Idraulici della Privacy: Cosa Sono e Cosa Fanno

Gli "Idraulici della Privacy" sono professionisti specializzati nella protezione dei dati personali. Si tratta di esperti che, come gli idraulici si occupano di riparare e mantenere gli impianti idraulici, si dedicano a proteggere e gestire i dati personali all'interno delle organizzazioni.

Di seguito è possibile visionare e scaricare una parte degli scritti e delle presentazioni di Cesare Gallotti. Loghi e riferimenti alle società citate sono stati omessi.

  • I miei appunti sulla NIS2 (pdf, 561 KB), incluso il recepimento italiano con D. Lgs.
  • Archivio VERA su GitHub, con le ultime versioni di VERA e il suo manuale in italiano e in inglese.
  • Whistleblowing (una soluzione da discutere) (pdf, 448 KB), una presentazione fatta (e successivamente aggiornata dopo le segnalazioni ricevute) per gli Idraulici della privacy.
  • VERA 7, solo in italiano (Excel, 225 KB) : il mio foglio di calcolo per la valutazione del rischio con i controlli della ISO/IEC 27001 del 2013 e del 2022 (con lista di riscontro).
  • Video spiegazione su VERA 6 (mp4, 207MB), condotta come intervista da parte di Agostino Oliveri di Sicurdata.
  • VERA 5.0, per avere uno stesso file per ISO/IEC 27001 e per privacy (ISO/IEC 27701), per dimostrare l'adeguatezza delle misure di sicurezza attuate e per realizzare una PIA. Include anche i controlli di ENISA (xlsx, 202KB).
  • VERA 5.0 in inglese, (xlsx, 181KB).
  • VERA 4.4 (versione di prova) per privacy: potrebbe essere usata per dimostrare l'adeguatezza delle misure di sicurezza attuate e per realizzare una PIA. Include anche i controlli di ENISA. Si basa su VERA 4.4. Attenzione che questa versione, in italiano, in versione gamma (se mai pu esistere una versione "gamma") e ogni segnalazione per miglioramento gradita (xlsx, 172KB).
  • Rispetto alla versione beta, questa non ha i controlli per la privacy ISO/IEC 29151 (che in origine erano indirizzati ai soli titolari), ma quelli ISO/IEC 27552 (per titolari e responsabili), che sembrano anche meglio organizzati.
  • VERA 4.4 per privacy: potrebbe essere usata per dimostrare l'adeguatezza delle misure di sicurezza attuate e per realizzare una PIA. Include anche i controlli di ENISA. Si basa su VERA 4.4.
  • “Check list per le verifiche sull'operato degli Amministratori di Sistema”, bozza di check list per verificare l'operato degli Amministratori di Sistema secondo quanto richiesto dal Provvedimento del Garante Privacy del 28 novembre 2008.
  • Riflessioni sulla conduzione di risk assessment e su VERA, la metodologia molto semplice.
  • VERA è una metodologia che permette di condurre risk assessment con strumenti semplici ed efficaci.
  • “Codice della Privacy”, (rtf, 72 KB).

Cosa Fanno gli Idraulici della Privacy?

Questi professionisti si occupano di diverse attività, tra cui:

  • Valutazione del rischio (Risk Assessment)
  • Implementazione di misure di sicurezza
  • Verifica dell'operato degli amministratori di sistema
  • Gestione della data retention

Valutazione del Rischio e Metodologia VERA

La valutazione del rischio è un processo cruciale per identificare, analizzare e valutare i rischi relativi al trattamento dei dati personali. VERA è una metodologia che permette di condurre risk assessment con strumenti semplici ed efficaci.

Data Retention: Cosa Significa?

Per “data retention” si deve intendere, appunto, il “periodo di conservazione dei dati”. Il Regolamento UE n. 679/2016 (GDPR), non ha previsto sostanzialmente nulla di nuovo rispetto al Codice Privacy (D.lgs. 196/2003) il quale già contemplava, all’art. 11, che i dati personali dovessero essere: “conservati in una forma che consenta l’identificazione dell’interessato per un periodo di tempo non superiore a quello necessario agli scopi per i quali essi sono stati raccolti o successivamente trattati”, per quanto non ne richiedesse la comunicazione esplicita all’interessato.

I Principi Sottesi alla Data Retention

I principi fondamentali che guidano la data retention sono:

  • Principio della limitazione della conservazione: L’arco temporale nel quale i dati possono essere conservati deve essere rapportato alle finalità specifiche per le quali sono stati raccolti.
  • Principio di minimizzazione: I dati devono essere adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati.

Criteri e Criticità nella Conservazione dei Dati

È di fondamentale importanza stabilire bene quali siano i “criteri” per la determinazione del periodo massimo di conservazione dei dati personali. Per il computo del periodo di conservazione dei dati occorre tenere conto dei seguenti canoni:

  • degli obblighi di legge (normative nazionali ed internazionali);
  • delle pronunce giurisprudenziali-provvedimenti dell’Autorità ovvero delle indicazioni fornite dalle Associazioni di categoria, linee guida per le PA, o altri soggetti in grado di fornire elementi che facilitino la conservazione;
  • dei contributi apportati dalla dottrina;
  • dalla casistica che pone al centro la tutela dell’interessato, e la salvaguardia dei contenuti degli archivi storici.

Il tutto deve essere fatto in ossequio al principio di minimizzazione succitato. È pertanto di fondamentale importanza stabilire bene quali siano i “criteri” per la determinazione del periodo massimo di conservazione dei dati personali.

La difesa in giudizio costituisce, sì un elemento ulteriore per la valutazione in ordine alla categorie di atti, con una più alta probabilità di coinvolgimento in contenziosi, ma non deve essere il criterio madre che stabilisca fino a quando i dati potranno/dovranno essere tenuti. Tale inciso consente di dire che non sia più sostenibile conservare dati/informazioni/etc, in forza del “non si sa mai”.

Di seguito, si delineano due tabelle -a titolo esemplificativo - che riportano l’una i criteri enunciati ed alcune delle possibili criticità; l’altra alcuni esempi con i relativi tempi di conservazione.

CRITERI CRITICITÀ
Obblighi di legge In presenza di nuovi interventi normativi (D.L. 119/2018: fatturazione elettronica)
Giurisprudenza - Orientamenti Associazioni di categoria Carenza di indicazioni, pronunce contrastanti ed orientamenti non uniformi tra Associazioni di categorie
Tutela dell’interessato Difficoltà ad ipotizzare scenari/casistiche che possono richiedere tempi di conservazione diversi da quelli immaginabili da una prima analisi sommaria del processo
Archivio storico Individuazione delle condizioni per cui è legittimo il trattamento ai fini di “archiviazione nel pubblico interesse o di ricerca storica”
Principio di minimizzazione Aspetti legati alla responsabilità del Titolare del trattamento, salvaguardando, nel contempo, i diritti dell’interessato.
CASISTICA ED ESEMPI TEMPI DI CONSERVAZIONE
Fatturazione - scritture contabili 10 anni dalla emissione della fattura Art. 2220 c.c. in virtù del quale le “scritture devono essere conservate per dieci anni dalla data dell’ultima registrazione “.
Fornitura di un bene, potenzialmente soggetto ad una campagna di richiamo, ben oltre i tempi di garanzia definiti, ad un cliente privato Tempistica da individuare sulla base della di casistiche pregresse relative a difetti occulti nel bene
Denuncia di malattia professionale da parte di un ex-dipendente -imprescrittibile- l’Azienda deve dimostrare di aver fatto tutto il possibile nel garantire le idonee misure di sicurezza sui luoghi di lavoro. Obbligo di conservazione del fascicolo professionale del dipendente ed in particolare della documentazione atta a dimostrare che ha fatto il possibile per prevenire eventuali malattie professionali (sorveglianza sanitaria, consegna dispositivi di protezione individuale, formazione, eventuali richiami, eccetera) 30 anni dalla cessazione del rapporto di lavoro
Contratti sottoscritti con artisti di chiara fama da parte di un’Istituzione (es. Teatro) di rinomanza internazionale Periodo illimitato costituendo un’archiviazione a fini di ricerca storica

Le suddette indicazioni oltre che essere a titolo esemplificativo vanno apprezzate nella misura in cui i tempi (ivi indicati) potrebbero subire allungamenti qualora i dati stessi - o le informazioni- fossero oggetto di indagine, o impugnazione.

Nel settore del marketing, quanto mai coinvolto nella pratica di cui si discorre, con specifico riferimento alle comunicazioni commerciali si palesa erroneo il binomio “cancellazione dati/riduzione delle vendite”. Non è corretto infatti associare ciò poiché tutti i dati devono poter essere cancellati. Tutti i dati hanno una ”scadenza” nel senso che essi debbono essere trattati per lo stretto necessario in termini di finalità e tempi. Al riguardo, si richiama il provvedimento del Garante italiano che, in materia, ha stabilito - predeterminandoli- i tempi di conservazione in 24 mesi dalla registrazione.

Profilazione: Cos'è e Cosa Fare

La profilazione è qualsiasi forma di trattamento automatizzato, che ha per oggetto dati personali e che ha come scopo una valutazione su determinati aspetti personali, per analizzarli o farne delle previsioni. Sono aspetti che possono riguardare il rendimento professionale di una persona fisica, la sua situazione economica, la sua salute, i suoi gusti, interessi e i comportamenti, la sua affidabilità, la sua ubicazione e i suoi spostamenti.

Secondo la definizione delle linee guida dell’Autorità Garante, la profilazione può essere di tre tipi:

  1. Profilazione generale, che corrisponde alla definizione data nel GDPR.
  2. Profilazione come fondamento di un processo decisionale automatizzato, ma che non è unicamente automatizzato.
  3. Profilazione in cui le decisioni sono prese su un trattamento unicamente automatizzato.

Se decidi di fare profilazione, per prima cosa devi dirlo nell’informativa, che va rilasciata prima del trattamento dei dati, quindi prima di raccogliere le informazioni personali. Ma non basta dire che fai profilazione, devi anche spiegare quale logica hai usato, le finalità e quali conseguenze ci sono.

Importante: devi chiedere il consenso! Serve il consenso specifico per ogni finalità. Quindi non basta il consenso per il marketing: se fai profilazione, devi chiedere il consenso per la profilazione.

La norma ci dice che non possono essere conservati per un periodo che è superiore a quello che è lo scopo per cui li hai raccolti, dopodiché devono essere cancellati.

I Diritti degli Interessati nella Profilazione

Gli interessati hanno diversi diritti, tra cui:

  • Diritto di opposizione
  • Diritto ad essere informato
  • Diritto di accesso
  • Diritto alla rettifica e alla cancellazione

Attività di Marketing e GDPR: Cosa Fare

Le aziende che effettuano attività di marketing possono raccogliere i dati direttamente o indirettamente; se li raccolgono direttamente, per il principio della trasparenza, devono sempre fornire un'informativa ai sensi dell'articolo 13 del GDPR; se invece i dati sono raccolti da un soggetto terzo, il consenso degli interessati dovrà essere acquisito con un'informativa ai sensi dell'articolo 14 del Regolamento europeo per la protezione dei dati.

Le attività più vulnerabili e quindi più facilmente soggette a sanzione nelle attività di marketing sono:

  • Newsletter e acquisizione di banche dati
  • Tracciamento online e quindi cookie
  • Progetti speciali e privacy by design

È anche grazie ai provvedimenti adottati in questi anni che è possibile comprendere come agire conformemente.

tag: #Idraulici

Leggi anche: