B&P Partners Avvocati
B&P Partners Avvocati   

Contatti

Studio Reggio Emilia (RE)

 

Via Pier Carlo Cadoppi nr. 8
Reggio Emilia (RE)

 

Linea 1 - 0522/506307

Linea 2 - 0522/230274

Fax - 0522/1501204

Cell - 351-1138116

 

Studio Parma (PR) presso lo studio degli Avv.ti Mattia Minardi e Lara Tedaldi

 

Borgo Bruno Longhi 4

Parma 

 

Cell - 351-1138116 

 

Orari di apertura

Da Lunedì a Venerdì dalle 9.00 alle 13.00 e dalle 14.30 alle 18.30.

 

Per appuntamenti chiamare lo studio ai recapiti indicati negli orari di ufficio.

 

E-mail:

info@studiolegaleavvbaroni.it

consulenzaprivacy@asplex.it

 

Pec: clementina.baroni@ordineavvo

catireggioemilia.it

 

https://www.asplex.it/Il-team/avv-clementina-baroni/

 

In collaborazione con 

B&P Solution srl

 

www.bepsolution.it

Articolo del 07.11.2019 scritto dall'Avv. Clementina Baroni e pubblicato sul sito www.cybersecurity360.it e reperibile al seguente link:

https://www.cybersecurity360.it/legal/privacy-dati-personali/regolamento-sulluso-degli-strumenti-informatici-aziendali-ecco-come-redigerlo-a-norma-gdpr/

 

Regolamento sull’uso degli strumenti informatici aziendali: ecco come redigerlo a norma GDPR

 

È importante che le aziende adottino un regolamento interno sull’uso degli strumenti informatici utilizzati dai lavoratori e il cui scopo è quello di dettare le procedure per una corretta e adeguata gestione del patrimonio informativo aziendale. Ecco i consigli per redarlo nel rispetto delle normative vigenti

 

Il regolamento sull’uso degli strumenti informatici aziendali ha lo scopo di dettare la procedura per una corretta e adeguata gestione delle informazioni. Detto regolamento va illustrato e spiegato ai dipendenti nonché a tutti coloro che sono incaricati a trattare i dati.

Anche il Garante per la protezione dei dati personali raccomanda l’adozione da parte dei datori di lavoro pubblici e privati di un regolamento interno, definito con il coinvolgimento delle rappresentanze sindacali e nel rispetto della Legge 20.05.1970, n. 300 (Statuto dei lavoratori), del Regolamento (UE) n. 2016/679 (GDPR) e del Decreto Legislativo 30.06.2003, n. 196 (Codice in materia di protezione dei dati personali).

Nel regolamento è necessario specificare che tutti gli strumenti utilizzati dal lavoratore, quali PC, notebook, tablet, smartphone, e-mail ed altri strumenti (di seguito più semplicemente “strumenti informatici”), sono messi a disposizione dall’Ente unicamente per svolgere la propria attività lavorativa.

Nell’utilizzare gli strumenti informatici messi a disposizione dall’azienda il dipendente è tenuto ad usare la massima diligenza, nel rispetto degli obblighi di cui agli articoli 2104 e 2105 del codice civile, utilizzandoli esclusivamente per ragioni di servizio.

Comportamenti difformi possono causare gravi rischi alla sicurezza ed all’integrità dei sistemi aziendali e possono essere oggetto di valutazione da un punto di vista disciplinare oltre che da un punto di vista penale.

L’azienda è tenuta a garantire a tutti i soggetti autorizzati a trattare i dati un’adeguata e continuativa formazione in merito ai rischi e alle problematiche relative alla sicurezza in materia di trattamento dei dati tramite l’utilizzo degli strumenti informatici.

Occorre lasciare sempre traccia di tutto quello che si va a fare tenendo un registro in cui si annotano, di volta in volta, le attività oggetto di formazione e di informazione.

Occorre poi fornire agli incaricati copia del regolamento e/o pubblicarlo sulla bacheca aziendale se presente. Ogni dipendente e collaboratore è tenuto a rispettare il regolamento sull’uso degli strumenti informatici aziendali e deve sottoscriverlo per accettazione di ogni norma in esso contenuta.

Occorre, infine, precisare che non sono installati o configurati sui sistemi informatici in uso agli utenti apparati hardware o strumenti software aventi come scopo il controllo a distanza dell’attività dei lavoratori o se questi controlli vengono effettuati indicare le modalità con cui verranno svolti in modo che i dipendenti siano sempre informati.

Indice degli argomenti

Regolamento sull’uso degli strumenti informatici aziendali: il contenuto

In primis occorre fare riferimento alle norme nonché ai provvedimenti principali in tema di strumenti informatici quali:

  1. la Legge 20.5.1970, n. 300, recante “Norme sulla tutela della libertà e dignità dei lavoratori, della libertà sindacale e dell’attività sindacale nei luoghi di lavoro e norme sul collocamento”; in particolare l’art. 4, comma 1, della Legge 300/1970, secondo cui la regolamentazione dell’uso degli strumenti informatici non è finalizzata all’esercizio di un controllo a distanza dei lavoratori da parte del datore di lavoro ma solo a permettere a quest’ultimo di utilizzare sistemi informativi per fare fronte ad esigenze produttive od organizzative e di sicurezza nel trattamento dei dati personali;
  2. il Regolamento Europeo 679/16 “General Data Protection Regulation” (d’ora in avanti Reg. 679/16 o GDPR); in particolare viene garantito al singolo lavoratore il controllo sui propri dati personali secondo quanto previsto dagli articoli 15-16-17-18-20-21-77 del Reg. 2016/679;
  3. le “Linee guida del Garante per posta elettronica e internet” in Gazzetta Ufficiale n. 58 del 10 marzo 2007;
  4. l’articolo 23 del D.lgs. n. 151/2015 (c.d. Jobs Act) che modifica e rimodula la fattispecie integrante il divieto dei controlli a distanza, nella consapevolezza di dover tener conto, nell’attuale contesto produttivo, oltre agli impianti audiovisivi, anche degli altri strumenti «dai quali derivi anche la possibilità di controllo a distanza dell’attività dei lavoratori» e di quelli «utilizzati dal lavoratore per rendere la prestazione lavorativa».

È quindi importante evidenziare le regole per l’utilizzo degli strumenti elettronici (in particolare l’uso dei PC e della posta elettronica).

Il primo concetto da far passare (in modo chiaro, preciso e puntuale) è che tutti gli strumenti informatici affidati ai dipendenti, compreso il PC, sono strumenti di lavoro. Ogni utilizzo non inerente all’attività lavorativa può contribuire ad innescare disservizi, costi di manutenzione e, soprattutto, minacce alla sicurezza.

Occorre che il dipendente/incaricato sia ben consapevole che gli Strumenti forniti sono di proprietà dell’Ente e devono essere utilizzati esclusivamente per rendere la prestazione lavorativa.

 

Le regole da indicare (senza pretesa di esaustività) possono essere le seguenti:

  1. non è consentito installare autonomamente programmi provenienti dall’esterno salvo previa autorizzazione esplicita dell’amministratore di sistema, in quanto sussiste il grave pericolo di portare virus e di creare rischi seri per la sicurezza informatica.
  2. non è consentito l’uso di programmi diversi da quelli distribuiti ed installati ufficialmente dal responsabile dei sistemi informatici. L’inosservanza di questa disposizione, infatti, oltre al rischio di danneggiamenti del sistema per incompatibilità con il software esistente, può esporre l’azienda a gravi responsabilità civili ed anche penali in caso di violazione della normativa a tutela dei diritti d’autore sul software.
  3. non è consentito all’utente modificare le caratteristiche impostate sul proprio PC, salvo previa autorizzazione esplicita dell’amministratore di sistema. Il personal computer, inoltre, deve essere spento ogni sera prima di lasciare gli uffici o in caso di assenze prolungate dall’ufficio.
  4. non è consentita l’installazione sul proprio PC di nessun dispositivo di memorizzazione, comunicazione o altro (come ad esempio masterizzatori, modem, ecc…), se non con l’autorizzazione espressa dell’amministratore di sistema. A tal proposito sarebbe altamente consigliato per l’azienda impedire la possibilità per i dipendenti /incaricati di poter salvare i dati e portarli all’esterno bloccando, per esempio, gli accessi alle usb o adottando procedure analoghe.
  5. l’accesso agli strumenti è protetto da password; per l’accesso devono essere utilizzati Username e password assegnate dall’Amministratore di Sistema. A tal proposito si rammenta che essi sono strettamente personali e l’utente è tenuto a conservarli nella massima segretezza. Certamente non con post-it attaccati al PC. A tal proposito è bene responsabilizzare i dipendenti sulle conseguenze di detto comportamento “apparentemente innocuo” e sulle responsabilità che ne derivano.

Occorre ben specificare che i log relativi all’utilizzo di strumenti, reperibili nella memoria degli Strumenti stessi ovvero sui server o sui router, nonché i file con essi trattati sono registrati e possono essere oggetto di controllo da parte del titolare del trattamento, attraverso l’amministratore di sistema, per esigenze organizzative e produttive, per la sicurezza del lavoro e per la tutela del patrimonio.

I controlli potranno avvenire secondo le modalità previste dal regolamento ed andranno ben illustrati ai dipendenti/incaricati.

Regolamento sull’uso degli strumenti informatici aziendali: la posta elettronica

Ciascun dipendente/collaboratore si deve attenere alle regole di utilizzo dell’indirizzo di posta elettronica previste dal regolamento sull’uso degli strumenti informatici aziendali.

Occorre precisare che la casella di posta, assegnata dall’azienda all’utente, è uno strumento di lavoro. Le persone assegnatarie delle caselle di posta elettronica sono responsabili del corretto utilizzo delle stesse. Ad ogni utente viene fornito un account e-mail nominativo quale nome.cognome@dominio dell’azienda.

L’utilizzo dell’e-mail deve essere limitato esclusivamente per scopi lavorativi, ed è assolutamente vietato ogni utilizzo di tipo privato. L’utente a cui è assegnata una casella di posta elettronica è responsabile del corretto utilizzo della stessa.

È preferibile che l’azienda fornisca caselle di posta elettronica associate a gruppi di lavoro e/o unità operative invece che mail nominative. Questo per evitare che i singoli soggetti mantengano l’esclusività su dati.

In ogni caso sarebbe bene precisare che la “personalizzazione” dell’indirizzo non comporta il suo carattere “privato”, in quanto trattasi di strumenti di esclusiva proprietà aziendale, messi a disposizione del dipendente al solo fine dello svolgimento delle proprie mansioni lavorative.

Nei messaggi inviati tramite posta elettronica aziendale (di servizio e/o nominative) verrà accluso il seguente testo: “Si segnala che il presente messaggio e le risposte allo stesso potranno essere conosciute dall’organizzazione lavorativa di appartenenza del mittente secondo le modalità previste dal regolamento Aziendale adottato in materia. Se per un disguido avete ricevuto questa e-mail senza esserne i destinatari vogliate cortesemente distruggerla e darne informazione all’indirizzo mittente”.

È bene insistere sul divieto di utilizzare la caselle di posta elettronica aziendale per l’invio di messaggi personali o per la partecipazione a dibattiti, forum o mail-list salvo diversa ed esplicita autorizzazione.

È buona norma evitare messaggi completamente estranei al rapporto di lavoro o alle relazioni tra colleghi. La casella di posta deve essere mantenuta in ordine, cancellando documenti inutili e soprattutto allegati ingombranti.

È obbligatorio controllare i file allegati di posta elettronica prima del loro utilizzo. In particolare, si deve evitare, secondo le regole di buona diligenza, l’apertura e la lettura di messaggi di posta elettronica in arrivo provenienti da mittenti di cui non si conosce con certezza l’identità o che contengano allegati del tipo .exe, .com, .vbs, .htm, .scr, .bat, .js, .pif.

È vietato inviare catene telematiche (dette di Sant’Antonio). Se si ricevono messaggi di tale tipo, occorre comunicarlo tempestivamente all’amministratore di sistema. Non si devono in alcun caso attivare gli allegati di tali messaggi.

L’iscrizione a mailing-list o newsletter esterne con l’indirizzo ricevuto è concessa esclusivamente per motivi professionali. Prima di iscriversi occorre verificare anticipatamente l’affidabilità del sito che offre il servizio.

Nel caso in cui fosse necessario inviare a destinatari esterni messaggi contenenti allegati con dati personali o dati personali particolari è obbligatorio che questi allegati vengano preventivamente resi illeggibili attraverso la criptografia con apposito software (archiviazione e compressione con password). La password di cifratura deve essere comunicata al destinatario attraverso un canale diverso dalla mail (ad esempio per lettera o per telefono) e mai assieme ai dati criptati. Tutte le informazioni, i dati personali e/o sensibili di competenza possono essere inviati soltanto a destinatari – persone o Enti – qualificati e competenti.

Non è consentito l’invio automatico di e-mail all’indirizzo e-mail privato (attivando per esempio un “inoltro” automatico delle e-mail entranti), anche durante i periodi di assenza (es. ferie, malattia, infortunio ecc.). In questa ultima ipotesi, occorrerà prevedere l’utilizzazione di un messaggio “Out of Office” facendo menzione di chi, all’interno dell’Ente, assumerà le mansioni durante l’assenza, oppure indicando un indirizzo di mail alternativo preferibilmente di tipo collettivo, tipo ufficio…@DominioAzienda.

In caso di assenza improvvisa o prolungata di un dipendente e per improrogabili necessità legate all’attività lavorativa sarebbe auspicabile prevedere che il titolare della casella di posta designi un altro dipendente (fiduciario) per verificare il contenuto di messaggi e per inoltrare al titolare del trattamento quelli ritenuti rilevanti per lo svolgimento dell’attività lavorativa. Sarà compito del responsabile di settore e/o reparto assicurarsi che sia redatto un verbale attestante quanto avvenuto e che si sia informato il lavoratore interessato alla prima occasione utile.

È bene, altresì, vietare l’invio di messaggi di posta elettronica in nome e per conto di un altro utente, salvo sua espressa autorizzazione.

Occorrerà informare che, ai sensi del Codice civile e della normativa in materia fiscale, l’azienda è tenuta a conservare per dieci anni sui propri server di posta elettronica tutti i messaggi e-mail a contenuto e rilevanza giuridica e commerciale provenienti da e diretti a domini della stessa.

Tuttavia, in caso di assenza improvvisa o prolungata del dipendente ovvero per imprescindibili esigenze organizzative e produttive, per la sicurezza del lavoro e per la tutela del patrimonio le ovvero per motivi di sicurezza del sistema informatico, l’azienda per il tramite dell’amministratore di sistema potrà, solo se previsto specificatamente nel regolamento e sulla base delle norme indicate, accedere all’account di posta elettronica, prendendo visione dei messaggi, salvando o cancellando file.

Si dovranno informare i dipendenti che, in caso di cessazione del rapporto lavorativo, la mail affidata all’incaricato verrà disattivata immediatamente. Il sistema in ogni caso genererà una risposta automatica al mittente, informando che la casella di posta elettronica è stata disattivata.

Tutte le informazioni eventualmente raccolte saranno utilizzate a tutti i fini connessi al rapporto di lavoro, compresa la verifica del rispetto del presente Regolamento, che costituisce adeguata informazione delle modalità d’uso degli strumenti e di effettuazione dei controlli ai sensi del Regolamento Europeo 2016/679.

Conclusioni

Il titolare del trattamento deve prestare molta attenzione nella redazione del regolamento sull’uso degli strumenti informatici aziendali e nell’inserimento di clausole che possono tutelarlo nel caso di contestazioni da parte dei propri dipendenti.

Sarà sempre bene formare i dipendenti, istruirli e vigilare costantemente in modo da evitare conseguenze spiacevoli da parte degli stessi.

 

Quanto ai controlli che possono essere svolti nei confronti dei dipendenti, essendo il tema molto interessante ma anche estremamente delicato si rinvierà ad un articolo ad hoc l’approfondimento del tema.

Articolo del 21.08.2019 scritto dall'Avv. Clementina Baroni e pubblicato sul sito www.cybersecurity360.it e reperibile al seguente link:

https://www.cybersecurity360.it/legal/privacy-dati-personali/la-figura-del-dpo-caratteristiche-e-peculiarita-nella-redazione-del-contratto-di-nomina/

 

GDPR, come affrontare le ispezioni del Garante della privacy

Passo per passo tutto ciò che occorre sapere, i documenti da possedere e le pratiche da attuare, per affrontare serenamente le ispezioni del Garante della privacy, previste per verificare l’adeguamento al GDPR delle aziende

 

Le ispezioni del Garante per la privacy rientrano in un piano ispettivo oppure sono determinate da segnalazioni, reclami o esposti sottoposti all’Autorità. Si tratta di controlli svolti mediante il Nucleo Privacy della Guardia di Finanza, presso i locali delle società per verificare l’applicazione della normativa in tema di trattamento dei dati personali: poiché sono sempre più frequenti, è fondamentale che i titolari e i responsabili adottino politiche preventive al fine di prepararsi per gestirle.

 

Come prepararsi all’ispezione: tutti gli step

In primo luogo occorre adottare una procedura di gestione dell’ispezione. Trattasi di un documento che illustra le procedure, i ruoli e i comportamenti da seguire in caso di ispezione dell’Autorità o della Guardia di Finanza. In generale è sempre bene avere un atteggiamento collaborativo con l’Autorità Garante. Per esperienza ho potuto verificare che atteggiamenti ostili, tesi a limitare o a puntualizzare eccessivamente e di continuo l’attività svolta dagli ispettori è decisamente controproducente.

L’obbligo di collaborazione implica l’obbligo di fornire l’accesso a documenti cartacei e in formato elettronico contenuti in computer, hard disk nonché in ogni altro dispositivo informatico, l’obbligo di indicare dove sono conservati i documenti d’interesse nonché l’obbligo di fornire ogni informazione richiesta indipendentemente dal fatto che i documenti o le informazioni siano tenute in luoghi diversi o da soggetti diversi dal titolare quali responsabili del trattamento. Le ispezioni inoltre vanno ben gestite da un punto di vista emotivo e vanno preparate adeguatamente e professionalmente. Il primo soggetto che viene coinvolto nell’ispezione è il titolare del trattamento e trovarsi davanti un soggetto che alla richiesta del registro del trattamento si trova totalmente “spaesato” e impreparato, che non conosce di cosa si stia parlando sicuramente fa un’impressione non positiva.

Al contrario occorre adattarsi al soggetto che si ha davanti, porsi sempre come un punto di riferimento, dimostrare di essere preparati e pronti alle domande che possono essere fatte, mantenendo costantemente concentrazione, attenzione e lucidità. Occorre non parlare troppo, limitarsi a produrre unicamente quello che viene chiesto. Più si parla e più si rischia di ampliare il parametro dell’indagine. Occorre fare solo dichiarazioni e affermazioni che possono essere provate. Evitare di dichiarare il falso o di omettere volutamente le informazioni che vengono richieste.

Cosa possono fare gli ispettori

Gli ispettori possono accedere agli uffici o luoghi dove dev’essere svolta l’ispezione dalle 7 alle 20 e questo anche per diversi giorni e richiedere ogni documento e/o informazione oggetto della verifica. Possono anche apporre i sigilli su database e documenti. I funzionari dell’Autorità possono svolgere interrogatori ai quali occorre rispondere in modo corretto, chiaro e non evasivo. Le risposte devono far riferimento il più possibile alle procedure adottate in modo da evitare risposte generiche.

Piuttosto che fare affermazioni avventate e che non possono essere provate riservarsi di fornire, anche successivamente, chiarimenti e/o risposte nonché documentazione più dettagliata. Ricordiamoci che gli interrogatori possono essere registrati dagli ispettori.

Cosa non possono fare

Non possono cercare documenti che non hanno alcun collegamento con l’oggetto dell’ispezione. Richiedere e pretendere l’originale dei documenti. Bisogna sempre consegnare soltanto copie dei documenti e degli atti oggetto dell’ispezione. Inoltre non possono effettuare interviste e svolgere domande non pertinenti né rilevanti per l’oggetto dell’ispezione.

Eventuali informazioni assunte che esulino dall’oggetto dell’indagine potranno essere debitamente impugnate con le modalità consentite dalla legge. Gli ispettori non sono tenuti a porre domande che non hanno attinenza con l’ispezione.

 

Come avviene un’ispezione

Ecco passo per passo tutte le fasi dell’ispezione.

  1. All’avvio dell’ispezione gli incaricati interni delle aree coinvolte dovranno coinvolgere il DPO – se presente – e/o il legale di riferimento. La prima cosa da fare è richiedere l’autorizzazione e verificarla, dare il via all’ispezione, tenere un registro dell’ispezione – che andrà predisposto precedentemente – rivedere e siglare il verbale. Il legale rappresentante – o il soggetto appositamente delegato – dovrà necessariamente essere a disposizione al fine di poter sottoscrivere il relativo verbale.
  2. Occorrerà aver predisposto, precedentemente, una check-list di accountability che elenchi tutta la documentazione, le procedure, i processi e le misure di sicurezza adottate all’interno della realtà aziendale.
  3. In un’ottica di accountability occorre elencare tutte le misure organizzative e tecniche adottate all’interno della realtà aziendale; creazione di flussi interni per la raccolta evidenze (attività svolte dal DPO, audit privacy svolti presso l’azienda, esercizio dei diritti degli interessati, tenuta dei vari registri, raccolta dei consensi, procedura e registro data breach).

Bene individuare alcune misure organizzative:

  • Adozione del modello organizzativo privacy (M.O.P) nella quale vengono racchiuse tutte le scelte effettuate in ambito privacy e dal quale si desume la struttura e l’organizzazione dell’azienda;
  • Registro dei trattamenti mettendone a disposizione copia dello stesso (art. 30 GDPR); il registro dei trattamenti, solitamente, è il primo documento che chiedono i funzionari del Garante. Fortemente consigliabile l’adozione anche al di fuori dei casi in cui la tenuta dello stesso non sia obbligatoria;
  • Informative di cui agli art. 13 e 14 del GDPR mettendo a disposizione copia della relativa documentazione;
  • Consensi eventualmente prestati dagli interessati indicando se e con quali modalità è stato raccolto ai sensi degli artt. 7 e 8 del GDPR, con particolare riferimento ai soggetti minori o soggetti vulnerabili nonchè all’uso dei dati a fini promozionali mettendo a disposizione copia della relativa documentazione; nel caso di consenso raccolto tramite siti web occorrerà essere in grado di dimostrare la raccolta del consenso;
  • Distribuzione dei compiti in tema di trattamento dei dati personali ai vari soggetti quali DPO, incaricati interni, responsabili esterni, amministratore di sistema nonché eventuali atti di co-titolarità e/o di titolarità autonoma qualora presenti;
  • Eventuale designazione dei responsabili esterni (e/o sub responsabili) del trattamento con acquisizione del relativo contratto e designazione ai sensi dell’art. 28 GDPR che andrà messo a disposizione in copia;
  • Eventuale nomina del DPO in relazione agli artt. 37 e ss. GDPR;
  • Soggetti autorizzati e/o incaricati ad accedere ai dati personali oggetto del trattamento ai sensi dell’art. 29 del GDPR e copia degli atti di nomina ad incaricati del trattamento;
  • Documentazione relativa alla formazione degli incaricati mettendo a disposizione copia dei verbali di formazione e/o degli attestati con i relativi programmi svolti;
  • Individuazione delle piattaforme tecnologiche utilizzate per trattare i dati personali, precisando se le stesse sono gestite direttamente o da soggetti terzi;
  • Nel caso in cui si venga individuati Responsabili Esterni del trattamento tenere un Registro (Registro del responsabile del trattamento) in cui si indicheranno i nominativi di tutti i soggetti per conto dei quali vengono svolti i trattamenti indicando le tipologie di trattamento dei dati che viene svolto; detto registro va messo a disposizione in copia ai funzionari dell’Autorità;
  • Procedure adottate per l’esercizio dei diritti degli interessati (artt. 15 a 22 GDPR), procedura data breach (con il relativo Registro Data Breach), le procedure di privacy by design, procedure di gestione di terze parti, procedure Data Retention;
  • Procedure relative ai sistemi informativi – anche con riferimento al personale interno – nonché l’adozione di procedure tese a disciplinare il trattamento dei dati raccolti tramite il sistema di videosorveglianza o tramite la geolocalizzazione;
  • Procedura interna per la gestione delle ispezione che individui i soggetti designati da contattare in caso di ispezioni;
  • Valutazione dei rischi effettuata (Risk Assessment) ed eventuale DPIA (Data Protection Impact Assessment) mettendone copia a disposizione dei funzionari;
  • Elenco delle società in nome e/o per conto delle quali vengono effettuate le chiamate promozionali e, per ciascuna di esse fornire il numero di utenti contattati negli ultimi sei mesi e dei relativi contratti stipulati per l’effettuazione di campagne a carattere commerciale; detto elenco e detti contratti vanno messi a disposizione in copia ai funzionari dell’Autorità;
  • Fasi operative per la gestione delle liste dei numeri da contattare, indicando tutti i passaggi tecnici per il caricamento delle liste sui sistemi di chiamata;
  • Fonte di acquisizione delle liste dei destinatari delle chiamate telefoniche oltre alla check list con il Registro delle opposizioni dei dati di diversa origine della data e delle modalità di ottenimento consenso, con particolare riferimento al trattamento per fini di marketing;
  • Eventuali certificazioni ottenute.

Necessarie anche le misure tecniche ai sensi dell’art. 32 del GDPR

  • Eventuale pseudonimizzazione e cifratura dei dati personali;
  • Capacità di assicurare la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi del trattamento;
  • Capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico;
  • Una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche ed organizzative al fine di garantire la sicurezza del trattamento;

In particolare, occorrerà indicare tutte le misure adottate per accedere alle banche dati o alle varie cartelle presenti (username e password – modalità di autenticazione); Backup effettuati e modalità con cui vengono effettuati; Antivirus presenti; Eventuali alert implementati sui sistemi. A tal fine sarebbe opportuno acquisire dall’amministratore di sistema e/o dal responsabile esterno del trattamento una relazione sullo stato dei sistemi (gap analysis) nonché un piano di implementazione sulle misure da attuare.

 

L’importanza degli audit e del monitoraggio

È inoltre importante effettuare sistematicamente degli audit sia internamente che esternamente, anche presso eventuali responsabili esterni del trattamenti, al fine di verificare l’adozione delle misure tecniche di cui all’art. 32 del GDPR. Fondamentale il monitoraggio costante e sistematico dei processi attuati ed implementati all’interno dell’azienda: è importante svolgere diverse sessioni di audit privacy presso l’azienda o presso soggetti esterni al fine di verificare l’effettiva implementazione dei processi adottati in tema di trattamento dei dati personali.

Sarebbe infine molto utile eseguire un’apposita formazione ai dipendenti su come gestire un’ispezione nonchè effettuare delle “prove di ispezione” a sorpresa.

Conclusioni

Di certo “subire” un’ispezione non fa piacere a nessuno ma prepararsi adeguatamente e preventivamente può certamente aiutare ad affrontarla con maggiore serenità, attenzione e preparazione.

Le regole affinché un’ispezione abbia esito positivo sono l’essere preparati e afferrati sulla materia e sulla documentazione adottata, il non improvvisare, restare calmi e mantenere lucidità durante tutta l’ispezione e rispondere con competenza e professionalità alle domande che vengono poste.

Articolo del 17.07.2019 scritto dall'Avv. Clementina Baroni pubblicato sul sito www.cybersecurity360.it al seguente link

 

https://www.cybersecurity360.it/legal/gdpr-come-affrontare-le-ispezioni-del-garante-della-privacy/

 

La figura del DPO: caratteristiche e peculiarità nella redazione del contratto di nomina

La figura del DPO riveste un ruolo importante nelle aziende pubbliche o private per il raggiungimento della necessaria compliance al GDPR. Ecco un utile vademecum sui compiti operativi e sulle caratteristiche che deve avere un buon Data Protection Officer

 

Come ben noto il Regolamento UE 2016/679 regolamenta agli articoli 37 e segg. la figura del DPO (Data Protection Officer) o RPD (Responsabile Protezione dati) individuando i soggetti tenuti ad avere questa figura, disciplinando i compiti che deve assumere e dettando le regole per una corretta designazione.

In particolare, le autorità pubbliche o gli organismi pubblici sono tenute a designare un DPO, eccettuate le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali.

Il Garante, all’uopo, ha specificato che allo stato, in ambito pubblico, devono ritenersi tenuti alla designazione di un RPD i soggetti che oggi ricadono nell’ambito di applicazione degli artt. 18 – 22 del Codice dei contratti, che stabiliscono le regole generali per i trattamenti effettuati dai soggetti pubblici (ad esempio, le amministrazioni dello Stato, anche con ordinamento autonomo, gli enti pubblici non economici nazionali, regionali e locali, le Regioni e gli enti locali, le università, le Camere di commercio, industria, artigianato e agricoltura, le aziende del Servizio sanitario nazionale, le autorità indipendenti ecc.).

 

La figura del DPO: i compiti operativi

I compiti minimi del DPO sono specificati nell’art. 39 del GDPR:

  • informare e fornire consulenza al titolare del trattamento o al responsabile del trattamento nonché ai dipendenti che eseguono il trattamento in merito agli obblighi derivanti dal presente regolamento nonché da altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati;
  • sorvegliare l’osservanza del presente regolamento, di altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati nonché delle politiche del titolare del trattamento o del responsabile del trattamento in materia di protezione dei dati personali, compresi l’attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo;
  • fornire, se richiesto, un parere in merito alla valutazione d’impatto sulla protezione dei dati e sorvegliarne lo svolgimento ai sensi dell’articolo 35;
  • cooperare con l’autorità di controllo;
  • fungere da punto di contatto per l’autorità di controllo per questioni connesse al trattamento, tra cui la consultazione preventiva di cui all’articolo 36, ed effettuare, se del caso, consultazioni relativamente a qualunque altra questione.

Caratteristiche del DPO

Da detto elenco siamo in grado e possiamo stilare l’elenco delle caratteristiche per individuare un buon DPO.

Il DPO deve avere una conoscenza specialistica della normativa e delle misure di protezione dei dati, deve essere un buon negoziatore e deve essere in grado di mettere a proprio agio i soggetti con i quali entra in relazione.

Una caratteristica indispensabile di un buon DPO è l’empatia, cioè la capacità di mettersi nei panni dell’altro, di comprenderlo, di entrare in sintonia con lui, d’immedesimarsi con la di lui realtà, di ottenere fiducia al fine di ottenere che l’altro aderisca ai consigli e ai suggerimenti forniti dallo stesso DPO.

Il DPO deve anche avere la capacità di adempiere ai propri compiti. In sostanza dev’essere un buon manager. Si potrebbe definire “il manager della privacy in quanto partendo dalla struttura organizzativa dell’azienda e dall’organigramma della stessa deve fornire consigli, dare informazioni al fine di ridefinire i ruoli, le posizioni sempre in un’ottica di trattamento dei dati personali.

È colui che deve ben comprendere la realtà aziendale, comprendere le dinamiche, conoscere ogni convenzione e contratto adottato dall’azienda al fine di poter consentire un corretto trattamento dei dati nel rispetto del Regolamento e delle norme nazionali.

Non si comprende come si possa essere DPO in un’azienda senza conoscere l’azienda stessa, senza conoscerne i soggetti che vi svolgono attività e senza conoscere le figure coinvolte nei vari processi aziendali. Il ruolo del DPO non è un ruolo formale.

È un ruolo fondamentale all’interno di un’azienda. È un ruolo che consiste in relazioni, in confronti, in approfondimenti… è un ruolo profondamente umano e così dev’essere vissuto e fatto vivere a coloro che lo circondano.

Il DPO può essere un dipendente o libero professionista ma è fondamentale che venga coinvolto in tutte le scelte che hanno a che fare con l’azienda/struttura. Deve avere ampia autonomia, non ricevere istruzioni sui suoi compiti (art 36). Riferisce al CDA, all’amministratore unico o ai massimi vertici.

Il Garante ha caldeggiato, per l’ambito pubblico, la designazione di DPO interni, ma “alla luce delle considerazioni di cui sopra, nel caso in cui si opti per un RPD interno, sarebbe quindi in linea di massima preferibile che, ove la struttura organizzativa lo consenta e tenendo conto della complessità dei trattamenti, la designazione sia conferita a un dirigente ovvero a un funzionario di alta professionalità, che possa svolgere le proprie funzioni in autonomia e indipendenza, nonché in collaborazione diretta con il vertice dell’organizzazione”.

 

Criteri per la scelta di un buon DPO

Il DPO deve essere nominato dal titolare o dal responsabile del trattamento, identificati come i rispettivi vertici e nel caso in cui non sia la figura apicale a nominare il DPO, l’eventuale soggetto incaricato dovrà agire in presenza di espressa delega.

Una buona pratica di accountability è quella di illustrare brevemente nella delibera di nomina le motivazioni e il percorso che il titolare ha seguito per decidere di dotarsi di un DPO all’interno della sua organizzazione. Nella scelta del DPO occorre tener conto dei titoli acquisiti, dell’esperienza maturata sul campo, delle capacità di negoziazione. Insomma i fattori in gioco sono molteplici.

Nel caso in cui la scelta del RPD ricada su una professionalità interna all’ente, occorre formalizzare un apposito atto di designazione a “Responsabile per la protezione dei dati”.

Nell’atto di designazione o nel contratto di servizi devono risultare succintamente indicate anche le motivazioni che hanno indotto l’ente a individuare, nella persona fisica selezionata, il proprio RPD, al fine di consentire la verifica del rispetto dei requisiti previsti dall’art. 37, par. 5 del GDPR, anche mediante rinvio agli esiti delle procedure di selezione interna o esterna effettuata.

La specificazione dei criteri utilizzati nella valutazione compiuta dall’ente nella scelta di tale figura, oltre a essere indice di trasparenza e di buona amministrazione, costituisce anche elemento di valutazione del rispetto del principio di «responsabilizzazione».

 

La figura del DPO interna all’azienda

Il DPO interno non dovrà avere conflitti d’interesse, quindi non potrà essere un soggetto che “comporti la definizione delle finalità o modalità del trattamento di dati personali”, quali l’amministratore delegato, il direttore del marketing, il direttore delle risorse umane, il responsabile IT o comunque altri soggetti interni dell’azienda che non possono e non sono in grado di operare in condizioni d’imparzialità.

Inoltre dovrà possedere quelle “conoscenze specialistiche” richieste dalla legge, dovrà avere il tempo di fare il DPO (elemento questo non scontato ma fondamentale), dovrà essere raggiungibile nel senso di avere la possibilità di contattare agevolmente il DPO. In caso di ispezione il primo soggetto che verrà chiamato in causa sarà unicamente il titolare e non il DPO anche se questo dovrà restare a disposizione dell’Autorità di controllo per riscontri e confronti con la stessa.

 

Quando il DPO può essere esterno all’azienda

Sono molteplici le domande da fare al DPO esterno prima di decidere se lo stesso potrà entrare a far parte della vostra realtà aziendale. Vediamole insieme:

  • da quanto tempo opera nel capo della protezione dei dati e della sicurezza dei dati e dei sistemi? Con quali tipologie di aziende è entrato in contatto? Quali sono i titoli posseduti?
  • quali titoli possiede? Ha delle certificazioni? Ha frequentato master specifici in tema di trattamento dei dati personali?
  • quali sistemi informatizzati di trattamento dei dati conosce?
  • possiede delle competenze in merito ad analisi e gestione dei rischi? Ha conoscenze in tema di compliance aziendale?
  • ha già operato come DPO presso altre PA o organizzazioni affini?
  • si trova per qualche motivo in conflitto d’interessi;
  • dove ha sede il suo ufficio/la sua azienda e com’è composto il suo team?
  • come si aggiorna sui temi della protezione dei dati e della sicurezza dei dati e dei sistemi?
  • possiede un’assicurazione e con che massimali?

Le clausole nell’atto di designazione a DPO

Il DPO esterno viene nominato sulla base di un contratto di servizi, le cui clausole principali sono:

obbligo di riservatezza. Il DPO è tenuto a mantenere il massimo riserbo su ogni questione relativa al trattamento dei dati specie quando si tratta dei dati particolari ai sensi degli artt. 9 e 10 del Reg. Ue;

tempistica (il network dei DPO suggerisce una durata che vada dai 3 a 5 anni). Ciò al fine di consentire al DPO di entrare nella realtà aziendale, di conoscerla e poter svolgere una buona attività relativa al trattamento dei dati; •

obbligo di riferire direttamente ai livelli più alti dell’organizzazione. Occorre inserire l’obbligo di aggiornamento costante e periodico all’organo di vertice che è e resta il primo responsabile in caso di data breach o in caso di ispezione da parte dell’Autorità di controllo;

  • obbligo di flussi informativi per il coinvolgimento. Occorre, ad esempio, individuare un team di supporto all’interno dell’organizzazione che riferisca al DPO le problematiche di ogni funzione. Occorre individuare un referente della protezione dei dati che vada istruito, formato e che possa fungere da riferimento per il DPO sulle principali questioni relative al trattamento dei dati.
  • assenza di conflitti d’interesse. Occorre inserire un’apposita dichiarazione di assenza di conflitti d’interesse allo scopo di tutelare il titolare in caso di contestazioni;
  • modalità per contattare il DPO da parte del personale che tratta dati per conto del titolare;
  • clausola in cui si stabiliscono le tempistiche relative alla disponibilità del DPO;
  • autorizzazione a comunicare i suoi dati di contatto all’esterno e all’Autorità di controllo;
  • clausole di limitazione della responsabilità;
  • tempi di risposta ai quesiti e ai pareri richiesti tenuto conto del livello di complessità degli stessi;
  • clausole specifiche in cui si disciplinano le modalità di informazione da parte del DPO e le conseguenze relative all’omesso riscontro e adesione da parte del titolare alle prescrizioni impartite dal DPO.

La diligenza richiesta al DPO

Per quanto riguarda la diligenza nell’adempimento, si può richiamare il secondo comma dell’art. 1176 c.c. “Nell’adempiere l’obbligazione il debitore deve usare la diligenza del buon padre di famiglia. Nell’adempimento delle obbligazioni inerenti all’esercizio di un’attività professionale, la diligenza deve valutarsi con riguardo alla natura dell’attività esercitata“.

Il principio esposto è quello della diligenza qualificata. Per giurisprudenza prevalente (Cass. Civ. 10165/2016) detta diligenza si estrinseca nell’adeguato sforzo tecnico, con impiego delle energie e dei mezzi normalmente e obiettivamente necessari o utili in relazione alla natura dell’attività esercitata, volto all’adempimento della prestazione dovuta e al soddisfacimento dell’interesse del creditore, nonché a evitare possibili eventi dannosi”.

Alla luce di quanto indicato ritengo che il ruolo del DPO abbia un’importanza fondamentale e vada svolto con coscienza e responsabilità, senza improvvisare e impegnandosi ad approfondire costantemente ogni aspetto nuovo o innovativo dovesse presentarsi di fronte al professionista.

Stampa Stampa | Mappa del sito
© Studio Legale Avv. Baroni Clementina Via Pier Carlo Cadoppi 08 42124 Reggio Emilia Partita IVA: