Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

LA GUIDA COMPLETA

GDPR e accountability: ecco come costruire e governare un sistema di gestione privacy

La conformità al GDPR prevede un approccio dinamico e orientato sia al principio di accountability sia al miglioramento continuo di un sistema di gestione privacy interno all’azienda. Ecco le linee guida per costruirne e governarne uno che garantisca la compliance al Regolamento europeo per la protezione dati

06 Feb 2019
G

Guido Galletti

Senior Consultant presso Soft Strategy; GDPR; Information Security; Data Governance


I principi e le prescrizioni del GDPR non ammettono un approccio statico né tantomeno finalizzato alla produzione di carta da archiviare in un cassetto, bensì dinamico e orientato all’accountability e al miglioramento continuo.

Il 25 maggio 2018 (data di piena applicabilità del GDPR) è ormai passato e moltissime società sono state coinvolte in una frenetica “corsa alla compliance”, mettendo insieme in modo più o meno razionale e armonico processi, procedure, nomine, informative e chi più ne ha ne metta, per la gioia di “consulenti privacy” che hanno spesso confezionato fiumi di indicazioni generiche e proposto tool panacea, come se la conformità a un Regolamento così complesso e pieno di sfaccettature fosse raggiungibile attraverso una pillola miracolosa.

Affermare di aver raggiunto la piena conformità perché è stato completato un progetto di adeguamento senza che questo venisse accompagnato dalla definizione di un sistema di gestione interno della privacy è come provare a fare una foto a un treno in corsa e non produce effetti o vantaggio nel medio-lungo termine.

Qual è la difficoltà maggiore nella definizione e nell’implementazione di tale tipologia di sistema di gestione dinamico rispetto a progetti “statici” di compliance? Nel secondo caso tipicamente le uniche funzioni coinvolte sono quelle regolamentari, le attività non sono quasi mai ricorsive e non è necessario testare l’efficacia di una soluzione individuata finché non succede qualcosa che ne dimostra l’inadeguatezza; nel primo caso, invece, le funzioni coinvolte sono tutte, le attività svolte sono ricorsive e reiterate con una frequenza dettata da eventi endogeni o esogeni e le soluzioni individuate vengono testate ricorsivamente attraverso il loro utilizzo.

Ecco quindi i punti da considerare per avere un approccio utile a costruire e governare un sistema di gestione della privacy, così da garantire costantemente una “demontrable compliance”.

Attività di awareness sui trattamenti di dati personali

Il primo passo da seguire per qualsiasi tipo di progetto è quello di definire il contesto e gli attori coinvolti. Nell’ambito della definizione di tale modello è necessario, pertanto, individuarne gli stakeholders e i principali obiettivi, requisiti e vincoli. In dettaglio è opportuno:

  1. Identificare tutti i soggetti interni ed esteri che effettuano trattamenti di dati personali, in base al loro ruolo e alle attività svolte, nonché tutti i sistemi e le piattaforme sottese a tali trattamenti. Il governo di tale attività presuppone che sia stato almeno definito:
  2. un processo che definisca flussi di informazioni con le aree aziendali deputate alla gestione delle risorse umane, delle terze parti e dei sistemi e piattaforme utilizzate;
  3. un punto all’interno dell’azienda di raccolta e archiviazione di tali informazioni;
  4. uno o più referenti a cui viene assegnata la responsabilità della corretta gestione di tali flussi.
  5. Definire e condividere requisiti di sicurezza adeguati al rischio e specifiche istruzioni operative considerate idonee in relazione alla tipologia di soggetto coinvolto, alle sue responsabilità, nonché ai potenziali impatti derivanti dalle attività operative svolte.
  6. Garantire che i requisiti e le istruzioni individuate vengano comprese e rispettate; in particolare:
  7. erogare specifica formazione privacy almeno con cadenza annuale, focalizzata su pochi concetti di natura operativa e regole di buona condotta (la famosa password scritta su un post-it o l’apertura di mail di phishing). Inoltre, per far sì che tale attività non sia solo formale ma che effettivamente porti valore e riduca il livello di rischio, semplici test ricorsivi e simulazioni rimangono impresse molto più di decine di slide piene di nozioni teoriche;
  8. valutare i presidi di sicurezza presenti sui sistemi che trattano dati personali, definendo dove necessario azioni di miglioramento;
  9. verificare la corretta applicazione delle istruzioni e dei requisiti di sicurezza richiesti alle terze parti che si configurano come Responsabili del trattamento. Per essere efficaci e diventare una leva contrattuale, le istruzioni dovrebbero essere personalizzate almeno per tipologia di fornitore e di attività svolta; definire requisiti inapplicabili, tecnicamente vincolanti o non adeguati porterebbe a tre conseguenze: 1) contestazione dei contratti e rifiuto di accettare specifiche clausole; 2) mancato rispetto dei requisiti individuati; 3) inefficienza nell’erogazione dei servizi che sottendono ai trattamenti di dati personali esternalizzati (la cifratura dei dati rappresenta una delle innumerevoli misure di sicurezza adeguate a mitigare i rischi ma rende alcune attività difficili da svolgere).

Governance dei trattamenti di dati personali

Una volta definito un modello privacy e gli obiettivi del sistema di gestione, deve essere definito il perimetro, le sue caratteristiche e gli opportuni punti di controllo sulle attività operative svolte. Pertanto è necessario:

  1. Strutturare il registro dei trattamenti con i campi minimi richiesti dalla normativa e quelli utili a:
    1. ricostruire la filiera del trattamento dal momento della raccolta a quello della cancellazione del dato, passando per tutti i processi di elaborazione, archiviazione e trasmissione;
    2. individuare le caratteristiche che configurano il trattamento come ad alto rischio per gli impatti che potrebbe avere su diritti e libertà degli interessati;
    3. mappare gli strumenti fisici e digitali utilizzati per effettuare tali trattamenti.
  2. Popolare il registro attraverso un’attività di raccolta e razionalizzazione delle informazioni individuate. Considerata l’importanza e la centralità all’interno del Sistema di Gestione di avere a disposizione informazioni utili, affidabili e aggiornate è fondamentale:
    1. individuare uno o più referenti che svolgano ricorsivamente tale attività;
    2. definire una frequenza ricorsiva e dei trigger di aggiornamento, ad esempio a valle di un processo di privacy by design o sulla base dei risultati di una DPIA.

Per garantire che nel tempo tutti i trattamenti di dati personali mappati nel registro dei trattamenti siano conformi alla normativa e rispettino standard e requisiti privacy e di sicurezza individuati la strada migliore da seguire è quella di:

  1. Verificare che i trattamenti in essere, in basse alle loro caratteristiche, non comportino una violazione della normativa o determinino un potenziale rischio, definendo eventuali contromisure;
  2. Definire un processo che consenta di rispettare il principio di privacy by design e by default attraverso:
    1. il coinvolgimento delle aree aziendali deputate alla gestione delle tematiche privacy nei processi che prevedono la definizione di nuovi servizi e prodotti a cui sottende la raccolta di nuovi dati personali o la modifica delle modalità e finalità dei trattamenti già effettuati;
    2. la definizione e la condivisione di requisiti privacy e misure di sicurezza in fase di progettazione, tali da garantire la liceità del trattamento e la limitazione dei dati trattati ai soli necessari;
    3. la validazione dell’effettivo rispetto di tali requisiti prima di avviare i trattamenti previsti dalla fattispecie oggetto di analisi.
  3. Predisporre un modello per effettuare valutazioni di impatto (DPIA) e definire un processo che preveda l’individuazione e l’analisi di trattamenti considerati ad alto rischio. Questo genere di assessment dovrebbe essere effettuato in caso di:
    1. trattamenti valutativi o di scoring su larga scala, nonché trattamenti che comportano la profilazione degli interessati o lo svolgimento di attività predittive effettuate anche on-line, relativi ad “aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze o gli interessi personali, l’affidabilità o il comportamento, l’ubicazione o gli spostamenti dell’interessato”;
    2. trattamenti automatizzati finalizzati ad assumere decisioni che producono “effetti giuridici” oppure che incidono “in modo analogo significativamente” sull’interessato, comprese le decisioni che impediscono di esercitare un diritto o di avvalersi di un bene o di un servizio o di continuare ad esser parte di un contratto in essere (ad esempio, screening dei clienti di una banca attraverso l’utilizzo di dati registrati in una centrale rischi);
    3. trattamenti che prevedono un utilizzo sistematico di dati per l’osservazione, il monitoraggio o il controllo degli interessati, compresa la raccolta di dati attraverso reti, effettuati anche on-line o attraverso app, nonché il trattamento di identificativi univoci in grado di identificare gli utenti di servizi della società dell’informazione inclusi servizi web, tv interattiva ecc. rispetto alle abitudini d’uso e ai dati di visione per periodi prolungati. Rientrano in tale previsione anche i trattamenti di metadati, ad esempio, in ambito telecomunicazioni, banche, ecc. effettuati non soltanto per profilazione, ma più in generale per ragioni organizzative, di previsioni di budget, di upgrade tecnologico, miglioramento reti, offerta di servizi antifrode, antispam, sicurezza ecc.;
    4. trattamenti su larga scala di dati aventi carattere estremamente personale (vedi WP 248, rev. 01): si fa riferimento, fra gli altri, ai dati connessi alla vita familiare o privata (quali i dati relativi alle comunicazioni elettroniche dei quali occorre tutelare la riservatezza), o che incidono sull’esercizio di un diritto fondamentale (quali i dati sull’ubicazione, la cui raccolta mette in gioco la libertà di circolazione) oppure la cui violazione comporta un grave impatto sulla vita quotidiana dell’interessato (quali i dati finanziari che potrebbero essere utilizzati per commettere frodi in materia di pagamenti);
    5. trattamenti effettuati nell’ambito del rapporto di lavoro mediante sistemi tecnologici (anche con riguardo ai sistemi di videosorveglianza e di geolocalizzazione) dai quali derivi la possibilità di effettuare un controllo a distanza dell’attività dei dipendenti (si veda quanto stabilito dal WP 248, rev. 01, in relazione ai criteri n. 3, 7 e 8);
    6. trattamenti non occasionali di dati relativi a soggetti vulnerabili (minori, disabili, anziani, infermi di mente, pazienti, richiedenti asilo);
    7. trattamenti effettuati attraverso l’uso di tecnologie innovative, anche con particolari misure di carattere organizzativo (ad esempio, IoT; sistemi di intelligenza artificiale; assistenti vocali; monitoraggi effettuati da dispositivi wearable; tracciamenti di prossimità – wi-fi tracking) ogniqualvolta ricorra anche almeno un altro dei criteri individuati nel WP 248;
    8. trattamenti che comportano lo scambio tra diversi titolari di dati su larga scala con modalità telematiche;
    9. trattamenti di dati personali effettuati mediante interconnessione, combinazione o raffronto di informazioni, compresi i trattamenti che prevedono l’incrocio dei dati di consumo di beni digitali con dati di pagamento (ad esempio, mobile payment);
    10. trattamenti di categorie particolari di dati ai sensi dell’art. 9 oppure di dati relativi a condanne penali e a reati di cui all’art. 10 interconnessi con altri dati personali raccolti per finalità diverse;
    11. trattamenti sistematici di dati biometrici, tenendo conto, in particolare, del volume dei dati, della durata, ovvero della persistenza, dell’attività di trattamento;
    12. trattamenti sistematici di dati genetici, tenendo conto, in particolare, del volume dei dati, della durata, ovvero della persistenza, dell’attività di trattamento.

Trasparenza rispetto ai trattamenti di dati personali

A questo punto, mappati i trattamenti di dati personali effettuati, è necessario definire e implementare specifiche attività e presidi che garantiscano il principio di trasparenza verso i soggetti Interessati. Coerentemente con l’ottica adottata per i primi due ambiti, dunque l’armonizzazione e il focus sui processi aziendali, è necessario:

  1. Individuare tutti i processi, prodotti e servizi e i relativi canali utilizzati per raccogliere i dati personali degli Interessati, in base alle loro caratteristiche e alle finalità del trattamento (candidati e dipendenti, utenti e clienti, fornitori ecc.).
  2. In secondo luogo, sulla base di questa mappatura e tenuto conto di tutte le informazioni disponibili grazie al registro dei trattamenti definire o aggiornare le informative privacy, adeguate nella forma e nel linguaggio alla tipologia di soggetto interessato (ad esempio, dipendenti, clienti, utenti tra cui minori ecc.) in modo che contengano tutte le informazioni necessarie a comprendere l’identità e i dati di contatto del titolare e del DPO, la descrizione delle modalità e le finalità di trattamento, nonché la base giuridica del trattamento, il periodo di conservazione dei dati, le misure di sicurezza implementate e le modalità con cui esercitare i diritti privacy.
  3. Garantire che le informative, una volta diffuse e condivise:
    1. siano sempre disponibili o comunque facilmente reperibili attraverso i canali individuati (fisici e telematici);
    2. vengano aggiornate a valle dell’attività di valutazione e modifica del registro dei trattamenti o a seguito dell’applicazione del processo di privacy by design & by default o di DPIA.
  4. Predisporre gli strumenti idonei alla gestione delle varie fasi di un processo di data breach management, dunque necessari a raccogliere e archiviare le informazioni per valutare la fattispecie e individuare se un incidente di sicurezza ha le caratteristiche per configurarsi come violazione di dati personali, nonché il potenziale impatto sui soggetti coinvolti (ad esempio, tool di valutazione di impatto di una violazione, form interni di raccolta informazioni, archivi che garantiscano l’integrità delle informazioni raccolte). Tali strumenti, per essere sempre efficaci e mettere nelle condizioni di garantire la trasparenza verso il Garante privacy e gli Interessati coinvolti, devono essere costantemente utilizzati e aggiornati ove necessario.
  5. Definire un processo di data breach management come una possibile derivata di una procedura di gestione degli incidenti di sicurezza (un incidente di sicurezza può non configurarsi come violazione di dati personali, ma tale violazione viceversa sarà sempre anche un incidente), che preveda almeno la predisposizione della notifica al Garante privacy, la valutazione degli impatti sugli Interessati e l’eventuale predisposizione della Notifica destinata a tali soggetti, nonché l’archiviazione delle informazioni raccolte in un cosiddetto “data breach register”.

Controllo dei trattamenti di dati personali

Il rispetto della normativa prevede che in qualsiasi momento i soggetti interessati possano esercitare specifici diritti volti a garantire il pieno controllo sui dati personali raccolti e sulle modalità e finalità del trattamento effettuato. Per essere in grado di valutare, evadere e tracciare tale tipologia di richieste, devono essere definiti criteri oggettivi, processi fluidi e responsabilità chiare delle diverse fasi operative. In particolare è opportuno:

  1. Determinare la base di legittimità di ogni trattamento mappato nel registro, specificando se:
    1. l’interessato ha espresso un consenso specifico per una o più specifiche finalità;
    2. il trattamento è necessario all’erogazione di un servizio, all’esecuzione di un contratto o di un accordo;
    3. il trattamento è necessario per adempiere ad un obbligo legale;
    4. il trattamento è necessario per la salvaguardia degli interessi vitali dell’Interessato;
    5. il trattamento è necessario per il perseguimento del legittimo interesse del titolare (in questo caso sarebbe sempre opportuno, anche attraverso l’esecuzione di valutazioni di impatto, garantire un bilanciamento di interessi con gli Interessati coinvolti).
  2. Individuare tutti i dati personali, suddivisi per categorie, potenzialmente oggetto di richieste di accesso, rettifica, cancellazione e portabilità nonché di trattamenti rispetto ai quali potrebbe essere richiesta la limitazione, l’opposizione o la revoca del consenso e definire criteri chiari di valutazione rispetto a ogni fattispecie individuata (es. quali dati possono essere cancellati in quali casi). Solo in questo modo sarà possibile decentralizzare la gestione del processo a funzioni operative (ad esempio, servizio clienti) e minimizzare allo stesso tempo i rischi legati a tale tipologia di richieste.
  3. Definire un processo di gestione delle richieste privacy che definisca al minimo gli step di valutazione preliminare e di merito della specifica richiesta (ad esempio, modalità di riconoscimento del soggetto richiedente, completezza delle informazioni raccolte, legittimità della richiesta ecc.), le modalità operative di evasione e archiviazione, nonché le aree aziendali deputate a tali attività, oltre alle casistiche di escalation alla funzione privacy a DPO.

Tutte le attività sopradescritte, se implementate e relazionate in modo corretto, sono funzionali a definire i punti chiave di un sistema di gestione della privacy attraverso cui garantire una visione olistica della normativa e un approccio pervasivo della realtà aziendale, i cui risultati vengono costantemente monitorati e dove necessario corretti e reindirizzati.

I soggetti che hanno capito l’importanza di tale tipologia di progetti e non si sono limitati a fare il minimo indispensabile per raggiungere un adeguamento meramente formale, da qui a breve inizieranno a coglierne i frutti; basta citare qualche esempio:

  • il valore reputazionale di società “trasparenti” rispetto a soggetti che fanno un uso opaco e spesso eccedente o illecito dei dati personali trattati;
  • la possibilità di definire e implementare servizi e prodotti innovativi a cui sono sottesi trattamenti potenzialmente impattanti in modo sicuro e nel rispetto della normativa, perché filtrati da processi di privacy by design e valutati attraverso framework e metodologie solide di DPIA;
  • la creazione di un vero e proprio vantaggio competitivo dei soggetti che offrono determinati servizi B2B: la security e la privacy as a service diventerà uno standard sempre più richiesto, soprattutto in un paese il cui tessuto economico è composto prevalentemente da PMI che cerca faticosamente di colmare un enorme digital divide.
@RIPRODUZIONE RISERVATA

Articolo 1 di 5