Implementare la privacy by design e by default in azienda: ruoli e responsabilità - Cyber Security 360

LA GUIDA PRATICA

Implementare la privacy by design e by default in azienda: ruoli e responsabilità

Per implementare la privacy by design e la privacy by default in azienda è importante predisporre una policy che disciplini i processi interni al fine di identificare ruoli e responsabilità per poi definire un processo di gestione dei trattamenti dati. Ecco un utile vademecum

25 Giu 2021
L
Alessandra Lucchini

Avvocato cassazionista - DPO

Implementare la privacy by design e la privacy by default in azienda si può e si deve e per farlo è opportuno seguire alcune regole pratiche.

Innanzitutto, si predispone una policy che disciplini il processo aziendale interno da seguire ogniqualvolta lo sviluppo, la progettazione, la selezione e l’utilizzo di applicazioni, servizi e prodotti produca effetti sul trattamento di dati personali o comporti il trattamento di dati personali per lo svolgimento dei compiti e delle attività.

Una volta predisposta e condivisa con tutti i soggetti interessati, la policy viene adottata da tutta l’azienda e in particolare da chi, come vedremo, sarà l’owner del progetto, del prodotto o del servizio da creare o implementare.

Per quanto i concetti di privacy by design e by default possano sembrare lontani dal mondo aziendale soprattutto ai non addetti ai lavori, alcune delle nozioni che vedremo possono, con le dovute cautele e distinzioni, essere presi in prestito dalla normativa sui sistemi di gestione per la qualità di cui alla UNI ISO 9001 che risulta molto più conosciuta e applicata in ambito aziendale [1].

Se da un lato la normativa ISO 9001 specifica i requisiti che un sistema di gestione per la qualità deve avere quando una azienda ha l’esigenza “di dimostrare la propria capacità di fornire con regolarità prodotti o servizi che soddisfano i requisiti del cliente”[2], dall’altro la disciplina del GDPR sulla privacy by design e by default delinea l’esigenza che le aziende mettano in atto misure tecniche ed organizzative al fine di soddisfare i requisiti del regolamento stesso e, soprattutto, tutelare i diritti degli interessati (cfr. art. 25 GDPR).

Entrambe le discipline sono pertanto dirette a tutelare i diritti dei clienti/interessati lato prodotti e servizi e lato dati personali.

Se l’adozione di un sistema di gestione per la qualità è una decisione strategica che può aiutare a migliorare la prestazione complessiva di una organizzazione/azienda e costituire una solida base per iniziative di sviluppo sostenibile, l’adozione di una politica di gestione della privacy costituisce un primo passo per garantire il rispetto dei diritti e delle libertà individuali, contribuire a rendere l’organizzazione/azienda rispettosa del dettato normativo con la consapevolezza che il diritto alla protezione dei dati personali, sancito dall’art. 8 della Carta dei diritti fondamentali, richiede la massima attenzione.

Privacy by design e by default in azienda: la policy

La policy privacy by design e by default di una azienda/organizzazione deve essere finalizzata a rappresentare le caratteristiche peculiari del processo di valutazione di un trattamento già dalla fase di progettazione o sviluppo con riferimento a:

  • valutazione in ordine al trattamento dei dati personali;
  • valutazione della tipologia, qualità e quantità dei dati personali trattati;
  • analisi dei requisiti di sicurezza;
  • le aree coinvolte nel processo di gestione dei diritti dell’interessato.

Tutte le attività svolte in applicazione dei principi che andiamo ad analizzare devono essere debitamente documentate, i relativi documenti devono essere conservati a scopo di verifica e messi a disposizione delle funzioni di controllo e/o dirigenziali e/o delle Autorità competenti.

Già tale concetto di “informazioni documentate” è ben noto nei sistemi di gestione della qualità e in tutto il GDPR dove, per la verità, ci si riferisce alla rendicontazione o accountability delle attività da parte del titolare del trattamento dei dati.

Come sappiamo, l’azienda deve assicurare che tutti i trattamenti di dati personali che vengono posti in essere siano progettati, e successivamente effettuati, tenendo in considerazione gli effetti che potrebbero avere sui dati personali e sui diritti degli interessati.

Si tratta di attività che nella ISO 9001 sono contenute nel paragrafo 6 dedicato alla Pianificazione in cui, tra l’altro, l’azienda deve determinare i rischi e le opportunità, per esempio, di adottare nuove prassi, lanciare nuovi prodotti, aprirsi a nuovi mercati, indirizzarsi a nuovi clienti, creare partnership, utilizzare nuove tecnologie e pianificare le azioni per affrontarli.

In ambito privacy, a tal fine, il titolare sin dal momento iniziale della individuazione di tali trattamenti e della determinazione dei mezzi del trattamento, deve adottare misure tecniche e organizzative adeguate, quali la anonimizzazione e la minimizzazione dei dati (cfr. art. 32 GDPR), volte ad attuare in modo efficace i principi di protezione dei dati, ad integrare nel trattamento le garanzie necessarie a soddisfare i requisiti della normativa applicabile e tutelare i diritti degli interessati[3].

Pseudonimizzazione e GDPR: le difficoltà tecniche e applicative per le aziende

Pertanto, già dalla fase di design di nuovi prodotti, servizi o di qualsiasi iniziativa di business, progetti o tecnologie è necessario:

  1. individuare i dati personali che saranno oggetto di trattamento per mezzo del prodotto, servizio, iniziativa o tecnologia realizzati;
  2. determinare, sin dall’origine, il periodo di conservazione dei dati; tale periodo viene determinato sulla base della durata del trattamento previsto, tenendo conto di eventuali obblighi imposti dalle norme applicabili;
  3. individuare i dipendenti e/o collaboratori e/o altri soggetti terzi che, nelle rispettive aree, avranno accesso ai dati personali, al fine di provvedere alla formalizzazione di appositi documenti di nomina, a seconda del caso, a incaricato del trattamento o responsabile esterno del trattamento;
  4. implementare specifici presidi, in ottemperanza ai requisiti per la protezione dei dati personali, che possano mitigare eventi di violazione in seguito ad attacchi informatici esterni o comportamenti illeciti interni, come l’estensiva adozione di tecniche di cifratura delle informazioni “a riposo” e in transito, di pseudonimizzazione, o di aggregazione dei dati nelle fasi immediatamente successive alla raccolta e sul sistema di origine, se attuabile;
  5. individuare, ai sensi del GDPR, quei trattamenti che, presentando rischi elevanti per i diritti degli interessati, in quanto trattano una categoria di dato o presentano un rischio residuo di trattamento elevato, sono soggetti ad una PIA (valutazione d’impatto ai sensi dell’art. 35 del GDPR) unitamente al parere del Responsabile della protezione dei dati.

Inoltre, è necessario assicurare che siano trattati, per impostazione predefinita, esclusivamente i dati necessari per ogni specifica finalità del trattamento.

A tal fine, in fase di delineazione del trattamento devono essere previste le necessarie misure tecniche e organizzative e devono essere valutati i seguenti elementi al fine di ridurre al minimo necessario alle finalità perseguite l’impatto sul diritto alla protezione dei dati:

  • quantità e tipologia dei dati personali da raccogliere;
  • portata del trattamento;
  • periodo di conservazione;
  • numero di soggetti che ha accesso ai dati personali.

Privacy by design e by default in azienda: ruoli e responsabilità

Fondamentale nella policy che stiamo illustrando è la definizione dei ruoli e delle responsabilità all’interno dell’azienda.

Leadership e competenze sono due concetti della ISO 9001 che possono essere “trasportati” in ambito privacy: valutare le risorse a disposizione (umane e strumentali), le competenze necessarie e disponibili e definire le azioni necessarie per acquisire le competenze mancanti sono elementi che una buona leadership deve sapere considerare ed attuare all’interno della propria organizzazione.

Consiglio di amministrazione, direzione, dirigenza

L’azienda, come accennato, ha la responsabilità di definire il processo di privacy by design e by default. Sarà il Consiglio di Amministrazione e/o gli organi direttivi, in quanto organi amministrativi del Titolare del trattamento, a stabilire, attuare e mantenere aggiornata la policy, così come è l’alta direzione il soggetto deputato per la politica della qualità ai sensi della ISO 9001.

La policy deve essere condivisa ad ogni livello in modo tale che siano chiare le responsabilità e i ruoli all’interno dell’organizzazione. Così come tali responsabilità e ruoli devono essere disponibili, comunicati e compresi da parte di tutti. La Policy dovrebbe anche essere pubblicata nella intranet aziendale, ove esistente.

Come previsto per la gestione della qualità, gli organi apicali devono assicurare che il sistema privacy sia conforme ai requisiti della normativa vigente e che venga rispettato all’interno dell’azienda.

La politica deve essere rivista con cadenza annuale e/o ogni qual volta necessario al fine di assicurarne l’adeguamento, tenendo conto tra l’altro, dell’efficacia dimostrata nella prassi applicativa e di eventuali modifiche intervenute nella normativa di riferimento.

Il responsabile della protezione dei dati (DPO)

Il DPO, ove nominato, deve essere coinvolto a livello consultivo nella validazione della procedura e in tutte le scelte che possono avere impatto sui dati personali.

Il DPO è infatti tenuto a vigilare sulla cd “Privacy di processo” ed ha, oltre al compito di informare e consigliare il titolare o il responsabile del trattamento a cui è preposto, nonché i dipendenti, in merito agli obblighi derivanti dal GDPR e/o delle normative locali, quello di verificare che la normativa vigente e le policy interne del titolare siano correttamente attuate ed applicate, incluse le attribuzioni delle responsabilità, la sensibilizzazione e la formazione del personale ed i relativi audit.

È una risorsa che, ove nominata, può essere di grande aiuto nella programmazione e progettazione di un nuovo trattamento di dati personali, in quanto è soggetto indipendente, competente e preparato e ha come obiettivo proprio quello di verificare che nuovi sistemi, applicazioni e processi operativi che possano impattare sulla protezione di dati personali siano conformi a quanto previsto dal GDPR e dalla normativa vigente appunto secondo il criterio della privacy by design.

Owner di processo

L’owner viene individuato di volta in volta durante il processo di privacy by design e generalmente corrisponde al responsabile della funzione, dell’area o dell’ufficio o al soggetto da lui delegato che deve effettuare il trattamento. Egli è coinvolto nel processo in quanto promotore e conoscitore dell’attività di trattamento.

L’attivazione del processo di gestione della privacy by design può avvenire per esempio conseguentemente all’attivazione di uno dei seguenti processi:

  1. prodotto/servizio con riferimento ad una richiesta di configurazione di un nuovo prodotto/servizio o di modifica significativa di un prodotto/servizio preesistente;
  2. richieste di natura evolutiva e/o redazione di business requirements;
  3. definizione e revisione della struttura organizzativa – ove vengano richiesti cambiamenti organizzativi (interventi su organigramma e funzionigramma);
  4. processo di marketing, per le iniziative commerciali che coinvolgano la clientela.

Il process owner ha pertanto il compito di curare l’efficacia e l’efficienza del processo che presiede e il corretto funzionamento della catena interna anche lato trattamento dei dati. Tale persona è generalmente scelta all’interno della funzione che più è coinvolta nel processo in questione o che ha le migliori competenze per gestirne le criticità.[4].

Il reparto IT

L’area Information Technology prende parte al processo di privacy by design nelle seguenti attività:

  1. presidio della sicurezza informatica della azienda, sia con riferimento alla struttura interna, sia relativamente ai flussi verso l’esterno;
  2. impostazione dei privilegi di accesso al trattamento;
  3. mitigazione degli eventi di violazione in seguito ad attacchi informatici esterni o comportamenti illeciti interni, mediante l’adozione di tecniche attuabili e adeguate alla azienda;
  4. sviluppo delle eventuali implementazioni informatiche richieste sui programmi nuovi o esistenti;
  5. supporto nell’individuazione dei dati nei sistemi informatici della azienda;
  6. impostazione informatica delle regole per la cancellazione automatica dei dati una volta superato il periodo di conservazione consentito dalla normativa.

Risorse umane

L’ufficio risorse umane a sua volta ha il compito di supportare i processi di gestione dei dati personali del personale (dipendenti e collaboratori) e dei candidati in fase di selezione e di supportare la diffusione della cultura della data protection all’interno dell’azienda.

In particolare, l’Ufficio Risorse Umane supporta il Titolare del trattamento con riferimento alle seguenti attività:

  1. individuazione del personale (dipendenti e collaboratori) autorizzato al trattamento dei dati personali;
  2. erogazione ai dipendenti al personale (dipendenti e collaboratori) del materiale formativo e dei corsi per l’approfondimento delle tematiche data protection definite in collaborazione con il DPO.

Processo di gestione della privacy by design e by default in azienda

Nel caso in cui si voglia progettare nuovi prodotti, servizi, tecnologie o una qualsiasi iniziativa di business, il processo di gestione della privacy by design si potrebbe articolare come da rappresentazione che segue:

Valutazione preliminare

L’owner di processo procede ad una valutazione preliminare in ordine agli elementi di rischio legati alla tutela dei dati personali connessi al nuovo sviluppo che funge da innesco al processo di privacy by design.

In particolare, l’owner di processo dovrà valutare, col supporto dell’ufficio privacy se l’iniziativa comporti il trattamento di dati personali.

L’assenza di un trattamento di dati personali implica la chiusura del processo di privacy by design.

Diversamente, qualora l’iniziativa comporti il trattamento di dati personali, l’owner avvia il processo di privacy by design che si articola in due fasi:

  1. controlli privacy by design;
  2. controlli security.

Nell’attività di valutazione preliminare l’owner ricorre al supporto del DPO, ove nominato, nella sua funzione di consulente.

L’owner di processo formalizza la sua valutazione in merito alla necessità di avviare il processo o di chiuderlo.

Valutazione della qualità e quantità dei dati personali raccolti

L’owner di processo, con il supporto del DPO, si preoccupa di valutare la categoria dei dati personali connessi al nuovo sviluppo allo scopo di prevedere i possibili impatti privacy.

In particolare, l’owner:

  1. identifica le caratteristiche della platea di interessati cui si rivolge il nuovo sviluppo, intese come numero e categoria degli interessati (es. clienti, dipendenti) fornitori);
  2. identifica le categorie di dati personali necessari per il trattamento;
  3. seleziona le singole tipologie di dati necessari (es: per i dati comuni, anagrafici, di contatto, studi), limitando tale selezione a quelli strettamente necessarie per il trattamento;
  4. identifica la tipologia di dati impattati dal progetto avviato (es: dati personali, dati attinenti alla salute);
  5. motiva l’eventuale necessità di utilizzo di tali dati, in particolare quelli appartenenti a categorie particolari.

Determinazione dei privilegi di accesso al trattamento

Svolta la valutazione, l’owner, con il supporto dell’ufficio privacy e del DPO, individua i dipendenti e/o collaboratori e/o altri soggetti terzi che, nelle rispettive aree, avranno accesso ai dati personali connessi alla nuova iniziativa/attività progettuale, allo scopo di formalizzare all’ufficio IT le richieste di autorizzazione.

A questo proposito va utilizzato il principio del “need-to-know” seco il quale la condivisione, l’accesso e la comunicazione dei dati e/o delle informazioni deve essere garantita al solo personale che, preventivamente identificato ed autorizzato per un periodo di tempo determinato, e che ne ha effettiva necessità per lo svolgimento delle proprie mansioni lavorative.

Nell’ambito del trattamento delle informazioni attraverso sistemi informatici, ad esempio, il controllo degli accessi da parte degli utenti di tali sistemi deve essere realizzato attraverso:

  1. l’identificazione dell’utente che richiede l’accesso alle informazioni attraverso un identificativo univoco (User ID) preventivamente assegnatogli;
  2. l’autenticazione dell’utente, e cioè la verifica che l’utente sia effettivamente la persona che dichiara di essere;
  3. l’autorizzazione dell’utente, ovvero la concessione dell’accesso alle funzionalità e alle informazioni richieste in funzione di un profilo di autorizzazione preventivamente assegnatogli.

Inoltre, tutti gli accessi ai sistemi informatici devono essere tracciati mediante file di log degli accessi.

Qualora i dati personali siano oggetto di comunicazione a nuove terze parti, si procede anche alla valutazione degli standard di protezione dei dati adottati da queste ultime.

Verifiche privacy

Il DPO procede alla valutazione dell’esito di tutti i controlli di privacy by design, formalizzando e archiviando le proprie conclusioni.

Qualora il DPO ritenga che ci siano dei passaggi incompleti e/o delle integrazioni da effettuare, e/o delle valutazioni da approfondire il processo deve essere ripreso e completato nelle parti indicate.

Analisi dei requisiti di sicurezza

Nel caso in cui dalla valutazione preliminare condotta emerga che l’iniziativa oggetto di esame ha un impatto rilevante anche dal punto di vista tecnologico, l’area IT analizza e descrive le caratteristiche tecniche della nuova iniziativa allo scopo di consentire una corretta valutazione dei rischi sottesi e delle misure di sicurezza necessarie a garantire la protezione dei dati, dei diritti e delle libertà dei soggetti interessati. Gli altri uffici forniscono il supporto che si dovesse rendere necessario a tale valutazione.

Verifiche sulle caratteristiche tecniche di sicurezza

Il DPO verifica quindi che l’analisi dei rischi privacy e le misure di sicurezza individuate dall’area IT possano garantire una protezione adeguata dei dati personali connessi al nuovo sviluppo. Anche in questo caso, qualora il DPO ritenga che ci sia la necessità di ulteriori misure tecniche di sicurezza, queste dovranno essere predisposte.

Il processo di privacy by design può a sua volta innescare il processo di valutazione “Privacy Impact Assessment – PIA” e processo di gestione e aggiornamento del Registro dei trattamenti in caso di implementazione di nuovi trattamenti ovvero modifica di preesistenti trattamenti.

Convalida finale

Ove non sussistano elementi di rischio privacy per assenza di trattamento dei dati personali o per la presenza di sufficienti garanzie a protezione dei dati personali, il Titolare, a questo punto, può convalidare la valutazione preliminare relativa al nuovo prodotto/servizio.

Conclusioni

L’adozione di una specifica procedura di privacy by design e by default rende il processo di valutazione degli impatti di un prodotto/servizio/attività sul trattamento dei dati più semplice e lineare.

La gestione sarà omogenea all’interno dell’azienda e porterà a poter misurare il risultato nei confronti dei clienti/utenti interessati.

La policy si presenta pertanto come uno strumento operativo per offrire ai titolari la possibilità di accompagnare la progettazione dei servizi con opportunità di tutela solidali allo sviluppo stesso del servizio per offrire alle persone nuove forme di tutela integrate nei trattamenti [5].

 

NOTE

  1. Sull’interazione tra le due normative si veda anche Andrea Citterio, La privacy by design in un contesto di compliance con la ISO 9001: un possibile modello di integrazione; Antonia Lotti, Privacy e Sistemi di Gestione Qualità (SGQ);

  2. Cfr. Sistema di gestione per la qualità, UNI EN ISO 9001 settembre 2015, pag. I.

  3. Cfr. Franco Pizzetti, Big Data e protezione dei dati, Torino, Giappichelli, 2017.

  4. Cfr. Silvia Davoli, Introduzione ai processi aziendali.

  5. Cfr. Franco Pizzetti, Big Data e protezione dei dati, cit, pag. 39.

@RIPRODUZIONE RISERVATA

Articolo 1 di 4