Si è ormai ampiamente trattato delle novità introdotte dal Regolamento UE 679/2016 – noto come GDPR (General Data Protection Regulation) e relativo alla protezione delle persone fisiche circa il trattamento e la libera circolazione dei dati personali, e fin dalle prime letture si è evinto il carattere stringente e cautelativo della nuova disciplina, che si distingue per un approccio basato sul rischio del trattamento e sulla responsabilità dei soggetti attivi del trattamento.
A conferma di ciò basti osservare l’ampio novero di obblighi che il Regolamento pone a carico del titolare e del responsabile del trattamento. Adempimenti intesi, in particolare, alla progettazione dell’intero trattamento alla luce dei principi di privacy by design e by default, con l’obiettivo di assicurare che le misure – tecnologiche e organizzative – di sicurezza siano adeguate rispetto al potenziale rischio a cui il trattamento espone i dati.
L’entrata in vigore del Regolamento ha evidenziato, però, anche alcuni errori nelle cosiddette “worst practice del GDPR”, che si possono verificare in fase di adempimento alla normativa europea, operate sia nelle aziende e nelle grandi organizzazioni, sia nelle PA.
Una lista dei principali errori commessi, analizzata in dettaglio da Cybersecurity360 nell’articolo GDPR, gli errori più comuni di aziende e PA nell’adeguamento, può essere così riassunta:
- considerare l’adeguamento al GDPR come un processo a termine, soprattutto per quelle realtà aziendali complesse. Fondamentale invece la visione di un sistema di gestione che dovrà essere costantemente verificato ed aggiornato alla luce di eventuali cambiamenti;
- scarso ed insufficiente coinvolgimento del personale, riscontrabile in diversi contesti, che dovrebbe essere evitato creando un organigramma privacy, nominando referenti e implementando attività di sensibilizzazione, diffusione di policy e procedure;
- considerare l’adeguamento come una serie concatenata di adempimenti/incartamenti, dimenticando il vero obiettivo di creare un efficiente sistema di gestione: un’opportunità di riordino, riesame e miglioramento dei processi aziendali. Importante ricordare, inoltre, che un corretto sistema di gestione privacy consenta di tutelare il patrimonio aziendale innalzando il profilo curriculare, la sicurezza in generale e la reputazione dell’azienda stessa;
- minimizzare le procedure necessarie all’adeguamento risulta essere un altro errore comune. È importante invece prevedere tutte le misure di sicurezza, adeguate al contesto;
- eccedere nella wrost practice, risulta altresì sbagliato, aggravando inutilmente l’attività di adeguamento. Questo si riscontra nella proliferazione della modulistica spesso standardizzata, in aperto contrasto con lo spirito del Regolamento che, invece, impone la predisposizione di atti specifici e ad hoc per la singola realtà;
- utilizzare informative generiche, recanti molteplici finalità non realmente applicabili al trattamento posto in essere sui dati dell’interessato risulta un altro errore comune che, oltre a non soddisfare i requisiti richiesti dal Regolamento, viola il principio di trasparenza (cfr. linee guida WP29);
- non tutti i diritti possono essere esercitati. Il GDPR ha infatti introdotto l’onere in capo al titolare di “valutare la complessità del riscontro all’interessato, al fine di stabilire l’ammontare dell’eventuale contributo da richiedere all’interessato”, solo nei casi in cui le richieste del medesimo siano manifestamente infondate e ripetitive. Il Legislatore sovranazionale ha previsto poi l’obbligo, per il titolare, di rispondere regolarmente in forma scritta alle richieste dell’interessato, anche attraverso strumenti elettronici che ne favoriscono l’accessibilità;
- non pianificare e predisporre una formazione mirata, dimenticando che questa costituisce una misura di sicurezza per le organizzazioni, un onere a carico del titolare, un diritto e dovere per i dipendenti e i collaboratori sia di società che di Pubbliche Amministrazioni;
- non calibrare le misure di sicurezza in base al contesto come richiesto invece dal GDPR, secondo cui è necessario valutare misure idonee in relazione allo stato dell’arte, dei costi di attuazione, della natura, dell’oggetto, del contesto e delle finalità di trattamento;
- non avere un modello organizzativo privacy, il cosiddetto MOP (Modello Organizzativo Privacy), che risulta invece essenziale in quanto comprende non solo il sistema di gestione privacy da seguire, ma anche i controlli periodici da fare e le procedure da svolgere, quali parte integrante della Policy.
Altro punto fondamentale, ma che richiede un’analisi più approfondita, è la mancanza di attenzione verso i rischi connessi al trattamento di dati effettuato in un contesto lavorativo.
In tale trattamento, che deve necessariamente uniformarsi ai principi di trasparenza, necessità e minimizzazione, il consenso non può essere un presupposto di legittimità sicuro e affidabile, giacché il lavoratore non può ritenersi completamente libero di acconsentire o di opporsi al trattamento in ragione della relazione contrattuale con il datore di lavoro. Occorre pertanto una policy chiara, comprensibile e completa che informi i lavoratori circa lo svolgimento delle attività di monitoraggio e le relative finalità.
È proprio tra i pilastri della legittimità di trattamento e della trasparenza che è necessario inserire la valutazione d’impatto (meglio conosciuta anche come DPIA – Data Protection Impact Assessment) per la privacy dei dipendenti, ampiamente descritta da AgendaDigitale nell’articolo Privacy dei dipendenti, come funziona il “Data Protection Impact Assessment”. Questa misura di tutela risk-based incorpora un test di proporzionalità tra il legittimo interesse del datore di lavoro, le tecnologie adottate volte al suo perseguimento e i diritti di riservatezza e di segretezza delle comunicazioni dei lavoratori.
A cura di Marco Rizzi Information & Cyber Security Advisor presso P4I – Partners4Innovation e Gaia Rizzato, Trainee Information & Cyber Security presso P4I – Partners4Innovation
