Primo passo: organigramma e nomine

Innanzi tutto, appare logico creare a mantenere aggiornato un organigramma privacy che consenta immediatamente a chi effettua il controllo di percepire quali sono stati i criteri di individuazione dei ruoli assegnati sotto il profilo privacy, all’interno della realtà aziendale o della pubblica amministrazione.

Tale documento consente di dare una visione immediata circa l’attribuzione delle nomine e delle autorizzazioni che dovranno essere esibite. La normativa prevede che all’interno di tali nomine siano dettagliate le istruzioni a cui dovranno attenersi i soggetti destinatari. Le istruzioni debbono ovviamente essere proporzionate alle competenze ed all’incidenza che possono avere sul trattamento dei dati: dall’attuazione delle misure organizzative relative alle proprie mansioni all’interno della struttura rispetto alla protezione del dato, alle misure di sicurezza che devono adottare affinché tali dati non subiscano violazioni, sino ad arrivare all’interazione con eventuali figure connesse al tema privacy – quali il Data Protection Officer – piuttosto che a quello della compliance.

Importanza della formazione

Teniamo ben presente che il controllo non si basa su una mera esibizione documentale: al contrario intende recepire in modo approfondito e veritiero come ai soggetti che operano all’interno dell’alveo delle attività del titolare siano state sia formalizzate che esplicitate in modo pratico tali istruzioni.

Difatti un tema di particolare interesse che durante le ispezioni sembra emergere è proprio quello della formazione: da non intendersi come una mera e passiva attività nella quale si vadano ad elencare gli obblighi privacy, ma al contrario un percorso focalizzato e rapportato al core business rispetto ai dati trattati. È percepibile come chi si occupa di dati del personale non possa ricevere la medesima formazione in materia di privacy rispetto a chi ha competenze in materia di marketing o agli specialisti dei sistemi informativi. Su tutti questi soggetti dovranno essere applicati dei criteri formativi differenziati per poter rendere effettiva la comprensione della normativa privacy e la loro applicazione a tutela dei dati.

Compliance dei fornitori

Oltre ai soggetti interni ovviamente dobbiamo far riferimento anche a quelle persone giuridiche e fisiche che operano sui dati e ne devono garantire la tutela fuori dal perimetro operativo del titolare. Con riferimento a questi occorre precisare che il Regolamento Europeo per la Protezione dei dati personali impone la formalizzazione dei rapporti sotto il profilo privacy attraverso specifici contratti o comunque atti giuridici in grado di poter definire i compiti e le responsabilità di ciascun soggetto rispetto alla gestione del dato.

Tra questi soggetti si richiamano non solo coloro che operano con riferimento ai sistemi informativi (ad esempio chi si occupa di cloud, di amministrazione del sistema, di manutenzione correttiva piuttosto che di data entry), ma anche quei soggetti che si interfacciano con altre direzioni (pensiamo a coloro che possono trattare dati dei dipendenti in sede formativa o che organizzano eventi e gestiscono banche dati per conto del Titolare del trattamento). Su questi soggetti terzi occorre prestare attenzione per prevenire sanzioni in occasione dell’Ispezione.

Difatti, non è sufficiente contrattualizzare il loro ruolo, ma occorre altresì dimostrare i criteri di selezione sotto il profilo della valutazione privacy e successivamente effettuare il controllo come previsto dall’articolo 28 del Regolamento Europeo per la Protezione dei dati personali.

Quest’ultimo obbligo normativo è uno di quelli spesso disattesi: da una parte per la difficoltà oggettiva di effettuare un controllo di conformità alle istruzioni verso tutti i fornitori nominati, soprattutto in realtà molto articolate, e dall’altra perché spesso si presume di poter effettuare degli audit in modalità standard anche per soggetti terzi estremamente diversi vanificando quella che è la ratio dell’articolo 28 che prevede una verticalizzazione del controllo sulla base delle competenze del soggetto terzo.

In caso di omissione di audit vi è una responsabilità diretta del Titolare del trattamento: su questo fronte sia il Data Protection Officer che i referenti privacy dovrebbero promuovere maggior sensibilizzazione verso i titolari del trattamento che spesso ignorano questo obbligo normativo ritenendo concludersi gli oneri legati a soggetti terzi semplicemente con l’adozione di documenti. In realtà la violazione comporta sanzioni proporzionate al fatturato aziendale.

Teniamo dunque ben presente che i controlli del Garante sono estremamente concreti: non si fermano ad una mera richiesta di esibizione documentale, ma entrano nel merito delle scelte operate e della loro dimostrabilità.

24/04/2022