Esercizio dei diritti GDPR, un volano per la governance del sistema privacy aziendale: ecco perché - Cyber Security 360

LA GUIDA

Esercizio dei diritti GDPR, un volano per la governance del sistema privacy aziendale: ecco perché

Nel sistema della “data protection” le richieste di esercizio dei diritti da parte degli interessati possono costituire ottimi fattori di miglioramento continuo dei processi produttivi, poiché indicano che qualcosa nel disegno o nello sviluppo dei trattamenti non ha ben funzionato e questo aiuta a migliorare la compliance GDPR e la competitività sul mercato

19 Nov 2021
A
Giuseppe Alverone

DPO Certificato UNI 11697:2017

Per garantire una effettiva e adeguata protezione dei dati personali, le imprese, nella veste di titolari del trattamento, hanno l’obbligo di disegnare e sviluppare processi aziendali in cui siano pienamente integrati i principi fondamentali fissati nell’art. 5 GDPR.

Tali processi devono poi essere costantemente presidiati dal DPO, il quale, tra i compiti che il GDPR gli attribuisce, ha proprio quello di sorvegliare l’osservanza del GDPR e delle altre disposizioni in materia di privacy nonché le relative politiche del titolare del trattamento, i.e. i processi e le procedure[1].

Oltre al DPO, un altro importante ruolo di “vigilanza e controllo della regolarità dei trattamenti è, di fatto, svolto dagli interessati, i cosiddetti “data subjects”, i.e. le persone a cui i dati trattati dalle imprese si riferiscono.

GDPR, una protezione tra rischi e pericoli per le persone fisiche e per l’economia

Esercizio dei diritti degli interessati: fattore di miglioramento organizzativo

Nel sistema della “data protection” gli “interessati” rivestono anche un ruolo operativo poiché, di fatto, sono chiamati a:

  • tenere sotto costante controllo i trattamenti dei loro dati da parte delle imprese;
  • intervenire per rimettere in equilibrio il sistema, attraverso l’esercizio di una gamma di diritti che il GDPR riconosce loro e che sono sintetizzati nella tabella seguente:

Art.15

Diritto di accesso dell’interessato: diritto di ottenere dal titolare del trattamento la conferma che sia o meno in corso un trattamento di dati personali che lo riguardano e in tal caso, di ottenere l’accesso ai dati personali alle informazioni basilari riguardo lo stesso trattamento.

Art.16

Diritto di rettifica: diritto di ottenere dal titolare del trattamento la rettifica dei dati personali inesatti che lo riguardano senza ingiustificato ritardo.

Art.17

Diritto alla cancellazione: diritto di ottenere dal titolare del trattamento, per particolari motivi, la cancellazione dei dati personali che lo riguardano senza ingiustificato ritardo e il titolare del trattamento ha l’obbligo di cancellare senza ingiustificato ritardo i dati personali.

Art.18

Diritto di limitazione di trattamento: diritto di ottenere dal titolare del trattamento, quando ricorrono particolari ipotesi, la limitazione del trattamento

Art.20

Diritto alla portabilità dei dati: il diritto di ricevere in un formato strutturato, di uso comune e leggibile da dispositivo automatico i dati personali che lo riguardano forniti a un titolare del trattamento e il diritto di trasmettere tali dati a un altro titolare del trattamento senza impedimenti da parte del titolare del trattamento cui li ha forniti, a condizione che il trattamento sia eseguito in modo automatizzato e si basi su un contratto o sul consenso.

Art.21

Diritto di opposizione: diritto dell’interessato di opporsi in qualsiasi momento, per motivi connessi alla sua situazione particolare, al trattamento dei dati personali che lo riguardano quando le basi giuridiche sono l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri nonché il legittimo interesse e, inoltre, sussistono specifiche particolari condizioni.

Art.22

Processo decisionale automatizzato relativo alle persone fisiche, compresa la profilazione: diritto di non essere sottoposto a una decisione basata unicamente sul trattamento automatizzato, compresa la profilazione, che produca effetti giuridici che lo riguardano o che incida in modo analogo significativamente sulla sua persona.

In genere, un cliente esterno o interno (i.e. un lavoratore dipendente) dell’impresa, nella veste di “interessato”, presenta una richiesta di esercizio dei suoi diritti “privacy” perché percepisce che i processi aziendali in cui girano i suoi dati personali non sono in linea con le sue aspettative.

WHITEPAPER
Certificazioni GDPR: tutti i vantaggi per le organizzazioni che vi aderiscono
Legal
Privacy

Talvolta queste aspettative sono infondate o irragionevoli ma quando, invece, sono ragionevoli,[2] essendo necessario presupposto della soddisfazione dei clienti (sia esterni che interni), costituiscono un vero e proprio indicatore di prestazione chiave (c.d. KPI: Key Performance Indicator) in accordo alla norma ISO 9001:2015 che specifica i requisiti per un sistema di gestione della qualità.

Ecco perché le richieste di esercizio dei diritti da parte degli interessati, quando non sono manifestamente infondate o eccessive e ripetitive, possono costituire ottimi fattori di miglioramento continuo dei processi produttivi, poiché indicano che:

  • qualcosa nel disegno o nello sviluppo dei trattamenti non ha ben funzionato;
  • i principi fondamentali fissati nell’art. 5 GDPR non sono pienamente integrati all’interno dei processi aziendali;
  • è assolutamente necessario intervenire per apportare correttivi.

Proficua gestione delle richieste di esercizio dei diritti

Una attenta e proficua gestione delle richieste di esercizio dei diritti dovrebbe essere rivolta a realizzare quindi due obiettivi:

  • soddisfare le richieste degli “interessati” di esercitare i diritti a loro riconosciuti dal GDPR; accrescendo anche la capacità di soddisfare i loro bisogni e le loro aspettative attraverso una migliore conoscenza e controllo dell’azienda;
  • correggere contestualmente eventuali “non conformità” al GDPR individuate nel corso della gestione delle richieste stesse, contribuendo a migliorare le prestazioni e l’efficacia dei processi interni[3].

Per tali finalità è auspicabile che, su iniziativa dell’Alta Direzione aziendale, venga strutturata una procedura formalizzata e condivisa all’interno dell’organizzazione, per gestire le richieste di esercizio dei diritti degli interessati e contestualmente attivare un’analisi accurata dei trattamenti oggetto delle richieste, al fine di individuare spazi di correzione e miglioramento dei processi aziendali.

Si dovrebbe prevedere almeno:

  • l’attribuzione della responsabilità dell’intero processo di gestione ad una specifica unità organizzativa o ad una persona fisica (c.d. “process owner”) chiamata a modulare e monitorare i tempi di sviluppo, di intervento e di risposta;
  • l’individuazione delle persone alle quali attribuire specifici compiti e responsabilità;
  • le regole da seguire per svolgere determinate operazioni;
  • le sequenze di attività;
  • un reporting finale.

Ovviamente questa procedura – come d’altra parte tutti i trattamenti di dati personali avviati in ambito aziendale – deve essere attagliata in modo sartoriale (tailored) alle diverse strutture organizzative e deve essere periodicamente rivista ed aggiornata.

Al riguardo, appare utile dare alcune indicazioni operative che possono essere recepite, seppure previo uno specifico adattamento.

La ricezione della richiesta: primi adempimenti

Nel momento in cui perviene una richiesta di esercizio dei diritti, anche al fine di dare un segnale di concreta attenzione e di massima trasparenza, l’azienda dovrebbe rilasciare prima possibile, e comunque senza ingiustificato ritardo, una ricevuta[4] che attesti l’avvenuta presentazione della richiesta stessa e che indichi anche:

  • le informazioni relative alle azioni che saranno intraprese;
  • che il riscontro sarà fornito entro un mese dal ricevimento della richiesta stessa. Tale termine può essere prorogato di due mesi, se necessario, tenuto conto della complessità e del numero delle richieste. L’azienda deve informare l’interessato di tale proroga, e dei motivi del ritardo, entro un mese dal ricevimento della richiesta. Se l’interessato presenta la richiesta mediante mezzi elettronici, le informazioni sono fornite, ove possibile, con mezzi elettronici, salvo diversa indicazione del richiedente/interessato[5].

Se ritenuto utile e/o necessario per chiarire i contenuti della richiesta, è anche consigliabile un contatto telefonico con il richiedente/interessato.

Un altro utile adempimento da porre in essere subito dopo la ricezione, consiste nell’esaminare attentamente il contenuto della richiesta. Se ad un primo esame questa risulta manifestamente infondata o eccessiva, in particolare per il suo carattere ripetitivo, l’azienda può rifiutare di soddisfarla, anche addebitando al richiedente/interessato un contributo spese ragionevole[6].

Se invece la richiesta appare fondata, è opportuno attivare tempestivamente la funzione aziendale che ha disegnato ed esegue il trattamento di dati al quale si fa riferimento.

Sistema di data protection: come attribuire ruoli e responsabilità in imprese e PA

Analisi del trattamento a cui fa riferimento la richiesta

La funzione aziendale che viene attivata dovrebbe:

  • verificare innanzitutto se il trattamento a cui fa riferimento la richiesta è annotato sul registro dei trattamenti ex art. 30 GDPR e se è stata ritualmente fornita la correlativa informativa ex artt. 13 e 14 GDPR;
  • eseguire quindi un “privacy checkup” del trattamento stesso, i.e. una verifica della avvenuta corretta applicazione del principio di privacy by design. Devono quindi essere individuate le misure tecniche e organizzative adeguate che sono state poste per attuare in modo efficace i principi posti dall’art. 5 GDPR. A tal fine si suggerisce di seguire la seguente check list:
  1. I dati personali sono stati raccolti per finalità determinate?
  2. I dati personali sono stati raccolti per finalità esplicite?
  3. I dati personali sono stati raccolti per finalità legittime? La base giuridica è determinata?
  4. È stata data agli interessati un’adeguata informativa?
  5. Il trattamento effettuato era in linea con le aspettative degli interessati?
  6. I dati personali sono stati trattati in modo non incompatibile con le finalità per le quali erano stati raccolti?
  7. I dati personali risultano adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono stati trattati?
  8. I dati personali risultano esatti e aggiornati? Sono state adottate tutte le misure ragionevoli per cancellare o rettificare tempestivamente i dati inesatti rispetto alle finalità per le quali erano stati trattati?
  9. I dati personali sono/sono stati conservati in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono stati trattati?
  10. Sono state adottate misure di sicurezza per proteggere la riservatezza, l’integrità e la disponibilità dei dati?
  11. Sono state adottate misure di sicurezza contro il trattamento non autorizzato o illecito dei dati?
  12. Sono state adottate misure di sicurezza per evitare la distruzione o la perdita dei dati o il danno accidentale?

Cosa imparare dai propri errori

“Sii umile nel vedere i tuoi errori, coraggioso nell’ammetterli e abbastanza saggio da correggerli”; questa frase dell’imprenditore e scrittore Amine Ayad, sintetizza con grande efficacia l’approccio psicologico che dovrebbero seguire gli operatori aziendali che gestiscono una richiesta di esercizio dei diritti privacy.

Ecco perché, se gli esiti dell’analisi del trattamento renderanno evidente una “non conformità” al GDPR è necessario che l’azienda assuma piena consapevolezza della circostanza e si attivi immediatamente sospendendo il trattamento in esame e riprendendolo solo dopo aver apportato adeguati correttivi che abbiamo reso il trattamento pienamente conforme ai principi fissati dall’art. 5 GDPR.

Tale linea di azione concretizza l’obbligo di revisione, aggiornamento e miglioramento fissato a carico del titolare del trattamento dall’art. 24, paragrafo 1 (ultima frase) del GDPR.

Il riscontro all’interessato

il riscontro al richiedente/interessato per agevolare l’esercizio dei suoi diritti dovrebbe essere fornito, solo dopo aver aggiornato il trattamento, e comunque entro il citato termine fissato dall’art. 12, paragrafo 3 GDPR.

È auspicabile che nella comunicazione di riscontro venga anche inserita una formula di ringraziamento, dando atto della revisione e dell’aggiornamento del trattamento determinati dalla richiesta stessa. In tal modo si potrà ottenere:

  • un effettivo miglioramento organizzativo;
  • un aumento della soddisfazione dei clienti e del commitment organizzativo funzionali a diffondere l’immagine di un’organizzazione attenta alle esigenze e ai bisogni degli stakeholders;
  • un effettivo contributo alla costruzione di quel clima di fiducia che, secondo il Considerando 4 GDPR, dovrebbe costituire un obiettivo primario di tutte le imprese dell’Unione Europea, per consentire lo sviluppo dell’economia digitale in tutto il mercato interno e per far diventare così l’Europa baricentro dell’economia mondiale.

 

NOTE

  1. Art. 39, paragrafo1, lettera b) GDPR.

  2. Vds. Considerando 47 e 40 GDPR.

  3. Vds. § 10.1 Norma ISO 9001:2015.

  4. Per le PA il rilascio immediato di una ricevuta è un obbligo giuridico fissato dall’art. 18 bis Legge 241/1990.

  5. Vds. art. 12, paragrafo 3, GDPR.

  6. Vds. Art. 12, paragrafo 5, GDPR.

WHITEPAPER
Quali sono le strategie da seguire per difendersi contro gli attacchi di phishing?
Sicurezza
Cybersecurity
@RIPRODUZIONE RISERVATA

Articolo 1 di 5