinare con serietà il mondo privacy nelle varie realtà, e realizzare così una seria e puntuale privacy policy in azienda, è necessario partire dalla conoscenza della realtà produttiva, sia essa piccola, medio o grande cercando di calare la nostra conoscenza sui suoi sistemi senza impattare sui costi o sulle regole metodologiche già in essere.
Conoscere la realtà attraverso interviste e visite significa cominciare a perimetrare la privacy sapendo e conoscendo la realtà, e di seguito se ne riportano alcuni esempi come:
- il luogo principale ed eventuali sedi secondarie e le eventuali caratteristiche (una per tutte la videosorveglianza);
- l’identificazione della tipologia dei dati trattati in base alla produzione e/o business perché è bene capire che il dato modifica il suo trattamento rispetto al business (basti pensare alla durata della conservazione);
- conoscenza delle regole attive e rispettate all’interno del sito produttivo (verifica esistenza di regole per l’uso della posta elettronica piuttosto che la verifica delle regole per le password);
- se esiste eventuale studio dettagliato del sito Internet verificando la presenza di aree riservate o form di contatto o presenza di mappe fino alla gestione corretta dei cookie);
- verifica della conoscenza del tema privacy presso i dipendenti (ad es. verificare se in fase di assunzione o comunque di inizio di collaborazione gli stessi vegano informati della presenza del regolamento e delle regole da osservare);
- verifica di regole sull’eventuale utilizzo di social network e programmi di messaggistica (basti pensare a Facebook, LinkedIn e WhatsApp);
- identificazione delle persone cha a vario titolo entreranno a far parte dell’organigramma privacy identificando perché loro che dati trattano e perché li trattano;
- verifica di un corretto criterio di proporzionalità nel recupero e nella gestione dei dati;
- verifica del personale esterno prestando attenzione alle regole di ingresso in azienda, ma verificando anche se nel caso le regole per l’accesso da remoto. In fase di ispezione e comunque nei primi colloqui è necessario identificare se si rende necessaria la nomina/individuazione di responsabili esterni. Questa è un’attività alla quale occorre prestare particolare attenzione anche in considerazione dei rapporti che si instaurano tra fornitori e clienti. Stiamo parlando di un soggetto, distinto dal titolare, che deve essere in grado di fornire garanzie al fine di assicurare il pieno rispetto delle disposizioni in materia di trattamento dei dati personali, nonché di garantire la tutela dei diritti dell’interessato.
- occorre effettuare un censimento dei software e delle rispettive versione, sapendo che:
- vanno verificate le licenze e il loro database di riferimento;
- le licenze vanno verificate e aggiornate;
- per ogni software che tratti dati sottoposti a trattamento occorre controllare l’esistenza di eventuale nomina a responsabile;
- censimento degli hardware utilizzati, anche attraverso tecniche di monitoraggio che permettano di:
- verificare esistenza rete;
- descrizione rete se necessaria;
- numero di PC utilizzati, siano essi server o client;
- configurazione dei computer;
- numero di stampanti;
- numero di modem/router;
- senza dimenticarci di verificare Wi-Fi e VPN;
- sviluppare la gestione dei rischi che comporta:
- individuazione dei rischi relativi ai dati sottoposti a tutela;
- per ogni rischio individuare la regola di gestione;
- per ogni rischio individuazione della contromisura;
- per ogni rischio individuazione del trattamento specifico da inserire nel registro;
- per ogni rischio individuare un responsabile;
- per ogni rischio individuare il termine di controllo almeno annuale, meglio trimestrale;
- naturalmente arriveremo poi alla stesura della valutazione di impatto (DPIA) che è un onere in carico al titolare del trattamento (art. 35 GDPR), col quale si assicura trasparenza e protezione nelle operazioni di trattamento dei dati personali. È l’attività con la quale il titolare effettua l’analisi dei rischi derivanti dai trattamenti individuati. Il titolare deve redigere una valutazione preventiva rispetto alle conseguenze del trattamento dei dati sulle libertà e i diritti degli interessati.
Abbiamo citato solo alcune delle attività più importanti necessarie per la realizzazione di una privacy policy in azienda, che poi insieme alle altre svilupperemo nel dettaglio attraverso articoli specifici; ma pensiamo di aver citato step che identificano bene il connubio assoluto che deve coesistere tra letteratura e tecnica e dimostreremo che queste due attività prese singolarmente creano danni e non valore aggiunto.