Trattamento dati.
L’applicazione del regolamento (Eu) 2016/679 (Gdpr) ha aperto molte questioni in merito alla corretta definizione dei ruoli dei soggetti che svolgono attività di trattamento e continua a offrire interessanti spunti di riflessione per quanto riguarda l’individuazione del responsabile del trattamento e delle eventuali “catene di responsabili” coinvolte.
Rinnova l'abbonamento ad Ambiente&Sicurezza, clicca qui!
Partiamo dalle definizioni del Gdpr:
- il titolare del trattamento è la persona fisica o giuridica, autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, definisce finalità e mezzi del trattamento di dati personali;
- il responsabile del trattamento la persona fisica o giuridica, autorità pubblica, il servizio o altro organismo che tratta i dati personali per conto del titolare del trattamento.
Trattamento dati: un profilo chiave
Il titolare del trattamento è la figura chiave, perché la normativa sulla privacy gli attribuisce precise responsabilità nei confronti degli interessati, ma non solo: è il titolare del trattamento che, proprio per i principi di trasparenza e accountability, in qualità di parte attiva verso gli interessati, assume su di sé l’onere di scegliere i propri “collaboratori”. Collaboratori che possono essere interni o esterni alla sua organizzazione.
Questo implica che il titolare assume su di sé il rischio di tutti i soggetti a cui delega le operazioni di trattamento per il raggiungimento di una propria finalità.
Trattamento dati: mitigare il rischio
Se all’interno della propria organizzazione la mitigazione è “facile”, poiché il titolare può costruire percorsi di formazione e informazione oltre che disegnare in modo più o meno dettagliato la distribuzione di responsabilità tra coloro che operano sotto la sua diretta responsabilità, molto più complessa è la scelta di collaboratori esterni (consulenti o società esterne) che possono o devono supportarlo per raggiungere le finalità dichiarate.
SCHEMA 1
Il principio economico (riduzione e ottimizzazione dei costi) fin qui adottato prevede che, nel caso in cui un titolare debba effettuare operazioni considerate “accessorie” o “strumentali” alle sue attività primarie, queste possono essere delegate a organizzazioni esterne che, in modo più specializzato e ottimizzato, possano espletare quelle parti di processo che, pur essendo obbligatorie per il titolare, non rientrano nelle sue specifiche competenze.
A titolo di esempio: spedire pacchi o plichi attraverso un vettore, assolvere funzioni amministrative-contabili attraverso uno studio di consulenza commerciale, “costruire” le paghe dei propri dipendenti attraverso uno studio di consulenza in materia retributiva e contributiva, assicurare un corretto comportamento sulla salute e sicurezza del lavoro attraverso il contributo di uno studio specializzato che mette a disposizione il medico del lavoro o un Rspp, trasmettere indicazioni ai propri clienti attraverso l’utilizzo massivo di email, erogare l’assistenza alla clientela attraverso società specializzate distribuite sul territorio o attraverso call center….
Si tratta, in molti casi, di organizzazioni esterne con cui il rapporto contrattuale è andato ben oltre il consueto rapporto cliente-fornitore e con le quali nel tempo si è consolidato un rapporto di collaborazione attiva e continua nell’ottica del rispettivo bilanciamento degli interessi delle parti. Il legame iniziale si rinnova e si rinforza sulla base del rapporto di fiducia instauratosi tra “persone” che operano all’interno di due organizzazioni e questo tipo di relazione garantisce il livello di flessibilità desiderato, specie nel campo delle micro e piccole imprese.
SCHEMA 2
La normativa privacy impone che questi rapporti, quando prevedono la delega allo svolgimento di operazioni sui dati personali, siano formalizzati per mezzo di specifiche clausole che mirano a trasferire istruzioni circa le corrette modalità di trattamento dei dati personali - che spetta al titolare individuare - alla “catena” di fornitura che collabora con il titolare per raggiungere le finalità dello stesso.
Il rispetto e la trasmissione di queste indicazioni attraverso atti giuridici a tutta la “filiera” del trattamento dei dati può però porre non pochi problemi in merito alla puntuale definizione e presa in carico delle singole responsabilità.
Trattamento dati: un esempio per capire
Facciamo un esempio apparentemente estraneo al tema, ma che vuole rappresentare la “lunghezza” di una catena produttiva.
Un contadino ha un campo pieno di alberi di arance con frutti bellissimi vicino alla piena maturazione. Affinché le arance arrivino sulla tavola del consumatore finale è necessario che il contadino si metta in contatto con una cooperativa, che proceda alla raccolta dei frutti dalla pianta e conferisca a una società specializzata il compito di selezionare, pulire e confezionare la frutta. La società affida il prodotto a un trasportatore di grandi volumi per il conferimento a un mercato, dove un venditore procederà alla vendita all’ingrosso e affiderà a un piccolo trasportatore il venduto per il trasporto fino al negozio il negoziante procederà alla esposizione e alla vendita delle arance al consumatore, che potrà quindi scegliere la singola arancia.
Ciascuna azione identifica un soggetto che potrebbe essere completamente autonomo rispetto al precedente e che interviene nella catena sulla base di una specifica competenza che il soggetto che lo precede o lo segue nella catena non vuole o non può eseguire in prima persona. Nel campo della “lavorazione” dei dati personali si trovano spessissimo catene similari.
Continuiamo con l’esempio. Il consumatore si reca al negozio per comprare una cassetta di arance e chiede al negoziante una fattura e la consegna presso la sua abitazione. Affinché il negoziante possa emettere la fattura richiesta il consumatore deve conferirgli i suoi dati, che il negoziante dovrà inoltre trasferire al trasportatore. Allo stesso tempo, uno dei dipendenti del negoziante procederà a dare i dati del consumatore al commercialista che dovrà emettere la fattura.
Il commercialista inserirà i dati all’interno di un applicativo software che, magari, opera in modalità cloud; per garantirsi del suo funzionamento tecnico, il commercialista riceve assistenza dalla società che ne ha curato lo sviluppo, che a sua volta fornisce supporto attraverso un call centre gestito da una società specializzata. Allo stesso tempo, il commercialista trasferisce i dati al sistema di interscambio dell’Agenzia delle entrate.
La società che ha sviluppato l’applicazione software, allo scopo di garantire la continuità del servizio, utilizza un gestore primario di servizi cloud che ridonda i dati in vari siti; per la copia sicura delle fatture, la società sviluppatrice utilizza a un “conservatore autorizzato” dalla legislazione italiana.
C’è da perdersi? In realtà sono i dati del consumatore a essersi “persi” per permettere a ogni operatore di adempiere alle proprie responsabilità, tutte perfettamente lecite, sulle quali il negoziante ha taciuto al momento dell’acquisto (in buona fede perché dà per scontato la conoscenza dell’intero processo da parte del consumatore).
La normativa privacy prevede che ciascuno dei soggetti indicati nell’esempio sia menzionato (almeno per categoria) nella informativa che il negoziante, che raccoglie i dati, ha esposto nel suo negozio.
Il negoziante dovrà formalizzare i rapporti con i soggetti a cui trasferisce direttamente i dati degli interessati (nel rapporto con il commercialista, ad esempio, il negoziante è il titolare e il commercialista è il responsabile del trattamento, o meglio di una parte del processo di vendita, quello relativo all’emissione della fattura) e dovrà fornire istruzioni affinché questi soggetti (i responsabili del trattamento) formalizzino nella stessa maniera i rapporti con i successivi soggetti (i sub-responsabili) che coinvolgono nella catena.
Il commercialista infatti, da parte sua, dovrà formalizzare il rapporto con la società che fornisce assistenza all’applicativo software, delegandole una parte del trattamento. La società in questione dovrà fare lo stesso nei confronti della società che si occupa della conservazione dei dati (servizio cloud o servizio di conservazione sostitutiva).
Ciascuno dei soggetti sa di essere responsabile della propria parte di trattamento ma non necessariamente ha la piena consapevolezza dei rapporti che ci sono a monte.
Se si fosse in presenza di un rapporto in sequenza lineare (rapporto 1 a 1 fra i vari punti) in cui ogni soggetto ha un rapporto esclusivamente con un solo soggetto potremmo rappresentare graficamente la catena come una sequenza lineare di anelli chiusi. In ogni caso, questa rappresentazione è in ogni caso valida se la rappresentiamo dal punto di vista del singolo interessato.
Uno sguardo alla complessità
Mettiamoci nei panni di uno qualunque dei soggetti rappresenti con un anello: la società che fornisce assistenza all’applicazione software.
Questa società svolge probabilmente la stessa operazione di trattamento per molti commercialisti e delega la conservazione della copia delle fatture dei clienti di ciascun commercialista al conservatore autorizzato che, altrettanto probabilmente, svolgerà lo stesso servizio di conservazione sicura per altri e diversi clienti (e clienti di suoi clienti).
Il rapporto tra i soggetti della catena, rappresentato nello schema 1 in modo lineare diventa una rete (o un albero con molta chioma e molte radici): il rapporto tra commercialista e società di assistenza software è in realtà un rapporto tra uno (la società) e molti (il commercialista e i suoi clienti); il rapporto tra società di assistenza software e il fornitore del servizio di conservazione è un rapporto tra molti (tutti i commercialisti serviti dalla società e i loro clienti) e uno (il fornitore del servizio di conservazione sicura). Dal punto di vista di quest’ultimo “anello”, il rapporto con la società di assistenza è solo uno dei rapporti in vigore (quelli stipulati con il resto della propria clientela per servizi analoghi). Per completare ulteriormente il quadro, è possibile ipotizzare che anche il commercialista del fornitore del servizio di conservazione utilizzi per i servizi di fatturazione la stessa applicazione software che genera le copie sicure conservate dal fornitore.
Ciascun “anello” delega ad altri soggetti parti del trattamento e svolge trattamenti per molti soggetti, diventando così anello di una rete costituita da una serie di relazioni cliente – fornitore nelle quali il ruolo di titolare, responsabile e sub-responsabile è vario.
Lo schema 2 mostra in modo intuitivo come non sia per nulla semplice redigere l’atto formale di designazione dei responsabili e dei sub-responsabili, obbligatorio ai sensi dell’art. 28 del regolamento (Eu) 2016/679.
Le complicazioni operative
Secondo l’art. 28 del regolamento (Eu) 2016/679, il titolare deve conoscere i responsabili e gli eventuali sub-responsabili e tutti questi soggetti devono essere autorizzati dal titolare per iscritto (in modo specifico o generale).
Il titolare può opporsi a modifiche che riguardano uno dei (sub)-responsabili individuati. In un mondo complesso, l’opposizione, però, potrebbe rappresentare una grave intromissione nell’organizzazione del responsabile, che potrebbe essere messo in condizione di dover apportare modifiche - o di non poterle apportare - per non mettere a rischio il proprio rapporto con un cliente. Per tornare all’esempio pratico, che cosa avviene se uno dei clienti di un commercialista non concordasse sulla scelta della società che fornisce il supporto applicativo o se un commercialista richiedesse alla società che effettua il supporto all’applicativo software un miglioramento tecnico richiesto da un cliente (titolare) che un altro commercialista non è disponibile ad accettare?
La situazione non è semplice neanche dal lato del responsabile. Questi è obbligato dall’art. 30 alla composizione del registro dei trattamenti del responsabile per conto di ogni titolare. Se siamo in presenza di un sub-sub-sub-responsabile, non è affatto scontato che questo soggetto abbia contezza di ogni singolo titolare effettivo: la società che fornisce supporto applicativo sa che il servizio è svolto per tutti i clienti di tutti i commercialisti con i quali ha un contratto, ma è difficile che abbia l’evidenza di tutti i titolari coinvolti. Di conseguenza, chi svolge il servizio di conservazione sicura riceverà un incarico per i clienti della società che fornisce il supporto applicativa, ma non avrà assolutamente idea dell’identità del singolo titolare.
Per altri contenuti sul trattamento dati, clicca qui
Per un responsabile che voglia comporre correttamente il registro dei trattamenti del responsabile la soluzione migliore, che non da considerare pienamente soddisfacente, è quella di indicare i titolari del trattamento genericamente come “clienti dei propri clienti”: identificare questi ultimi (i clienti diretti) non dovrebbe essere un problema.
Quindi il rischio di una compilazione non conforme per il responsabile e per il sub-responsabile esiste, perché il responsabile dovrebbe comporre un registro per ciascun titolare e, come abbiamo visto, questo potrebbe non essere concretamente possibile.
Possiamo pensare che le componenti della catena, in questo mondo così complesso, si dotino di un’organizzazione apposita e si rendano disponibili reciprocamente a trasferirsi liste nominative di clienti o fornitori in modo da poter produrre registri del trattamento con anagrafiche dettagliate e costantemente aggiornate? Tralasciando gli ovvi aspetti legati alla riservatezza (ciascuno protegge il proprio giro di affari e non è disposto a condividerlo) quali sarebbero i costi?
La risposta è negativa, e questo implica che, se ciascuno fa correttamente la propria parte, sarà possibile ricostruire l’intero quadro dei rapporti solo a chi avrà l’autorità necessaria ad accedere ai singoli registri; partendo dall’ultimo, potrà risalire la catena dei trattamenti delegati e potrà reperire le informazioni che servono ad avere un quadro completo solo mettendo in fila quello che, in modo dettagliato, è presente nei singoli “anelli”.
La situazione appare in genere complessa e sicuramente non è agevolata dalla traduzione italiana. In italiano, la parola “responsabile” ha moltissimi significati che si differenziano per ambiti ed è diffusamente utilizzata nel campo dell’organizzazione aziendale.
Le complessità reali non si sposano perfettamente con la normativa, che impone al titolare di effettuare la scelta di un responsabile «che presenti garanzie sufficienti per mettere in atto misure tecniche ed organizzative tali da soddisfare i requisiti del Reg. (EU)2016/679». Il dubbio sorge spontaneo: come può un titolare del trattamento che, ad esempio, deleghi il calcolo di paghe e contributi a un soggetto esterno, avere la certezza che il software in cloud utilizzato dal soggetto esterno sia conforme alla normativa e lo stesso accada per il conservatore utilizzato?
Come detto prima, il titolare non può sindacare sulle caratteristiche organizzative e tecniche di tutte le componenti del servizio fornito dal suo responsabile, perché non ha né tempo né competenza. E, anche se le avesse e decidesse che non sono esattamente quelle che vorrebbe, un cambio di fornitore potrebbe essere estremamente difficile, costoso e laborioso; o semplicemente, il fornitore ha dei vincoli oggettivi che non rendono possibile apportare modifiche al proprio servizio. Che fare?
L’unica soluzione è fare una valutazione attenta, non confondere il “nice to have” (è bello avere) con il “must have” (deve avere) (una cosa è affidarsi a un responsabile che non ha a disposizione gli ultimi ritrovati tecnologici che ci piacerebbe trovare, un’altra è affidarsi a un responsabile che agisce al di fuori della norma) e adoperarsi affinché tutti i componenti della catena adottino comportamenti virtuosi.
Il rischio esiste, sempre. Bisogna conoscerlo e decidere di conseguenza, responsabilmente. Basti pensare a quanto osservato nell’ultimo anno di attività. Titolari che hanno richiesto al responsabile l’applicazione di sistemi e metodi di sicurezza di livello elevatissimo, difficilmente applicabili anche nelle organizzazioni più complesse se non con investimenti ingenti e non rapportati alla tipologia di dati gestiti. Titolari che per trasmettere dati “comuni” (cognome, nome, codice fiscale, indirizzo mail) degli interessati chiedono che il responsabile sia in possesso di una certificazione Iso 27001. Titolari che mandano istruzioni informatiche talmente dettagliate da risultare assolutamente inapplicabili, perché riferite a tecnologie superate o non più utilizzate. Dall’altro lato, responsabili che rifiutano di firmare gli atti di nomina perché ancora non hanno ricevuto indicazioni dai rappresentanti di categoria.
Il modello su cui ci si deve basare non è quello dello scarico completo di responsabilità, ma quello della condivisione di un percorso per il miglioramento reciproco; l’accordo fra titolare e responsabile deve essere il più possibile trasparente sulla intera filiera delle responsabilità delegate. Il titolare non deve imporre scelte che metterebbero fuori mercato il proprio fornitore o lo costringerebbero a rivedere le sue scelte operative minacciando la sua sopravvivenza sul mercato.
Facendo un esempio relativo all’elaborazione dei cedolini stipendio. Il titolare non può imporre allo studio di consulenza che ha scelto responsabilmente ed oculatamente di utilizzare un software che non opera su cloud. Se il Responsabile ha scientemente e responsabilmente scelto un sistema software è perché ha investito tempo e competenza su quel sistema e se offre servizi a più titolari non può inseguire le richieste operative di ciascuno. Quello che conta è il prodotto fornito e il rispetto della legislazione vigente. E su questo il responsabile assume il proprio rischio, sapendo a cosa va incontro in caso di anomalie.
Poiché un titolare del trattamento, quando affida un servizio a un terzo, può farlo anche in qualità di responsabile di trattamenti a lui delegati da terzi, è importante che questa evenienza sia prevista in modo trasparente nell’atto di nomina e che l’attività delegata sia svolta nel rispetto di quanto concordato con il responsabile.
Bisogna, inoltre, fare attenzione ai rapporti commerciali. Se un titolare vuole conoscere la “piramide” operativa di un responsabile, ben venga, ma questa piramide operativa dovrà essere presentata per categorie di prodotti e soggetti, tralasciando il dettaglio. I nomi delle società coinvolte, se necessario, emergeranno in una successiva fase di audit. Ovviamente, ogni anello della catena-rete dovranno assumere comportamenti attivi e proattivi per dimostrare la propria conformità legislativa.
Non è inutile ricordare, ancora una volta, che l’assenza di formalizzazione delle operazioni di trattamento di dati personali delegate dal titolare al responsabile del trattamento (sono molti a trovarsi in questa situazione, sia perché alcuni titolari del trattamento non hanno proposto integrazioni al contratto in essere sia perché alcuni responsabili del trattamento si rifiutano di firmare atti integrativi) configura una anomalia che rende illecito sia il trattamento di dati personali svolto del responsabile sia il trasferimento di dati da parte del titolare.
Questa illiceità del trattamento rende immediatamente applicabili le sanzioni (effettive e dissuasive) previste dalla normativa privacy (www.privacyinchiaro.it).
