LA GUIDA PRATICA

Il ruolo del DPO nei controlli degli adempimenti Covid-19, in termini di accountability e compliance

In un momento in cui la situazione emergenziale, per quanto ancora in essere, risulta ridimensionata, è utile analizzare i controlli che il DPO (se nominato) deve porre in essere ovvero, in sua assenza, il titolare del trattamento, servendoci di due utili check list in termini di accountability e compliance

04 Giu 2020
N
Nicola Nuti

Amministratore Inprivacy S.r.l.

P
Monica Perego

Ingegnere

P
Chiara Ponti

Avvocato, Legal Compliance e nuove tecnologie – Laureata anche in ISSR (TO)


Il ruolo del DPO nel pieno dell’emergenza Covid-19 è già stato esaminato fornendo una serie di indicazioni di carattere pratico. A due mesi di distanza, in un momento in cui la situazione emergenziale — per quanto ancora in essere — risulti ridimensionata, ritorniamo sul medesimo tema proponendo due check list, l’una nel rispetto dell’accountability (responsabilizzazione), l’altra in termini di compliance (conformità), dalle quali poter ricavare una seria di controlli che il DPO (se nominato) deve porre in essere ovvero, in sua assenza, il titolare, eventualmente supportato dal Privacy Officer (se presente).

I controlli a carico del DPO

Sono state sviluppate nelle ultime settimane molte check-list volte ad aiutare le aziende al fine di verificare le misure relative agli adempimenti in materia di salute e sicurezza sul lavoro, in emergenza Covid-19.

Analoghe check-list, evidentemente, possono essere strutturate per quanto concerne la materia della protezione dei dati.

Per quanto consapevoli che tali aspetti non siano, nel frangente dell’emergenza, così rilevanti come quelli in materia di salute e sicurezza, non possiamo, tuttavia, trascurare la necessità di definire e mettere in atto delle check-list finalizzate a controllare quelle misure tanto in termini di accountability quanto di compliance, nonché la loro conseguente applicazione.

Tali check-list potrebbero essere oggetto di valutazione in fase di audit, per poi essere conservate unitamente alla documentazione relativa alle misure sulla salute e sicurezza, quali “di cui”, per dare evidenza di ottemperanza cogente dell’emergenza in atto.

Le check-list potrebbero poi essere richieste dal DPO (laddove presente) o dal Titolare del trattamento attraverso l’affidamento, in termini di compilazione, al Privacy Officer, a garanzia della “indipendenza” operativa.

Ancora, la compilazione delle check-list, i cui risultati potrebbero dare avvio a trattamenti di non conformità o ad azioni correttive, potrebbero essere ripetute ad intervalli. Inoltre, in un’organizzazione che avesse più sedi, le check-list in questione, così come quelle relative alla salute e sicurezza sul lavoro, potrebbero essere applicate e ripetute in sedi ed in contesti diversi.

La frequenza con cui ripetere tali controlli dipende ora dalla complessità dell’organizzazione, ora dai rilievi messi in atto, ora dal numero delle sedi coinvolte nonché da tutti quegli altri elementi di contesto interno/esterno influenzanti i processi, nonché il campo di applicazione delle misure adottate per l’emergenza epidemica.

La compilazione delle check-list dovrebbe essere richiesta dal DPO e tale richiesta riportata in un verbale, così come le considerazioni in merito ai risultati del documento una volta compilato.

L’attività del DPO: i verbali

A tal fine, per ogni incontro, sarebbe opportuno che il responsabile della protezione dei dati (RPD, più conosciuto come DPO) predisponesse i verbali. Pur non essendo oggetto di tale tema la gestione dei verbali, desideriamo comunque approfondire i contenuti di almeno due dei verbali opportunamente predisposti dal DPO.

Il primo verbale indica e allega le due check-list di seguito riportate, quanto meno nei tratti salienti.

Il DPO andrebbe tenuto regolarmente informato circa l’introduzione eventuale di nuovi trattamenti di dati personali, affinché egli possa predisporre quanto di utile, in termini di privacy by design ed eventualmente aggiornare o richiedere l’aggiornamento della check-list di accountability.

Il secondo verbale, a check-list compilata e ricevuta, è finalizzato a rendere le evidenze per le quali il DPO debba segnalare, sulla base dei risultati che ha fornito (eventualmente supportati da documenti aggiornati, ad esempio il registro informativo ecc., ed eventualmente da referenze fotografiche), eventuali richieste di ulteriori integrazioni/approfondimenti/domande ovvero nel caso in cui dovesse reputare la situazione, come è stata descritta dall’azienda, adeguata, ragionando in termini di accountability.

WEBINAR - 3 NOVEMBRE
CISO as a Service: perché la tua azienda ha bisogno di un esperto di Cyber Security?
Sicurezza
Cybersecurity

Nell’ipotesi in cui l’azienda avesse predisposto una DPIA (Data Protection Impact Assessment: Valutazione d’impatto), ad esempio nel caso dell’introduzione di un termo-scanner, il DPO potrebbe essere già stato contattato precedentemente.

Sulla base dei risultati delle check-list compilate, il DPO valuterà le necessità di procedere – con un certo intervallo di tempo – a richiedere l’aggiornamento delle check-list.

Nel caso in cui lo reputasse opportuno, il DPO potrebbe altresì pianificare, compatibilmente con la situazione in essere, un’attività di audit presso l’Azienda al fine di valutare la corrispondenza tra le misure dichiarate nelle check-list e quelle effettivamente poste in essere.

I due modelli di check-list: accountability e compliance

Il DPO o in sua mancanza il titolare del trattamento, eventualmente per il tramite di un Privacy Officer designato, ha l’obbiettivo di verificare sia le misure di accountability messe in atto durante le fasi di emergenza, che durante la loro applicazione.

Se le misure di accountability dovessero essere considerate, fin da principio (in by design) e senza soluzione di continuità, la verifica delle stesse in termini di ottemperanza (compliance), richiederebbero invece una condizione minimamente stabile che si protragga nel tempo.

Ne consegue che, se i controlli di accountability di cui alla prima check list avrebbero dovuto essere oggetto di check-list del DPO, quelli di compliance entrano a pieno regime con la ripresa delle attività, sia pure parziali, all’interno dell’organizzazione, quindi si suggerisce di prestare la massima attenzione ai tempi di verifica delle check list di seguito riportate.

Vengono quindi proposti due modelli:

  • check-list in termini di accountability;
  • check-list in termini di compliance;

In entrambi i modelli, le check-list compilate dovranno essere allegate ai verbali del DPO.

I contenuti della check-list di accountability

La struttura di questa check-list, sulla falsa riga di quella ufficiale del Garante (sweep) prevede delle domande focalizzate sulla esecuzione o meno di una serie di attività e sulle motivazioni per le quali, alcune misure, non sono state messe in atto.

Il modello sarà quindi meno orientato alla raccolta di evidenze a campione tipiche di una attività di audit, ma più focalizzato sulla motivazione circa il fatto che alcuni passaggi non sono stati contestualmente eseguiti all’esecuzione di nuovi trattamenti.

Per quanto ciò non sia corretto, comprendiamo che, nelle fasi più concitate della emergenza Covid-19, alcuni passaggi siano stati necessariamente trascurati.

Tali domande, naturalmente, possono essere integrate a seconda delle esigenze di contesto.

Check-listValutazione[1]Evidenze[2]
EseguitoParzialmente eseguitoNon eseguito

Perché?

Note di contesto e modalità operative
1. L’organizzazione ha azionato una policy by design per la gestione di emergenza, impattante lato protezione dati personali, coerente con il quadro legislativo attualmente in vigore?
2. L’organizzazione ha una policy by default, per fronteggiare la situazione di emergenza?
3. L’organizzazione ha costituito un Team Crisi Covid-19?

Da chi è composto?

Con quale frequenza si riunisce?

Dove e sotto quale responsabilità sono conservati i verbali?

4.L’organizzazione ha adottato il “Protocollo condiviso di regolamentazione delle misure per il contrasto e il contenimento della diffusione del virus Covid-19 negli ambienti di lavoro” del 14 marzo 2020?

È stata valutata, ove presente, la documentazione locale?

(ordinanze regionali/comunali)

5. Nell’adottare lo smart working art. 2 DCPM 25.02.2020 (in deroga alla L. 81/2017) oltre agli adempimenti di legge (comunicazione INAIL, informativa ecc.) sono state adottate delle procedure, linee guida/istruzioni operative a tutela anche della protezione dei dati?

È stato concesso e verificato l’uso di BOYD?

6. L’organizzazione ha adottato un registro delle attività compiute in stato di emergenza?
7. L’organizzazione ha pensato ad un piano operativo di Business Continuity?
8. Quali modalità, finalità di tracciamento e misure avete adottato per il contenimento del contagio lato: dipendenti; clienti e fornitori?
9. L’organizzazione ha consapevolezza di dover manutenere, anche in stato di emergenza, il Sistema di Gestione Privacy?
10. L’organizzazione ha avuto perdite/fuoriuscite/ violazioni di dati anche particolari?

Come sono state gestite? (data breach)

Varie ed eventuali, informazioni tipiche del contesto organizzativo
L’organizzazione ha introdotto trattamenti particolari, con il termoscanner, con riconoscimenti facciale, analisi sierologiche?
L’organizzazione ha informato il DPO?
L’organizzazione ha aggiornato il registro?
L’organizzazione ha aggiornato le informative e, quando necessario, richiesto il consenso? E la DPIA?

I contenuti della check-list di compliance

Tale check-list potrebbe essere compilata in più occasioni, ed ovviamente dovrebbero essere valutate compilazioni separate nei casi di organizzazioni multi-sedi, anche sulla base delle disposizioni a livello regionale/comunale.

La check-list che segue, in termini contenutistici, potrebbe essere anche oggetto di attività di audit; nel qual caso riporterebbe anche i riferimenti delle evidenze esaminate a campione.

Si tratta, come noto, infatti di un documento con una caratteristica consimile a quella prevista dalle Linee Guida per l’esecuzione degli audit (UNI EN ISO 19011:2018) nel Paragrafo 6.3.4 “Preparazione delle informazioni documentate per l’audit”[3].

Dato che l’individuazione delle domande può variare molto da un contesto all’altro, motivo per il quale non le inseriremo — a differenza della check list in termini di accountability —, riteniamo più utile piuttosto individuarne i macro temi, in accezione di contenuto.

Tale check-list, per la sua efficacia, andrebbe suddivisa in Sezioni, ed in particolare, potrebbe prevedere una sequenza, con ordine logico, che possiamo definire nel modo che segue: adempimenti, smart working, sorveglianza sanitaria, gestione dell’Interessato sintomatico, e GDPR con annessa documentazione.

Sezione adempimenti

In tale sezione possono essere trattati:

  • la verifica delle informative per gli Interessati;
  • l’autorizzazione delle persone addette alla rilevazione;
  • la registrazione della temperatura;
  • la gestione dei dati nel caso di persona che dichiara l’insorgenza di condizioni di pericolo;
  • le procedure, istruzioni e dépliant che riguardino persone che abbiano manifestato sintomatologia;
  • la gestione dei casi delle persone in isolamento;
  • la conservazione dei documenti cartacei/informatici contenenti dati personali afferenti all’attività suddetta.

Sezione smart working

In questa potranno, invece, approfondirsi:

  • le policy e le procedure relative alla gestione della protezione dei dati nel caso dello svolgimento del lavoro agile;
  • l’eventuale gestione dei BYOD, nei casi in cui il lavoratore debba utilizzare dei suoi dispositivi, anche in relazione al ritorno a condizioni di normalità o “quasi normalità”;
  • le misure tecnico-organizzative che sono state messe in atto nei casi di lavoratori smart-working;
  • le verifiche sugli eventuali fornitori storici;
  • l’eventuale necessità di nomina di Amministratore di Sistema.

Sezione sorveglianza sanitaria

In quest’altra, invece, si tratterà di:

  • l’aggiornamento della gestione al medico competente di particolari fragilità e patologie;
  • la segnalazione di inserimento del soggetto lavorativo e la sua gestione;
  • l’eventuale assistenza psicologica che potrebbe essere messa a disposizione dei dipendenti;
  • la tematica molto articolata e complessa dell’eventuale gestione dei test sierologici, che prevede un approfondimento specifico e le cui implicazioni (ad esempio la base giuridica) potrebbe variare tra Regione e Regione;
  • la gestione delle eventuali nomine a Responsabile del trattamento, a Titolare autonomo nel caso di enti e laboratori terzi coinvolti nei test sierologici;
  • la gestione della certificazione attestante la fine della quarantena.

Sezione gestione interessato sintomatico

In quest’altra, potranno emergere:

  • eventuali gestioni di procedure e registrazioni, anche ad esempio per la gestione dei “contatti stretti”;
  • la gestione della persona sintomatica nel rispetto del GDPR, considerando anche perché per tali persone potrebbero essere messi a disposizione dei materiali per l’autorità sanitaria anche per future indagini di tipo epidemiologico.

Sezione GDPR

Quest’ultima sezione è dedicata alla documentazione GDPR, ovvero:

  • tutta la gestione in forma controllata dell’emissione della documentazione predisposta;
  • la gestione dell’aggiornamento del registro;
  • la gestione dell’analisi dei rischi per i nuovi trattamenti;
  • le eventuali integrazioni di ulteriori informative e nomine;
  • l’aggiornamento della valutazione dei rischi;
  • la DPIA nel caso di raccolte di alcuni parametri, come ad esempio la rilevazione tramite un termo-scanner;
  • un accordo sindacale con l’Ufficio Provinciale del Lavoro nel caso in cui si introduca il riconoscimento facciale e più in generale tutte le misure previste in questo caso (es. DPIA);
  • la documentazione superata per permettere una ricostruzione storica delle misure e procedure messe in atto;
  • la definizione dei tempi di conservazione che tengano anche conto di richieste da parte dell’INAIL, del riconoscimento dell’indennità, di indagini epidemiologiche da parte dell’ASL;
  • i rapporti con l’Organismo di Vigilanza ove insediato.

Considerazioni conclusive

Per quanto, come detto in principio, il tema trattato integri una serie di controlli a carico del DPO o del titolare tramite il Privacy Officer, gli autori continuano a ritenere che a salvaguardia dei lavoratori e/o di quanti rilevano (clienti, visitatori, ospiti ecc.) all’interno di un’azienda, esso rappresenti un valore prioritario rispetto alla garanzia della protezione dei dati.

Ciò non toglie che, a differenza di quanto accaduto nei mesi scorsi – durante i quali le condizioni erano tali da non consentire necessariamente di poter mettere in atto tutte le misure richieste per la giusta tutela dei dati, oggi tale posizione riteniamo non sia certamente più accettabile, ed eventuali errori compiuti in passato devono essere sanati, a tutela delle organizzazioni, dei titolari del trattamento dati personali ma, principalmente, a tutela degli interessati ovvero le persone fisiche, cui i dati personali si riferiscono.

NOTE

  1. Indicare il grado di maturità rispetto a ciascuna delle aree elencate
  2. Inserire una breve descrizione delle modalità di raggiungimento/adozione nonché delle evidenze ritenute utili eventualmente allegate
  3. Il tema dell’audit sulla protezione dei dati personali è approfondito in Privacy & Audit – F. Emegian, M. Perego – Wolters Kluwer, Milano 2019
WHITEPAPER
Come semplificare il sistema di gestione delle identità digitali?
Sicurezza
IAM

@RIPRODUZIONE RISERVATA

Articolo 1 di 4