Autorizzare, istruire e formare gli operatori che accedono ai dati: profili operativi - Cyber Security 360

ADEMPIMENTI PRIVACY

Autorizzare, istruire e formare gli operatori che accedono ai dati: profili operativi

Il titolare o il responsabile del trattamento deve autorizzare, istruire e formare gli operatori che accedono ai dati. Ciò deve avvenire secondo modalità operative che rispondano a requisiti di efficace attuazione per soddisfare le esigenze di accountability e sicurezza. Ecco i profili operativi che è possibile adottare

22 Apr 2020
G
Stefano Gazzella

Consulente Privacy & ICT Law, Data Protection Officer


Gli operatori che accedono ai dati devono essere autorizzati, istruiti e formati dal titolare o dal responsabile del trattamento. Le modalità operative per adempiere a tali prescrizioni del GDPR devono rispondere a requisiti di efficace attuazione dal momento che soddisfano esigenze di accountability e di sicurezza.

Obblighi del titolare e del responsabile nei confronti degli operatori

Operatore, data handler, incaricato: tutte nomenclature che indicano, nella dimensione sostanziale, la persona fisica che è autorizzata all’accesso e svolge le operazioni sui dati personali agendo “sotto l’autorità” del responsabile o del titolare del trattamento.

Agire sotto l’autorità, nell’ambito operativo dello svolgimento di un’attività di trattamento, significa appartenere in concreto all’organizzazione del titolare o del responsabile del trattamento. Conseguentemente, non si dispone di alcun margine di autonomia nello svolgimento delle operazioni sui dati e in tale ambito si agisce come meri esecutori materiali delle indicazioni del titolare del trattamento.

Qualora il soggetto sia esterno all’organizzazione del titolare e disponga invece di un margine operativo più ampio, l’attività di trattamento sarebbe svolta in outsourcing e per l’effetto comporterebbe l’assunzione del ruolo di responsabile del trattamento.

Qualora invece ad un soggetto interno siano attribuiti “specifici compiti e funzioni connessi al trattamento di dati personali”, questi assumerebbe il ruolo di designato ai sensi dell’art. 2-quaterdecies Codice Privacy.

Tale designazione non ha però alcuna efficacia al di fuori dell’assetto organizzativo e anzi, rappresentando una misura organizzativa, è fonte di responsabilità in capo al titolare del trattamento. Uno degli esempi classici di soggetto designato è il Referente Privacy, cui è attribuita la funzione di “messa in opera” delle misure predisposte dal titolare, verifica e reporting nei confronti della Direzione e del DPO e/o del Privacy Officer.

L’art. 29 GDPR stabilisce per i soggetti che hanno acceso ai dati il divieto di svolgere operazioni di trattamento in assenza di istruzioni fornite da parte del titolare del trattamento. Tale disposizione deve essere necessariamente letta in combinato con l’art. 32.4 GDPR che prescrive espressamente la misura di sicurezza del management degli accessi:

«Il titolare del trattamento e il responsabile del trattamento fanno sì che chiunque agisca sotto la loro autorità e abbia accesso a dati personali non tratti tali dati se non è istruito in tal senso dal titolare del trattamento, salvo che lo richieda il diritto dell’Unione o degli Stati membri.»

Dalla norma emergono così due distinti obblighi in capo al titolare del trattamento:

  1. l’istruzione dei soggetti autorizzati all’accesso;
  2. la verifica che le operazioni sui dati siano svolte dai soli soggetti istruiti.

Un ulteriore obbligo nei confronti degli operatori, inoltre, è contenuto all’interno dell’elenco dei compiti attribuiti alla funzione del DPO, nella parte in cui è indicata l’attività di sorveglianza sulle «politiche in materia di protezione dei dati personali, compresi l’attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo» (art. 39.1 lett. b) GDPR). Da una lettura analitica della norma, è previsto che fra le politiche che ogni titolare o responsabile del trattamento deve adottare deve essere compresa la sensibilizzazione e formazione degli operatori.

In forza del principio di responsabilizzazione, il titolare e il responsabile hanno ovviamente un’ampia libertà di scelta delle misure tecniche e organizzative da predisporre per garantire e poter dimostrare il rispetto degli obblighi nei confronti degli operatori, purché tali misure siano frutto di una valutazione basata sul rischio, efficacemente attuate e verificate in seguito alla loro implementazione.

Le procedure di autorizzazione e di istruzione

Proprio nell’ottica della responsabilizzazione, infatti, la scelta delle modalità operative di management degli accessi e di istruzione deve prendere in considerazione sia l’elemento dello stato dell’arte che i costi (strategici, finanziari e operativi) di implementazione e controllo perché ne possa essere garantita l’effettività.

WHITEPAPER
Come vendere un maggior numero di soluzioni di data protection?
Sicurezza dei dati

In caso di un’organizzazione strutturata, è possibile ad esempio inserire già all’interno dei mansionari le autorizzazioni all’accesso ai dati consentendo così di differenziare l’ampiezza dell’ambito di intervento sui dati per categorie di operatori.

Ove possibile, inoltre, l’automatizzazione è sempre preferibile soprattutto per collegare i privilegi di accesso alle mansioni svolte, prevedendo la possibilità di disattivare o sospendere utenze all’occorrenza.

L’elemento che assicura una corretta e c continua gestione delle misure descritte è un riparto di compiti e responsabilità riferito all’organigramma aziendale, ad esempio coinvolgendo le Funzioni IT e di Gestione delle Risorse Umane.

Ulteriori spunti per l’autorizzazione o l’istruzione degli operatori possono riguardare la redazione di documenti, fra cui:

  • l’adozione di un regolamento interno;
  • la somministrazione di incarichi individuali;
  • l’impiego di circolari aziendali.

In ogni caso è bene ricordare che un’istruzione, per essere efficace e poter eventualmente dar luogo ad una contestazione disciplinare, deve essere adeguatamente conoscibile e comprensibile.

La conoscibilità è assicurata dall’impiego di uno strumento di diffusione che ne garantisca “l’affissione in luogo accessibile a tutti”, come da art. 7 L. 300/1970, fra cui rientra ad esempio la bacheca aziendale (in formato fisico e/o virtuale su intranet).

La comprensibilità assicura invece che la portata prescrittiva delle istruzioni sia chiara (ovverosia: descriva obblighi la cui violazione è sanzionabile anche per via disciplinare), ma che il contenuto abbia anche una forma tale per cui l’operatore sappia individuare e distinguere i comportamenti consentiti, vietati e obbligatori.

Letta dal punto di vista del legal design, la progettazione deve riguardare in ogni caso quella misura organizzativa che sia idonea a garantire sul piano della conformità normativa che tutti i soggetti autorizzati all’accesso siano stati istruiti a svolgere le operazioni sui dati.

A ciò va aggiunta ulteriormente, sotto il profilo della gestione della sicurezza, una misura che tratti adeguatamente i rischi generati dal comportamento degli operatori tramite istruzione, sensibilizzazione e formazione.

Le procedure di sensibilizzazione e formazione

La selezione delle procedure per garantire la sensibilizzazione e la formazione degli operatori deve essere coerente con l’analisi dei rischi di non conformità normativa e di sicurezza. Inoltre, la determinazione delle modalità di svolgimento deve avere un raccordo con il contesto operativo delle attività svolte sui dati personali da parte dell’organizzazione.

L’attività formativa deve essere auspicabilmente svolta individuando gruppi omogenei per compiti e responsabilità attribuite (es. Staff Direzione, Staff Operativi, Staff IT) consentendo così di collegare i principi del GDPR a declinazioni pratiche ed operative, facendo riferimento a procedure (o prassi) adottate o in corso di adozione.

La concretezza e l’effettività dell’attività formativa può essere inoltre rafforzata tramite lo svolgimento di un test di apprendimento o l’addestramento di una o più funzioni o referenti dell’organizzazione.

Le procedure di sensibilizzazione contemplano una gamma più ampia di attività, comprendendo ad esempio l’impiego di comunicazioni esplicative, circolari riguardanti novità normative, infografiche o segnalazioni riguardanti le minacce alla sicurezza delle informazioni.

Una parte della sensibilizzazione e formazione può essere programmata, ma è bene comunque prevedere anche un carattere responsive, ad esempio tenendo conto di eventi quali:

  • introduzione di novità normative, codici di condotta o interpretazioni applicative;
  • modifiche dell’assetto organizzativo (es. introduzione di un MOGC, affidamento di alcune attività in outsourcing, modifica dell’organigramma ecc.);
  • modifiche nelle nuove attività di trattamento dei dati personali (es. gestione di una mailing list, apertura di un e-commerce, impiego di sistemi di videosorveglianza ecc.).

Il ruolo del Privacy Officer e del Data Protection Officer

Tanto il Privacy Officer quanto il Data Protection Officer intervengono, in ragione dei rispettivi ruoli, nel processo di autorizzazione, istruzione e formazione degli operatori, entrambi adottando come principale parametro di riferimento lo stato dell’arte per valutare l’adeguatezza delle misure organizzative adottate (art. 32 GPDR).

Il Privacy Officer ha un ruolo marcatamente operativo e di consulenza gestionale, opera nella conduzione del percorso di adeguamento e di mantenimento del sistema di gestione della conformità dell’organizzazione alla normativa in materia di protezione dei dati personali.

Pertanto, nelle fasi della predisposizione, attuazione e riesame del piano strategico di adeguamento al GDPR il Privacy Officer partecipa alla redazione delle procedure di autorizzazione, all’analisi e aggiornamento dei mansionari e alla definizione dei privilegi di accesso.

Inoltre, determina il programma di formazione e sensibilizzazione dei dipendenti su argomenti quali la normativa in materia di protezione dei dati personali, la sicurezza dei dati e delle informazioni e l’addestramento relativamente alle procedure predisposte.

Il Data Protection Office svolge invece una funzione di sorveglianza, e dunque interagisce con i vertici e i comparti dell’organizzazione al fine di verificare il rispetto delle politiche adottate e della normativa in materia di protezione dei dati personali.

Nell’ambito dell’attività di controllo dei profili di autorizzazione ed istruzione degli operatori, il DPO deve adottare come criteri di riferimento almeno gli artt. 29 e 32.4 GDPR, oltre che le relative procedure predisposte, mentre per la verifica delle attività di formazione e sensibilizzazione deve fare riferimento alla politica adottata a tale riguardo dall’organizzazione.

Il DPO può svolgere attività di consulenza ed informazione relativamente agli obblighi derivanti dal GDPR nei confronti dei dipendenti anche tramite attività formativa, ma per adempiere correttamente ai propri compiti deve indicare ai vertici aziendali le esigenze di adozione o modifica della politica di formazione e sensibilizzazione nell’ambito della protezione dei dati personali e della sicurezza delle informazioni.

WHITEPAPER
Come semplificare il sistema di gestione delle identità digitali?
Sicurezza
IAM

Qualunque sia il sistema adottato per la gestione delle procedure di autorizzazione, istruzione e formazione degli operatori, tale sistema deve avere il carattere di effettività e concretezza in quanto è una misura che tutela gli interessati da trattamenti non autorizzati, illeciti ed eventi di data breach, in ossequio al principio di integrità e riservatezza (art. 5.1 lett. f) GDPR).

@RIPRODUZIONE RISERVATA

Articolo 1 di 2