Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

La riflessione

Incaricati del trattamento dati e policy di sicurezza: doveri e limiti di operatività

Doveri e limiti di operatività degli incaricati del trattamento dei dati, così come definiti dal GDPR: un approfondimento per conoscere la normativa di riferimento e inquadrare il rapporto di tali ruoli con le policy di sicurezza

28 Mag 2019
S
Sara Stefanelli

Consulente Privacy e DPO


La nomina degli incaricati del trattamento dei dati alla luce del GDPR può essere un’occasione per andare a delimitare in modo chiaro l’operato e fare ordine in quelli che sono i doveri e i limiti di operatività degli incaricati al trattamento.

Sarebbe buona prassi iniziare a censire tutti i siti in cui ci si è registrati con email aziendale e salvare l’informativa a cui viene dato il consenso per conoscere le finalità e soprattutto creare uno storico dei consensi dati ai trattamenti, anche per valutare possibili.

Il documento di delega agli incaricati del trattamento attraverso un corretto uso della normativa privacy, è un’occasione, uno spartiacque, per mettere in chiaro una volta per tutte quali siano i comportamenti corretti da tenere in azienda e quali siano inopportuni e illeciti.

Anche la formazione agli incaricati, ricordiamo essere obbligatoria, è un utile strumento indispensabile per dare il giusto indirizzo all’operatività aziendale andando a correggere gli atteggiamenti e comportamenti errati messo in atto dagli stessi, che spesso possono creare problemi seri in termini di sicurezza.

Il ruolo degli incaricati del trattamento

Una figura importante oltre al titolare del trattamento, è sicuramente la figura dell’incaricato al trattamento. Nel GDPR dobbiamo un pò leggere tra le righe in quanto non troviamo espressa tale definizione, infatti contrariamente al vecchio Codice Privacy D.lgs. 196/2003 che all’art. 30 citava testualmente “Incaricati al trattamento” nel Regolamento Europeo troviamo riferimenti a questa figura in modo indiretto.

Troviamo questo riferimento indiretto all’art. 29 del GDPR “Trattamento sotto l’autorità del titolare del trattamento o del responsabile del trattamento” che cita testualmente: “Il responsabile del trattamento, o chiunque agisca sotto la sua autorità o sotto quella del titolare del trattamento, che abbia accesso a dati personali non può trattare tali dati se non è istruito in tal senso dal titolare del trattamento, salvo che lo richieda il diritto dell’Unione o degli Stati Membri”.

Meglio espresso dal WP29 il concetto di “incaricato del trattamento”: la persona fisica o giuridica, l’autorità pubblica, il servizio o qualsiasi altro organismo che elabora dati personali per conto del responsabile del trattamento (o del titolare del trattamento).

Il focus centrale che segna il file rouge tra le varie disposizioni è sempre il concetto di responsabilità e responsabilizzazione dei vari soggetti coinvolti nel trattamento dei dati e quindi della “filiera del trattamento” attraverso la quale a cascata si vanno ad individuare i soggetti coinvolti nei singoli trattamenti delegati dagli interessati o dal titolare o dal responsabile del trattamento.

WHITEPAPER
I Servizi Gestiti possono essere un’attività estremamente redditizia. Quali gli strumenti utili?

Quando un titolare del trattamento ha dei lavoratori dipendenti all’interno dell’azienda, i quali in virtù di un contrato di lavoro svolgono diverse mansioni nelle quali spesso è contemplato il trattamento di dati per conto del titolare, come si deve comportare? Come istruire quindi gli incaricati del trattamento in modo corretto? Con la formazione obbligatoria, ovviamente, ma anche attraverso documenti e comunicazioni scritte da parte del titolare.

Incaricati del trattamento: la normativa di riferimento

  • D.lgs. 101 del 10 agosto 2018  “Capo IV – Disposizioni relative al titolare del trattamento e al responsabile del trattamento” art. 2 – quaterdecies (Attribuzioni di funzioni e compiti a soggetti designati):
  1. Comma 1. Il titolare o responsabile del trattamento possono prevedere, sotto la propria responsabilità e nell’ambito del proprio assetto organizzativo, che specifici compiti e funzioni connessi al trattamento di dati personali siano attribuiti a persone fisiche, espressamente designate, che operano sotto la loro autorità.
  2. Comma 2. Il titolare o il responsabile del trattamento individuano le modalità più opportune per autorizzare al trattamento dei dati personali le persone che operano sotto la propria autorità diretta.
  • Regolamento Europeo 679/2016 “Capo IV – Titolare del trattamento e responsabile del trattamento”, art. 29 (Trattamento sotto l’autorità del titolare del trattamento o del responsabile del trattamento):
  1. Il responsabile del trattamento, o chiunque agisca sotto la sua autorità o sotto quella del titolare del trattamento, che abbia accesso a dati personali non può trattare tali dati se non è istruito in tal senso dal titolare del trattamento, salvo che lo richieda il diritto dell’Unione o degli Stati membri.
  • Regolamento Europeo 679/2016 Considerando 81 :
  1. (81) Per garantire che siano rispettate le prescrizioni del presente regolamento riguardo al trattamento che il responsabile del trattamento deve eseguire per conto del titolare del trattamento, quando affida delle attività di trattamento a un responsabile del trattamento il titolare del trattamento dovrebbe ricorrere unicamente a responsabili del trattamento che presentino garanzie sufficienti, in particolare in termini di conoscenza specialistica, affidabilità e risorse, per mettere in atto misure tecniche e organizzative che soddisfino i requisiti del presente regolamento, anche per la sicurezza del trattamento. L’applicazione da parte del responsabile del trattamento di un codice di condotta approvato o di un meccanismo di certificazione approvato può essere utilizzata come elemento per dimostrare il rispetto degli obblighi da parte del titolare del trattamento. L’esecuzione dei trattamenti da parte di un responsabile del trattamento dovrebbe essere disciplinata da un contratto o da altro atto giuridico a norma del diritto dell’Unione o degli Stati membri che vincoli il responsabile del trattamento al titolare del trattamento, in cui siano stipulati la materia disciplinata e la durata del trattamento, la natura e le finalità del trattamento, il tipo di dati personali e le categorie di interessati, tenendo conto dei compiti e responsabilità specifici del responsabile del trattamento nel contesto del trattamento da eseguire e del rischio in relazione ai diritti e alle libertà dell’interessato. Il titolare del trattamento e il responsabile del trattamento possono scegliere di usare un contratto individuale o clausole contrattuali tipo che sono adottate direttamente dalla Commissione oppure da un’autorità di controllo in conformità del meccanismo di coerenza e successivamente dalla Commissione. Dopo il completamento del trattamento per conto del titolare del trattamento, il responsabile del trattamento dovrebbe, a scelta del titolare del trattamento, restituire o cancellare i dati personali salvo che il diritto dell’Unione o degli Stati membri cui è soggetto il responsabile del trattamento prescriva la conservazione dei dati personali.
  • Regolamento Europeo 679/2016 “CAPO IV – Titolare del trattamento e responsabile del trattamento”, art. 24 (Responsabilità del titolare del trattamento):
  1. Tenuto conto della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, nonché dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche, il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al presente regolamento. Dette misure sono riesaminate e aggiornate qualora necessario.
  2. Se ciò è proporzionato rispetto alle attività di trattamento, le misure di cui al paragrafo 1 includono l’attuazione di politiche adeguate in materia di protezione dei dati da parte del titolare del trattamento.
  3. L’adesione ai codici di condotta di cui all’articolo 40 o a un meccanismo di certificazione di cui all’articolo 42 può essere utilizzata come elemento per dimostrare il rispetto degli obblighi del titolare del trattamento

È chiaro quindi che è in capo al titolare infatti ogni responsabilità in merito alla corretta istruzione degli incaricati nel trattamento dei dati.

Come poter mettere in atto politiche adeguate e misure tecniche e organizzative a comprovare la corretta conformità dei trattamenti quando essi sono delegati ad incaricati? Una buona pratica di condotta del titolare è utilizzare strumenti tali per cui sia dimostrabile che l’incaricato abbia ricevuto tutte le disposizioni necessarie a trattare i dati secondo GDPR.

Innanzitutto è necessario che il titolare del trattamento attraverso una corretta redazione del registro dei trattamenti individui quali siano quei trattamenti delegati all’incaricato, per quali finalità, per quanto tempo e indicare all’interno di un documento di delega tutte queste informazioni.

Ma non solo, è necessario che all’interno di tale documento siano anche contemplate le modalità di trattamento in termini di riservatezza, sicurezza e comportamento che deve tenere l’interessato durante tutto lo svolgimento della sua mansione e anche dopo.

Documento di delega al trattamento

Questo documento è consigliabile che contenga un minimo di informazioni e riferimenti, un esempio di contenuto lo troviamo nei seguenti punti:

  • elenco dei compiti assegnati all’incaricato;
  • vincoli di riservatezza, limitazioni di accesso e divieti di comunicazione e/o diffusione;
  • obblighi di comportamento in termini di sicurezza secondo policy di sicurezza;
  • modalità di comportamento in caso di incidenti di sicurezza che coinvolgano dati personali o particolari;
  • modalità di raccolta, registrazione e conservazione dei dati sia cartacei che su supporto informatico;
  • rispetto dei limiti imposti secondo le finalità del trattamento e rispetto alle proprie mansioni;
  • comportamento dell’interessato in caso di modifica dell’incarico o cessazione del rapporto;
  • riferimenti normativi e obblighi di legge al quale sottostare;
  • firma per accettazione dell’incarico e clausole espresse;
  • elenco dei permessi relativi ai trattamenti aziendali elettronici e cartacei in capo all’interessato con eventuale espressa limitazione in caso di cancellazione, modifica e distruzione.

Mansionario per gli incaricati del trattamento

Altro strumento utile a creare un perimetro delimitato nel trattamento dei dati è la redazione di un mansionario per l’incaricato. All’interno del mansionario sarà utile andare ad indicare:

  • norme comportamentali;
  • riferimenti normativi a cui deve sottostare;
  • le istruzioni da parte del titolare del trattamento;
  • altre possibili clausole comportamentali in base alla policy aziendale.

Policy di sicurezza

Attraverso una policy di sicurezza sarà possibile dare regole chiare e limitazioni alle azioni anche dannose che gli incaricati spesso attuano anche in modo inconsapevole. È indispensabile quindi inserire all’interno della policy di sicurezza le regole di sicurezza per password, connessioni e utilizzo degli apparecchi mobili nonché delle infrastrutture aziendali.

Nella policy di sicurezza, da far firmare all’incaricato, è opportuno inserire le regole riguardanti l’utilizzo della posta elettronica aziendale, soprattutto in termini di possesso.

La posta elettronica è dell’azienda e il suo uso deve essere limitato alle funzioni che l’incaricato ha all’interno della stessa, anche se spesso sembra scordarlo. Per tali motivi quindi sconsigliabile permettere un uso promiscuo di un’email aziendale e anche inibire la possibilità di registrarsi attraverso la stessa su siti o a newsletters non autorizzate dal titolare al fine di diminuire le possibilità che le stesse finiscano in database utilizzati in modi non del tutto leciti o non sicuri e possibili soggetti a furti.

La normativa impone che i dati vengano trattati secondo sicurezza adeguata. I richiami alla sicurezza all’interno del nuovo Codice Privacy italiano e Regolamento europeo sono molteplici, all’art 32 “Sicurezza del trattamento” troviamo un indice analitico delle procedure minime da mettere in atto:

  • Tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, che comprendono, tra le altre, se del caso: a) la pseudonimizzazione e la cifratura dei dati personali; b) la capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento; c) la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico; d) una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.
  • Nel valutare l’adeguato livello di sicurezza, si tiene conto in special modo dei rischi presentati dal trattamento che derivano in particolare dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall’accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque trattati.
  • L’adesione a un codice di condotta approvato di cui all’articolo 40 o a un meccanismo di certificazione approvato di cui all’articolo 42 può essere utilizzata come elemento per dimostrare la conformità ai requisiti di cui al paragrafo 1 del presente articolo. 4. Il titolare del trattamento e il responsabile del trattamento fanno sì che chiunque agisca sotto la loro autorità e abbia accesso a dati personali non tratti tali dati se non è istruito in tal senso dal titolare del trattamento, salvo che lo richieda il diritto dell’Unione o degli Stati membri.
  • Considerando 83: Per mantenere la sicurezza e prevenire trattamenti in violazione al presente regolamento, il titolare del trattamento o il responsabile del trattamento dovrebbe valutare i rischi inerenti al trattamento e attuare misure per limitare tali rischi, quali la cifratura. Tali misure dovrebbero assicurare un adeguato livello di sicurezza, inclusa la riservatezza, tenuto conto dello stato dell’arte e dei costi di attuazione rispetto ai rischi che presentano i trattamenti e alla natura dei dati personali da proteggere. Nella valutazione del rischio per la sicurezza dei dati è opportuno tenere in considerazione i rischi presentati dal trattamento dei dati personali, come la distruzione accidentale o illegale, la perdita, la modifica, la rivelazione o l’accesso non autorizzati a dati personali trasmessi, conservati o comunque elaborati, che potrebbero cagionare in particolare un danno fisico, materiale o immateriale.

Nella policy di sicurezza quindi l’azienda può inserire tutte quelle disposizioni che ritiene necessarie al fine di garantire la tutela dei dati.

Oltre ai riferimenti già dati ci sono diverse norme UNI a cui poter far riferimento. È consigliabile soprattutto inserire una apposita sezione per quel che riguarda i dispositivi non di proprietà dell’azienda, quando e se sia possibile introdurli all’interno dei luoghi di lavoro, specificando dettagliatamente limitazioni e condotta del proprietario.

WHITEPAPER
Cybersecurity: come superare le vulnerabilità delle tecniche di Intelligenza Artificiale
Sicurezza
Sicurezza

L’introduzione di dispositivi esterni provoca sempre un aumento del rischio in termini assoluti. Consiglio di valutare la possibilità di impedirne l’introduzione quando non siano indispensabili all’operatività aziendale.

@RIPRODUZIONE RISERVATA