GLI INTERESSATI

di | 24 February 2017
2 commenti

Com’è noto uno degli adempimenti più onerosi sia in termini organizzativi che tecnologici introdotti dal GDPR riguarda l’obbligo della notifica di una violazione dei dati personali dei soggetti interessati di cui il titolare tratta i dati.

Ma chi sono gli interessati? Una domanda probabilmente considerata da ABC della privacy.

In realtà senza una corretta individuazione e mappatura di tali soggetti cade ogni possibilità di mettere in atto qualunque adempimento previsto non solo dal GDPR, ma anche dalla attuale normativa privacy.

Ma i titolari hanno chiaro quali siano i soggetti di cui trattano i dati?

Nella loro classificazione degli interessati i titolari tendono ad inserire i clienti (ora solo se persone fisiche), i dipendenti e forse i fornitori; lo si evince facilmente dalle informative che si recuperano facendo una qualunque attività di assessment su un’azienda. Ma sono solo questi gli interessati di cui si trattano i dati?

Per ampliare la nostra visione torniamo a considerare anche i soli casi appena citati.

Relativamente ad un cliente, se questo è una persona giuridica, avrà sicuramente un legale rappresentante, persona fisica questa sì tutelata dalla normativa nonché diversi altri soggetti (persone fisiche) di cui il titolare tratterà i dati, fossero anche solo l’indirizzo e-mail ed il nome e cognome, nella normale attività di relazione. Una relazione fra imprese comporta quasi sempre, di fatto, una relazione fra persone fisiche e quindi un trattamento di dati personali di soggetti tutelati dalla normativa.

Oltre che per i clienti, simmetricamente la stessa logica vale per i fornitori.

Per i dipendenti il titolare tratterà anche i dati dei loro famigliari compresi, in alcune occasioni, i dati sensibili di questi ultimi.

Di tutte queste categorie di soggetti, il titolare tratterà i dati sia che abbia una relazione reale o solo potenziale, in quanto un trattamento di dati personali avviene anche in fase di richiesta o ricezione di un’offerta, di un preventivo o in fase di ricezione di un CV…

Inoltre, se il titolare ha un sito internet o un profilo social, tratterà i dati di chi lo visita, anche se non offre alcun servizio o operatività; tratterà i dati ripresi dalle eventuali telecamere di videosorveglianza e molto altro ancora.

Il numero dei soggetti e le categorie di soggetti di cui un titolare tratta i dati salgono a dismisura dopo una breve analisi.

Perché è importante tutto questo? A parte gli adempimenti previsti già oggi dall’attuale normativa, come il rilascio di informativa ed eventuale richiesta di consenso a tutti questi soggetti, il GDPR introducendo l’obbligo di una notifica di violazioni di dati personali impone una attenzione molto maggiore nell’individuare correttamente tutti questi soggetti.

In molti casi infatti il titolare non ha un rapporto diretto con tali soggetti, ma ne tratta i dati nell’ambito delle sue normali relazioni ad esempio con clienti e fornitori.

È quindi importante da parte di chi si appresta ad effettuare direttamente una mappatura degli interessati o da parte di chi, come il DPO, deve dare supporto al Titolare, avere una buona conoscenza dello specifico settore in cui opera il Titolare e dell’organizzazione dello stesso.

Ottime quindi in questo senso le richieste del WP29 nel contesto delle Linee-guida sui responsabili della protezione dei dati (RPD) il riferimento alle competenze specialistiche:

 

E’ utile la conoscenza dello specifico settore di attività e della struttura organizzativa del titolare; inoltre, il RPD dovrebbe avere sufficiente familiarità con le operazioni di trattamento svolte nonché con i sistemi informativi e le esigenze di sicurezza e protezione dati manifestate dal titolare.

 

Fra i casi più che è possibile citare come esempio, dove vi è un elevato trattamento di dati personali con soggetti con i quali il titolare non ha un rapporto diretto si possono citare:

  • le software house, che nella loro attività di manutenzione di un applicativo possono entrare in contatto con i dati personali di tutti i soggetti archiviati nei database dell’applicazione
  • i commercialisti che nella loro attività entrano in contatto con i dati di clienti, fornitori, dipendenti dei loro clienti ….
  • i commercialisti che nella compilazione della dichiarazione dei redditi di una persona fisica entra in contatto con i dati dei famigliari della medesima o, ad esempio, dei professionisti ai quali il soggetto si è rivolto (ad esempio un medico o un dentista) al fine di portate in detrazione le relative spese…
  • le banche, che trattano i dati di tutti i destinatari delle disposizioni di pagamento effettuate dai propri clienti o dei soggetti che dispongono pagamenti a favore dei propri clienti…

Dal punto di vista prettamente formale alcune delle situazioni sopra rappresentate potevano essere gestite, relativamente ad alcuni adempimenti in carico ad un titolare, con una designazione a responsabile del soggetto che tratta i dati. Con il GDPR, stante la corresponsabilità del responsabile e l’obbligo di informare il titolare in merito ad una violazione di dati personali anche da parte di quest’ultimo chiunque tratta dati personali deve porre in essere una valutazione molto più attenta che in passato nell’effettuare il censimento delle categorie di interessati.

Una mappatura a cui dovrà seguire una attenta valutazione sugli adempimenti da mettere in atto per essere conformi ai requisiti del GDPR.

 

Categoria: Legal framework

Informazioni su Giancarlo Butti

Deals with ICT, organization and legislation since the early 80s covering different roles: security manager, project manager, auditor at banking groups, consultant in security and privacy to companies of different sectors and sizes. Performs regular activity of dissemination through articles (over 700), books (21 between books and white papers also used as university texts, 11 collective works within the ABI LAB, Oracle Community for Security and CLUSIT), technical manuals, courses, seminars, conferences… participates in working groups to ABI LAB on Business Continuity, Risk and GDPR, ISACA-AIEA on GDPR and 263, Oracle Community for Security, UNINFO, ASSOGESTIONI and the Committee of experts for the innovation of OMAT360. He is a member of the faculty of ABI Training. He is a partner and proboviro of ISACA-AIEA Member of CLUSIT and BCI. He is certified (LA BS7799), (LA ISO IEC 27001:2013), CRISC, ISM, DPO, CBCI, AMBCI.

2 pensieri su “GLI INTERESSATI

  1. paolo calvi

    sacrosanto. sto seguendo un cliente che, guarda caso, rientra nei casi 1 e 4 citati qui sopra, essendo una sw house che lavora per una banca. il tema più rilevante che stiamo affrontando è proprio la gestione dei data breach. è pur vero che gli addetti della sw house agiscono direttamente su sistemi del cliente, per cui dovrebbe essere la banca stessa a definire ed applicare le misure di sicurezza nonché ad attivare alert e processi di gestione dei data breach. ma non può essere sottovalutato il ruolo del fornitore, ovviamente nominato responsabile. con il GDPR sarà tenuto ad informare tempestivamente il titolare (per sua fortuna solo il titolare, quindi non sarà tenuto a preoccuparsi di chi siano gli interessati) e per poterlo fare dovrà dotarsi di adeguati meccanismi di controllo, altrimenti come farà ad accorgersi di una violazione?

  2. Mariangela Fagnani

    A proposito degli interessati “clienti” il Regolamento è chiaro, il “considerando 14” recita:
    “È opportuno che la protezione prevista dal presente regolamento si applichi alle persone fisiche, a prescindere dalla nazionalità o dal luogo di residenza, in relazione al trattamento dei loro dati personali. Il presente regolamento non disciplina il trattamento dei dati personali relativi a persone giuridiche, in particolare imprese dotate di personalità giuridica, compresi il nome e la forma della persona giuridica e i suoi dati di contatto.”

Lascia un commento

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.