L'approfondimento

Modello privacy interno, strumento di accountability: che cos’è e come si realizza

Nell’ottica di adeguamento aziendale al GDPR, è fondamentale dimostrare che si è proceduto ad attuare misure tecniche ed organizzative necessarie alla protezione dei dati. In aiuto del Titolare del trattamento un utile strumento è il Modello organizzativo Privacy interno

26 Ago 2019
C
Marco Cassaro

Senior Advisory Risk & Compliance


Chi si occupa di Privacy sa che il concetto di “misure tecniche ed organizzative” è molto caro al Legislatore e di fatto tale termine può essere facilmente ritrovato sia all’interno del Regolamento Ue 679/2016 cd. GDPR sia all’interno del D.Lgs. 101/2018.

La formalizzazione di un Modello organizzativo privacy interno pertinente ed adeguato è certamente uno degli strumenti che il Titolare del trattamento può validamente utilizzare per dimostrare, in un’ottica di accountability, di aver adottato misure tecniche ed organizzative adeguate a norma dell’art. 24 del GDOR; modello organizzativo che dovrà in ogni caso essere pertinente, adeguato ed efficace.

Come costruire il Modello Privacy Interno

Riuscire a elencare in modo esaustivo le misure tecniche ed organizzative che il Titolare a norma dell’art. 24 del Regolamento Ue 679/2016 cd. GDPR deve adottare per poter dimostrare di essersi responsabilizzato, è certamente un’ardua impresa. Sicuramente la realizzazione di quello che potremmo definire come “Modello organizzativo Privacy” rientra all’interno di quella lunga lista di accountability che ciascuna Società oggi è chiamata a rispettare al fine di gestire in modo corretto e tempestivo le problematiche legate alla tutela e protezione del dato.

Abbiamo già avuto modo di parlare in parte del Modello Organizzativo Privacy Esterno e più nello specifico di quali siano i principali accorgimenti nella gestione del Responsabile al trattamento del dato, ex art. 28 del GDPR, ma il GDPR, così come anche il D.Lgs 101/2018 introducono all’interno del nuovo sistema di tutela e protezione del dato altrettante figure “interne” che si ritiene debbano essere inquadrate ed istruite nel modo corretto. Ovviamente come molto spesso avviene quando si affronta una disciplina innovativa e ricca di contenuti, adattabile in modo trasversale a qualsiasi tipo di impresa, trova spazio ed applicazione quell’opera inventiva e complementare da parte di consulenti ed addetti ai lavori volta a colmare dubbi e/o lacune. Ed ecco quindi che alle canoniche ed ufficializzate figure del Titolare al trattamento, del Responsabile al trattamento, degli Autorizzati al trattamento e del Responsabile della Protezione dei dati nascono Privacy Expert, Referenti Privacy, Delegati Privacy e chi più ne ha più ne metta.

Tuttavia, riprendendo quanto citato all’interno del De regulis iuris cioè “Plus semper in se continet quod est minus” che esprime un criterio quantitativo e non qualitativo, è importante sottolineare che al fine di poter adottare una struttura che funge da presidio per la gestione della moltitudine di eventi negativi che possono intaccare l’integrità del titolare del trattamento (i.e. richieste esercizio dei diritti, violazione dei dati, flussi comunicativi idonei per la gestione dell’aggiornamento dei Registri delle attività di trattamento, problematiche legate alla corretta gestione del principio di privacy by design e by default) così come anche per promuovere la tutela del dato, è necessaria l’adozione di un sistema che ancora una volta vada incontro ai requisiti di adeguatezza pertinenza ed efficacia, elementi che mutatis mutandis non si discostano molto da quelli richiesti per l’elaborazione di un Modello Organizzativo 231 efficace e richiamati all’interno dei “Principi consolidati per la redazione dei modelli organizzativi e l’attività dell’organismo di vigilanza, prospettive di revisione del d.lgs. 8 giugno 2001 n.231″ del CNDCEC.

I requisiti del Modello privacy interno

Ciò posto e volendo ricordare alcuni principi utili e preliminari per la costruzione del Modello si ricorda che lo stesso dovrà attenersi a requisiti di:

  • Specificità e pertinenza: dovrà cioè aver riguardo delle caratteristiche organizzative tipiche della realtà nel quale verrà inquadrato, valutando anche gli aspetti concernenti l’appartenenza ad un Gruppo le risorse a disposizione ed il core business dell’azienda;
  • Adeguatezza: dovrà dimostrare la sua reale capacità di gestire e prevenire i comportamenti negativi strettamente legati alla tutela e protezione del dato;
  • Attuabilità: è essenziale che quanto elaborato sia effettivamente e concretamente attuabile in riferimento alla struttura della società e dei suoi processi operativi. Non serve certamente a nulla un modello formalmente perfetto ma sostanzialmente non applicabile;
  • Efficacia: dovrà essere in grado di soddisfare le esigenze per le quali è stato creato.

Valutazioni preliminari

La costruzione di un modello che possa essere considerato idoneo e che possa rispettare i principi sopra richiamati rappresenta un procedimento complesso, che richiede diverse attività e valutazioni, le quali dovranno essere svolte tenendo conto degli obiettivi di tutela e protezione del dato nonché della complessità aziendale nel quale si opera. Lo svolgimento delle attività per la scelta del modello privacy più adatto si fondano in maniera consistente su principi generali di corporate governance e di risk assessment, dove la fase iniziale di valutazione dello stato as-is assume un ruolo rilevante.

FORUM PA 6 - 11 LUGLIO
Costruire la fiducia digitale: cybersecurity e privacy
Network Security
Privacy

Pertanto, si dovrà preliminarmente provvedere ad una valutazione dello stato as-is dell’azienda andando a valutare:

  • la documentazione rappresentativa e descrittiva della struttura organizzativa del Titolare del trattamento, della corporate governance, dei dati dimensionali, del tipo di attività svolta e delle aree di business;
  • nel caso di Gruppi Societari, informazioni e documenti che precisino il ruolo della Società nell’ambito del Gruppo e i rapporti della medesima Società con le altre entità legali, soprattutto per i processi impattati dal punto di vista della tutela e protezione del dato;
  • la presenza di contratti che regolino i rapporti intragruppo e le responsabilità di ogni compagine societaria al fine di correttamente avere una visione d’insieme dell’assetto global;
  • il Registro delle attività di trattamento redatto ex art. 30 del GDPR al fine di valutare la mole di dati trattati, la tipologia di interessati ed eventuali finalità che richiedono per loro natura un presidio forte.

Si ricorda che per tale scopo è opportuno che le sessioni di lavoro ed i risultati dell’assessment siano tracciate e condivise con il vertice gerarchico aziendale.

L’inquadramento organizzativo

Lungi dal fornire un modello valido ed esaustivo per tutti e richiamando ancora una volta i principi di adeguatezza e pertinenza ritengo utile provare ad ipotizzare una struttura semplice di gestione della tutela e protezione del dato che potremmo considerare come base di partenza per qualsiasi tipo di impresa. Partendo dalle prime linee si avrebbero tutti i soggetti dipendenti della Società in qualità di autorizzati al trattamento; soggetti che come vedremo, insieme a tutti gli altri, devono essere istruiti e formati in modo adeguato; non una singola volta valida ab infinutum ma in modo specifico mirato a seconda delle esigenze e degli eventi.

Tale figura è espressamente prevista da norma (cfr. art. 2 quaterdecies del D.Lgs 101/2018 così come anche art. 29 del GDPR) e si ritiene opportuno che venga formalmente inquadra tramite apposite lettere di nomina. Le suddette nomine, al fine di soddisfare il criterio sancito dall’art. 29 del GDPR secondo cui non si possa avere accesso a dati personali e quindi non si possa trattarli se non adeguamente istruiti, dovranno contenere specifiche indicazione in relazione a:

  • tipologie di attività di trattamento svolte (cfr. art. 4 (2) del GDPR) per ciascuna unità organizzativa di riferimento, facendo se del caso richiamo al relativo Registro delle attività di trattamento redatto ex art. 30 del GDPR;
  • tipologia di dati trattati;
  • tipologia di applicativi utilizzati per le attività di trattamento;
  • regole di comportamento;
  • flussi informativi verso ulteriori soggetti designati ma più in generale verso il Responsabile della Protezione dati, se previsto, e verso il Titolare del trattamento.

Proseguendo verso il top management si potranno avere eventuali soggetti di middle management (cd. Referenti Privacy o Privacy Specialist o Privacy Expert) che fungono da punto di raccordo tra i soggetti autorizzati ed i vertici più alti del Modello Organizzativo Privacy (i.e. il DPO e il Titolare del Trattamento). In tale ipotesi, ed inquadrando i “Referenti Privacy” come i soggetti capi area delle singole unità organizzative, sarà fondamentale che anche i medesimi ricevano le relative istruzioni con un particolare riferimento alla posizione ricoperta i.e. raccordo con i vertici e con una maggiore sottolineatura della sensibilità che gli stessi dovranno avere in materia di tutela e protezione del dato. Infine, in un’ottica di raggiungibilità del Titolare del trattamento, che molto spesso si inquadra nella persona giuridica non di facile e di immediato coinvolgimento, è auspicabile in realtà più o meno complesse, insignire un soggetto delegato dal Titolare del trattamento il quale funga da punto di gestione e rappresentanza anche in materia di Privacy.

Il Delegato privacy

Lo stesso definibile come “Delegato Privacy” o “Rappresentante legale Privacy” dovrà essere in ogni caso designato con apposita nomina, contenente gli ambiti di gestione ed i poteri di esercizio, e farsi baluardo insieme al DPO della corretta gestione ed osservanza delle diposizioni in materia di tutela e protezione del dato. Ovviamente la struttura organizzativa elaborata potrà subire più o meno significative variazioni a seconda:

  • delle risorse economiche a disposizione;
  • della complessità della struttura in cui si opera;
  • della nomina o meno del DPO (si ricorda sul punto che benchè lo stesso non sia sempre obbligatorio rappresenta uno dei molti presidi a tutela della protezione del dato e pertanto consigliato);
  • della nomina di un DPO interno o esterno (nel caso di DPO esterno sarebbe opportuno prevedere quello che si potrebbe definire come Referente DPO, cioè una figura interna in grado di veicolare verso l’esterno le richieste di consulto o chiarimento da parte dei dipendenti provenienti dai diversi punti della struttura societaria e verso l’interno le prescrizioni fornite dal Responsabile della Protezione dei dati);
  • della nomina di un DPO di gruppo;
  • del quantitativo di problematiche riscontrate in materia di tutela e protezione del dato.

Inoltre, si ricorda che la formalizzazione di nomine e l’individuazione di soggetti non espressamente richiamati dalla normativa fa parte di quel grande progetto di coerenza, verificabilità e presidio che la normativa richiede. Pertanto, è auspicabile che qualsiasi decisione si prenda venga corroborata da valutazioni e scelte coerenti.

Formazione ed istruzione

Tutto quanto fin qui detto non potrà certamente soddisfare i principi generali di redazione se non supportato da forti e concrete sessioni di formazione. Il processo di formazione, oltre ad essere richiamato in più riprese all’interno del GDPR e del D.Lgs 101/2018 costituisce un aspetto di rilevante importanza ai fini della corretta gestione e realizzazione del Modello privacy interno. Non vi può essere istruzione senza un’adeguata formazione e non vi può essere responsabilizzazione senza edurre chi di dovere ai principi della normativa applicabile.

Pertanto, si ritiene che:

  • in primo luogo, debba essere garantita un’ampia base solida di formazione obbligatoria erogata anche con modalità informatiche, che contestualmente alla diffusione della conoscenza dei principi generali di tutela e protezione del dato lasci spazio ad una fase di concreta applicazione dei processi elaborati e del ruolo che ciascun soggetto andrà a ricoprire all’interno del Modello;
  • in secondo luogo, ci debba essere la diffusione e/o la pubblicazione, sull’intranet aziendale o comunque internamente, delle Policy e Procedure in materia e di tutta la documentazione elaborata al fine che la stessa sia liberamente fruibili e visionabile da tutti i soggetti dipendenti.

Si segnala che, considerando la privacy un ambito mutevole ed oggetto di continue integrazioni e/o variazione, in seguito alla definizione delle procedure e delle variazioni che compongono il Modello Privacy, sarà necessario effettuare riunioni informative/formative o in alternativa appositi ordini di servizio, nell’ambito delle quali comunicare a tutti i destinatari quanto ritenuto necessario e rilevante. L’attività di formazione dovrebbe essere personalizzata e differenziata in base al ruolo dei fruitori all’interno del Modello organizzativo privacy, a seconda che essi siano o meno coinvolti in processi di trattamento di dati particolari o assumano la figura di presidio e di controllo nei confronti dei soggetti autorizzati.

Conclusioni

Riportando il pensiero secondo cui “nella privacy copiare non giova”, si ricorda, per concludere, che il modello organizzativo privacy adottato dall’ipotetica Società Alfa non è detto che calzi a pennello anche per la Società Beta così come anche la gestione della tutela e protezione del dato non è un insieme di soluzioni posticce ma un’attenta analisi di rischi ed opportunità, problemi e soluzioni dove la componente specialistica e di professionalità degli addetti ai lavori ha un ruolo fondamentale.

L’accountability del Titolare si giocherà sulla verificabilità ed efficienza delle soluzioni adottate e sul potere concesso al Data subject di riprendere il controllo dei propri dati personali.

WHITEPAPER
Sicurezza: perchè puntare su un approccio zero trust?
Sicurezza
Sicurezza dei dati

@RIPRODUZIONE RISERVATA

Articolo 1 di 2