LA FIGURA DELL’INCARICATO DEL TRATTAMENTO

a cura di Marco Massimini (Polytecna S.a.s. — www.privacy.it)

 

L’Incaricato del trattamento è una figura di primissima rilevanza nell’organigramma di privacy di qualsiasi struttura poiché, sotto la diretta autorità del Titolare e del Responsabile (se nominato), egli è colui il quale, dietro apposita autorizzazione, effettua materialmente le operazioni di trattamento sui dati personali. La definizione legislativa di "incaricati" la troviamo, in primo luogo, all’art. 4, comma 1, lett. h) del D.Lgs. 196/2003 (Codice Privacy) che li identifica come "le persone fisiche autorizzate a compiere operazioni di trattamento dal titolare o dal responsabile".

Questa definizione già ci invita ad una prima e ben precisa considerazione: a differenza della figura del Titolare e di quella del Responsabile, l’Incaricato può essere soltanto una persona fisica e non anche una persona giuridica. Il secondo requisito che emerge in maniera inequivocabile dalla disposizione è che, per essere qualificata come Incaricato al compimento delle operazioni di trattamento, la persona fisica deve ricevere apposita autorizzazione. Pertanto, a differenza del Titolare, ma in modo speculare al Responsabile, l’Incaricato non assume tale veste in conseguenza ad uno stato di fatto, bensì solamente a seguito di espressa designazione.

La figura dell’Incaricato viene ulteriormente definita all’art. 30, comma 1, ove si sancisce che "Le operazioni di trattamento possono essere effettuate solo da incaricati che operano sotto la diretta autorità del titolare o del responsabile, attenendosi alle istruzioni impartite". La disposizione, per comprensibili esigenze di brevità, dà per scontate alcune questioni e, se estrapolata dal contesto normativo generale, potrebbe dare ad intendere che chi non è nominato Incaricato non possa, in via assoluta, trattare dati personali. Provvediamo, allora, a delineare il più ampio quadro normativo alla luce del quale si debba leggere il portato in esame. L’art. 30 intende affermare che se il Titolare non nomina Incaricati gli addetti a cui permette il trattamento dei dati personali raccolti per suo conto, si instaura, non tanto un divieto assoluto di trattare i dati, ma il rigoroso regime della "comunicazione" a terzi. Non è un caso che l’art. 4, comma 1, lett. l) del Codice definisce come comunicazione "il dare conoscenza dei dati personali a uno o più soggetti determinati diversi dall'interessato, dal rappresentante del titolare nel territorio dello Stato, dal responsabile e dagli incaricati, in qualunque forma, anche mediante la loro messa a disposizione o consultazione". Ricordiamo che il rigore di questo regime consiste, in primo luogo, nel dover preavvisare l’interessato, tramite informativa, della volontà di trasferire i dati a determinati soggetti terzi e, in secondo luogo, nella necessità di dover raccogliere il consenso specifico dell’interessato al trasferimento in questione: adempimenti, questi, ulteriori a quelli che il Titolare, di solito, già ha faticosamente portato a termine soltanto per poter raccogliere e trattare i dati egli stesso e la cui validità si sarebbe potuta estendere in maniera automatica a tutti i suoi addetti se solo avesse preventivamente conferito loro le opportune nomine di privacy (Responsabile o Incaricato). In altre parole: in mancanza delle nomine degli Incaricati, qualsiasi operazione avente ad oggetto dati personali svolta dai dipendenti o collaboratori del Titolare non può essere considerata come utilizzo interno di dati ma, viceversa, sarà qualificata come attività svolta da un soggetto esterno e senza il consenso dell’interessato. Ed in pratica, se egli non asseconda il regime con i dovuti ed onerosi adempimenti, è come se il Titolare avesse comunicato a terzi, estranei e qualsiasi, i dati senza avere preventivamente raccolto il relativo consenso espresso dell’interessato. Rammentiamo che la carenza del consenso sancito come necessario dall’ art. 23 può rendere – ai sensi dell’art. 167 – il trattamento illecito. Il reato è punito, se dal fatto deriva nocumento, e se sussiste il dolo specifico, con la reclusione da sei a diciotto mesi o, se il fatto consiste nella comunicazione o diffusione, con la reclusione da sei a ventiquattro mesi. Appare chiaro, sulla scorta di tali considerazioni, che la circostanza che le operazioni di trattamento siano effettuate da soggetti nominati Incaricati del trattamento, se non è - in termini assoluti - obbligatoria, è assolutamente opportuna.

Appurato che è necessario che chi tratta dati personali per conto del Titolare debba essere nominato Incaricato, viene naturale domandarsi chi è che effettivamente compie tali operazioni all’interno della nostra struttura. Ossia quali, tra i propri dipendenti o collaboratori, debba ricevere l’atto di incarico. La risposta sarà più agevolmente comprensibile se andiamo prima ricordare cosa si intenda per "dato personale" in base alla definizione fornita dall’art. 4, comma 1, lett. b): "qualunque informazione relativa a persona fisica, persona giuridica, ente od associazione, identificati o identificabili, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale". Una definizione quanto mai estesa che potremmo, così, ulteriormente riassumere: dato personale è qualsiasi informazione riferita (o riferibile) ad un soggetto identificato od identificabile. Consapevoli della nozione di dato personale, potremo meglio procedere ad identificare quali attività sono qualificate come trattamento sui dati ai sensi dell’art. 4, comma 1, lett. a): "qualunque operazione o complesso di operazioni, effettuati anche senza l'ausilio di strumenti elettronici, concernenti la raccolta, la registrazione, l'organizzazione, la conservazione, la consultazione, l'elaborazione, la modificazione, la selezione, l'estrazione, il raffronto, l'utilizzo, l'interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione di dati, anche se non registrati in una banca di dati". Dunque, chiunque, attraverso qualsiasi supporto e anche se non registrati in archivio, raccolga dati personali, li registri, li estragga, li organizzi, li conservi, li utilizzi, li consulti, li elabori, li modifichi, li cancelli o li distrugga, eccetera, compie un operazione di trattamento per la quale deve essere autorizzato. A prima vista parrebbe che i soggetti da autorizzare siano in particolare coloro che svolgono mansioni amministrative o di segreteria o coloro che elaborano informazioni al computer o i medici che fanno analisi e repertano informazioni sanitarie o il dipendente dell’anagrafe, eccetera. In sostanza, verrebbe da pensare che solo chi regolarmente registra dati, o li elabora, o li monitora, per via del proprio impiego, sia destinato alla nomina ad Incaricato. Ma il Codice Privacy non pone requisiti qualitativi o quantitativi circa il trattamento; è sufficiente che un soggetto possa, nell’ambito delle proprie mansioni, prendere visione anche di un solo dato personale perché si renda necessario che vi sia autorizzato. Un magazziniere che consulta la bolla di consegna con il nome del mittente e del destinatario. Un portantino che trasporta, insieme la malato, la cartella sanitaria dello stesso. Un addetto alla videosorveglianza che monitora gli ingressi allo stabilimento. Un operaio che visiona la bolla d’ordine di un pezzo di ricambio con sopra il nome del fornitore. I dati personali, siano essi riferiti a persone fisiche o giuridiche, sono presenti in ogni ambito di qualunque attività lavorativa e non rimane che arrendersi all’idea che chiunque sia alle dipendenze del Titolare o chiunque vi collabori debba essere, da questo, nominato Incaricato del trattamento.

LA FIGURA DELL’INCARICATO DEL TRATTAMENTO: L’INQUADRAMENTO DEI COLLABORATORI ESTERNI

Nel precedente intervento abbiamo descritto i motivi che rendono indispensabile la designazione ad Incaricato di tutti i soggetti che all’interno della struttura del Titolare abbiano la possibilità – anche se limitata od occasionale – di trattare dati personali. In questo modo, si evita di ricadere nella più rigida disciplina della "comunicazione" e si garantisce ai dati una più agevole circolazione all’interno della struttura stessa. Abbiamo anche chiarito, tramite una serie di esempi, come la quasi totalità delle diverse mansioni svolte dai vari dipendenti comporti, comunque, un trattamento sui dati personali e, pertanto, la necessità della nomina.

Ciò che è bene, a questo punto, definire è quale altro tipo di lavoratore debba essere preso in considerazione per la nomina, oltre al dipendente. E’ bene, anche qui, sgomberare il campo da dubbi ed eccessivi spunti interpretativi ed arrivare subito al punto: chiunque tratti dati in nome o per conto del Titolare deve essere nominato Incaricato. Non v’è alcuna incertezza sul fatto che tale attività possa essere svolta anche da un lavoratore autonomo o da un collaboratore. In definitiva, qualsiasi soggetto che a qualsiasi titolo sia autorizzato dalla struttura del Titolare a raccogliere, elaborare, utilizzare o consultare dati personali, risponde al profilo in questione. E, sarà superfluo sottolinearlo, non rileva in alcun modo la circostanza che l’attività sia svolta dietro pagamento o a titolo puramente gratuito.

Sulla scorta di quanto detto, appare del tutto pacifico che il ruolo di Incaricato può essere assegnato anche ad un soggetto totalmente esterno. Anzi, in alcuni casi - valgono qui le medesime considerazioni che si possono esprimere circa il Responsabile - sarà quanto mai opportuno che il soggetto esterno riceva tale investitura. Il meccanismo che giustifica tale affermazione è il medesimo descritto in precedenza: ricorrendo alla nomina, si evita di connotare come "comunicazione" il flusso di dati tra la struttura del Titolare e il soggetto che svolge attività per conto di questi.

E’, quindi, indispensabile che ciascun Titolare monitori i flussi di dati e, prenda in esame, alla luce di quanto detto, tutti i contributi che vengono forniti da persone fisiche che risultino, formalmente o di fatto, esterne alla struttura. Laddove - e ormai questo avviene nella gran parte dei contesti lavorativi - il contributo esterno comporti un benché minimo trattamento sui dati personali di competenza del Titolare, sarà bene procedere alla nomina del soggetto ad Incaricato. Gli esempi che potremmo portare sono quanto mai numerosi, ci limitiamo ad alcuni. Il lavoratore autonomo che è ingaggiato per la manutenzione del sistema informatico e che, per forza di cose, nel riparare un danno accede alle memorie elettroniche degli strumenti del Titolare, è opportuno sia nominato Incaricato. Lo stesso si potrà dire per il praticante di uno studio professionale, per l’interinale o lo stagista di un azienda, per l’obiettore di coscienza assegnato ad un ente o fondazione, il giovane che raccoglie firme per conto di un’associazione benefica, eccetera. Tutti vedono e utilizzano dati; tutti debbono essere Incaricati.

In alcuni casi può sorgere il dubbio in merito all’eventualità di nominare il soggetto esterno come Incaricato o come Responsabile. Il dubbio - è comprensibile - sorge, in particolar modo, avendo riguardo alla quantità, al tipo e alla delicatezza, o meno, dei dati trasferiti o resi accessibili alla persona fisica esterna. La normativa non fornisce indicazioni specifiche utili a risolvere il dilemma: anzi, essa non distingue nemmeno tra le figure "interne" di Incaricato/Responsabile e quelle "esterne". Il consiglio è quello di orientarsi verso la nomina a Responsabile (esterno) del trattamento quando la mole o la criticità di dati esternalizzati, nonché il tipo di attività da svolgervi, sono tali da indurre a ritenere necessaria una maggiore responsabilizzazione del soggetto esterno, anche in ragione del maggiore tasso di autonomia operativa che può essergli concessa per via della sua particolare specializzazione (rispetto a quella concessa all’Incaricato, mero esecutore di compiti). Anche qui un paio di esempi. Il consulente che elabora a tempo pieno le paghe in azienda, è una soggetto esterno che è bene nominare Responsabile. Lo psicologo a cui si affida in via continuativa la valutazione di test attitudinali compilati da dipendenti o candidati, è opportuno nominarlo Responsabile. Dai due esempi portati, emerge un ulteriore indicazione inerente all’elemento temporale. La nomina a Responsabile "esterno" necessita di un rapporto di collaborazione o di outsourcing caratterizzato da una certa continuità, altrimenti rischia di perdere di significato. Il rapporto una tantum – in questo caso anche a prescindere dal "peso" del trattamento affidato - è consigliabile sia gestito tramite una nomina ad Incaricato ricorrendo all’apposizione di un termine specifico che comporti l’automatica decadenza dall’Incarico a prestazione ultimata.

Quelle relative al corretto inquadramento dei soggetti esterni sono scelte delicate e non è facile indicare le soluzioni più idonee in un contesto generale ed astratto, senza poter addentrarsi nel dettaglio delle singole ipotesi concrete e delle specifiche realtà operative. D’altronde, se così non fosse, chi scrive avrebbe una motivo in meno per fornire consulenza alle varie aziende, enti e associazioni che si trovano ad affrontare la complessità della progettazione e dell’implementazione pratica di un adeguato sistema privacy per la propria struttura. Egoisticamente, meglio così! Tuttavia, riteniamo che coloro che abbiano avuto la pazienza di leggere i precedenti interventi relativi al Responsabile e quanto qui scritto, dispongano, ora, di qualche elemento in più, almeno in relazione ai criteri utili a discernere tra le diverse opzioni e ad individuare la soluzione più idonea. Non chiediamo a chi legge di immedesimarsi nelle vesti dell’ispettore della Guardia di Finanza o di un cliente animoso, ma riteniamo sia importante prodursi in uno sforzo di astrazione per qualche attimo e provare ad analizzare la propria organizzazione con occhi terzi, così da valutare nel modo più oggettivo possibile la reale portata delle singole collaborazioni esterne e giungere alle soluzioni più opportune (anziché le più comode).

Proviamo a fare un esempio completo. Per farlo, entriamo nei panni di un soggetto a capo di uno studio professionale che ha deciso di porre mano alla questione e di definire il proprio organigramma di privacy. Seguiamone la sequenza di ragionamenti che lo porteranno ad effettuare le scelte più opportune (ci si perdonerà il ricorso all’utilizzo della prima persona e ad uno stile informale utili a rendere, con brevità ed efficacia, l’essenzialità dei vari passaggi logici).

"Innanzitutto, faccio mentalmente un ripasso su chi mi aiuta a svolgere la mia attività.

C’è una segretaria alla mie dipendenze: naturalmente tratta moltissimi dati nel tenere l’agenda degli appuntamenti, nel mandare lettere, fax ed e-mail, nel fare fotocopie, nel gestire gli ordini di cancelleria e agli altri fornitori, nel predisporre documenti e nel compiere tutte quelle altre piccole cose che ogni tanto le chiedo di fare in più (una ricerca o altro). Non ho dubbi che ella debba essere nominata Incaricata del trattamento, perché risponde proprio al profilo tipico della figura.

Due mesi fa ho assunto un ragazzo in qualità di fattorino e "factotum" perché ho bisogno di qualcuno che consegni di persona i documenti più delicati, che vada a pagare le utenze, eccetera. E’ sempre in giro, lo vedo un attimo ad inizio mattinata, poi entra ed esce di continuo e lo saluto la sera quando si ferma un poco ad organizzare il da farsi per il giorno seguente. Anch’esso lo nomino Incaricato, non v’è dubbio.

Quindi, a questi due soggetti mi devo ricordare di dare informativa perché tratto i loro dati, controllerò se ne raccolgo dati sensibili (sindacali o relativi alla salute) e, nel caso, raccoglierò il loro consenso scritto; dopodiché, consegnerò loro la nomina ad Incaricato completa di istruzioni relative ai trattamenti che possono svolgere e alle misure di sicurezza che devono mettere in atto.

Poi, ho un giovane e bravo libero professionista con cui spartisco il lavoro più importante e un paio di praticanti che disbrigano il resto. Tutti loro sono miei dipendenti, ma lavorano per il mio studio e trattano dati in nome e per conto di questo. Li nomino Incaricati (esterni) del trattamento di modo che lo scambio di dati tra tutti noi non si configuri, ai sensi di legge, come "comunicazione". Darò loro informativa, nomina ed istruzioni.

Mi accorgo, a questo punto dell’analisi, di aver letto sul Sole 24 Ore e in una newsletter professionale che la legge sulla privacy esige la formazione di tutti gli Incaricati. Contestualmente, mi rendo conto che forse è il caso che anche io, in qualità di Titolare del trattamento, devo meglio comprendere quali siano gli obblighi, le misure, le conoscenze e gli accorgimenti imposti da una normativa che introduce diversi profili di responsabilità penale, civile ed amministrativa per la mia figura. Mi sovviene, inoltre, che un collega che ha uno studio ben più grande del mio, un volta, mi ha detto che in principio odiava la legge sulla privacy e che la considerava un impiccio, ma che poi ha seguito un corso, breve ma ben tenuto, ed ha capito che poteva essere una buona occasione per razionalizzare ed ottimizzare la gestione del lavoro, nonché la ripartizione dei compiti e delle competenze all’interno della sua struttura che fino a quel momento era un po’ in balia del, parole sue, "tutti fanno un po’ di tutto e, quindi, accedono un po’ a tutto, e ogni tanto si perde qualcosa". Infine, realizzo che, tutto sommato, una migliore conoscenza della legge sulla privacy e delle regole sulla sicurezza dei dati, potrebbe giovare anche alla mia personale professionalità ed arricchire le mie competenze. Visto che questa privacy pare spuntare un po’ ovunque, forse è meglio andarle incontro anziché rincorrerla quando un cliente mi chiede di valutare anche questo aspetto della questione; chissà, magari in futuro, se mi trovo a mio agio con la materia, potrebbe rivelarsi anche una competenza specificamente spendibile. Bene, a questo punto, sono convinto: posto che la formazione è comunque obbligatoria, ne scorgo anche ulteriori e sicuri benefici. Tanto vale farla per bene. Chiamo qualcuno di serio e lo faccio venire a fare un corso solo per noi.

Andiamo avanti. La stanza in cui teniamo la documentazione storica è, nel tempo, divenuta sempre più colma e sempre più disordinata, tanto che è capitato di impiegarci ore a trovare una cartella urgente. Ho intenzione di chiamare un ragazzo di cui mi fido per trasferire il tutto in una stanza più grande e, già che ci siamo, gli faccio a mettere mano all’archivio di modo da buttare le pratiche che non occorre più conservare e riordinare quelle da tenere. In due settimane ce la dovrebbe fare. Bene, lo nominerò Incaricato (esterno) del trattamento limitatamente al lavoro temporaneo che gli assegno. Sottoporlo al corso di formazione lo ritengo eccessivo, ma siccome in quelle pratiche ci sono dati assai particolari, non voglio correre rischi e voglio che sia conscio della loro delicatezza. Lo chiamerò, allora, solo dopo che avrò seguito il corso e integrerò, allora, le sue istruzioni con i principi generali del Codice Privacy e sottolineerò l’obbligo di riservatezza a cui egli è ancor più tenuto, visto che in poco tempo potrà visionare le pratiche relative a tantissimi clienti, per poi andarsene per sempre.

Bene, i collaboratori mi pare siano solo questi. Questi soli, trattano i dati che abbiamo. Siamo uno studio piccolo, d’altronde. Accidenti, però mi ricordo che l’anno scorso abbiamo avuto un problema con un virus, o non so cosa, che aveva corrotto una parte dei dati sul server e ho dovuto far venire il solito ragazzo che ci fa assistenza che ha risolto il problema e che mi ha assicurato che l’anagrafica clienti era riuscito a restituirla alla rete in tutta la sua integrità fisica e logica. Allora, anche lui può vedere i dati, pur interessandogli solo gli aspetti tecnici. Lo nomino Incaricato. Il mese scorso però, per sostituire una tastiera, non è venuto lui, ma un suo collega. E se invece che cambiare una tastiera avesse dovuto risolvere un problema tipo quello dell’anno prima oppure recuperare dei dati erroneamente cancellati dal praticante, come già accaduto? Devo nominare anche lui, assolutamente. Ma, ora mi ricordo, un’altra volta è venuto un terzo ragazzo! A ben pensarci, noi, per la manutenzione e l’assistenza del sistema informatico, abbiamo un contratto la Società Alfa S.r.l. e non col ragazzo che solitamente viene. Forse conviene che mi faccia dire da Alfa tutti i tecnici che può mandarci e nominarli tutti quanti Incaricati. Sì, ma come erogo loro la formazione obbligatoria? E se poi ne assumono uno nuovo, non mi avvertono, e me lo mandano quando chiamo? Cosa faccio, lo rispedisco indietro senza risolvermi il problema perché non lo posso nominare e formare seduta stante e perché, di conseguenza, non è legittimato ad accedere ai dati? Così, proprio non va bene. Forse è proprio questo il caso in cui mi conviene ricorrere alla nomina a Responsabile esterno. Infatti, se nomino in tal modo la società Alfa – prescrivendo, come da regola, la loro conformità a tutte le norme di privacy (loro nomine interne, formazione e adozione di misure di sicurezza, comprese) – qualsiasi tra i loro addetti all’assistenza è automaticamente autorizzato ad accedere ai miei dati. Nominando la struttura, infatti, autorizzo all’accesso tutti coloro che vi afferiscono. Questo mi risolverebbe anche un dubbio che ho sempre avuto: quando il tecnico si porta in azienda le nostre memorie informatiche per ripararle, magari le fa aggiustare da qualche suo collega più esperto del problema specifico. Ormai nelle memorie informatiche risiedono tutti quei dati sui clienti e sull’attività svolta nei loro interessi che costituiscono il patrimonio della nostra professione. Solo la nomina a Responsabile "esterno" di Alfa S.r.l. può conferire la giusta responsabilizzazione ad essa cui affidiamo i nostri dati critici e può sollevarci dalle problematiche che si presenterebbero se nominassimo Incaricati i loro dipendenti. Ne sono convinto.

A questo punto ritengo di aver individuato ed inquadrato correttamente tutte le figure che possono accedere ai dati personali detenuti dalla mia struttura. Domani mattina appena arrivo al lavoro, congedo come sempre la ragazza che viene a far le pulizie all’alba, e pianifico come fare le nomine e mi informo sulla formazione. Ah, già, e la ragazza delle pulizie? Lei sta tutte le mattine 3 ore dentro lo Studio da sola e, potenzialmente, anche se non penso che lo faccia, può mettersi a scartabellare tutti i faldoni e le carte con informazioni delicate sui clienti. In teoria, ha lo stesso accesso si dati contenuti in documenti cartacei di tutti noi. La devo nominare Incaricata e formarla? Questo, mi sembra davvero eccessivo. Ma, adesso che ci penso bene, cosa abbiamo comprato a fare tutto il mobilio da ufficio appositamente dotato di serrature? Domani, come prima cosa, dirò a tutti i collaboratori di riporre a fine giornata tutti i documenti contenenti dati personali negli appositi vani, di chiuderli con la serratura e di mettere le chiavi nel cassetto che c’è in corridoio. L’ultimo che esce è tenuto a chiudere quel cassetto e a portarsi via la chiave con sé. Chi dovesse avere documentazione a cui gli altri colleghi non sono tenuti ad accedere, la riporrà in uno specifico cassetto e tratterrà presso di sé la singola chiave. Mi devo ricordare di formalizzare questa procedura nelle istruzioni da allegare alla nomina degli Incaricati. Se la procedura viene seguita correttamente, la ragazza delle pulizie non può accedere ad alcun dato personale, ma solo alle riviste, le raccolte e i libri esposti sugli scaffali, e, dunque, non v’è ragione che nomini anch’ella Incaricata. Ma, forse, questo non basta a sistemare la questione. Avevo letto che, tra le misure minime che per legge bisogna adottare, era contemplato qualcosa sulla registrazione di quelli che entrano dopo l’orario di chiusura. Vediamo se la cosa è vera, controllando cosa dice il Disciplinare Tecnico del Codice della Privacy. Art. 20: "Le persone ammesse, a qualunque titolo, dopo l'orario di chiusura, sono identificate e registrate". Ho capito. Bene, per l’identificazione non c’è problema perché la ragazza che viene è sempre la stessa ed ho un contratto solo con lei (la situazione forse sarebbe stata più complessa se mi fossi rivolto ad un’impresa di pulizie). Per quanto riguarda la registrazione, qui non abbiamo certo un sistema di badge all’ingresso, quindi non mi rimane che predisporre un registro, metterlo vicino all’entrata e dirle che è tenuta ad apporvi l’orario di ingresso e di uscita nonché la firma. La cosa può, tra l’altro, essere utile: lei si assume le responsabilità di quanto dichiarato in registro e in caso di furti o altro, avremo un elemento in più per ricostruire i fatti.

Adesso, credo davvero di aver considerato tutto e ho capito qual è il modo più opportuno di procedere. Dopo aver instaurato e concluso queste procedure per la prima volta, non mi rimarrà che rimanere vigile sul punto, verificando periodicamente (lo farò almeno una volta l’anno) che le situazioni non siano mutate e, in caso contrario, gestirò le variazioni disponendo le relative modifiche o integrazioni".

Il lettore ci scuserà l’excursus caratterizzato dal ricorso alla prima persona singolare e ad un linguaggio poco formale, ma chi scrive ritiene che riportare il flusso di ragionamenti di un ipotetico Titolare che tenta di capire come regolarizzare la propria struttura, può risultare, in relazione alla tematica in esame, strumento di comprensione ben più efficace di molteplici e astratte argomentazioni giuridiche.

Concludiamo con un’ultima annotazione in relazione alla figura dell’Incaricato "esterno": si ricordi, nell’evenienza, di imporre al soggetto esterno di restituire, cancellare o distruggere i dati personali a cui non è più autorizzato ad accedere. E bene annotarlo, fin da principio, nelle istruzioni allegate alla prima nomina e, comunque, ribadirlo a fine rapporto.

LA FIGURA DELL’INCARICATO DEL TRATTAMENTO: L’INCARICATO E LA SUA MENZIONE IN INFORMATIVA

La nomina di un soggetto esterno ad "Incaricato del trattamento", comporta alcune conseguenze ulteriori sugli adempimenti che è normalmente necessario eseguire.

La prima conseguenza riguarda l’informativa da rendere agli interessati. L’art. 13, comma 1, lett. d) del D.Lgs. 196/2003 dispone che l’interessato debba essere preventivamente informato circa "i soggetti o le categorie di soggetti ai quali i dati personali possono essere comunicati o che possono venirne a conoscenza in qualità di responsabili o incaricati, e l'ambito di diffusione dei dati medesimi". Pertanto, sussiste l’obbligo di indicare in informativa la presenza di un Incaricato esterno che possa venire a conoscenza dei dati, esattamente come è obbligatorio indicare il terzo (non nominato) a cui si comunicano i dati.

Le indicazioni in questione rispondono ad esigenze di trasparenza e di correttezza su cui, giustamente, il dettato normativo non permette più scorciatoie. Quest’ultima affermazione non deve apparire anacronistica: fino alla vigenza della l. 675/1996 (ossia fino al 31 dicembre 2003) la norma che disponeva in materia di informativa - sul punto specifico, l’art. 10, comma 1, lett. d) - sanciva che l’interessato dovesse essere preventivamente informato (solamente) circa "i soggetti o le categorie di soggetti ai quali i dati personali possono essere comunicati e l'ambito di diffusione dei dati medesimi". Pertanto, pareva lecito non menzionare in informativa i soggetti nominati Incaricati (sia interni che esterni) non essendo, per la ben nota fictio iuris, destinatari di "comunicazione" o "diffusione", bensì di semplice trasferimento di dati all’interno dell’organigramma di privacy del Titolare. La circostanza, ovviamente, invitava i Titolari al ricorso alla nomina dei soggetti esterni ad Incaricati per evitare di incorrere in "comunicazione" e dover richiedere – e magari vedersi negato – il consenso per le stessa. Come conseguenza risultava che, non dovendosi menzionare gli Incaricati in alcun modo, l’interessato non aveva nessuna possibilità di conoscere preventivamente i terzi che potevano venire a conoscenza dei suoi dati qualora questi fossero stati nominati Incaricati. Ossia: consegnando i dati al Titolare, non era possibile scorgere l’intero percorso che essi avrebbero seguito anche al di fuori della struttura autorizzata al trattamento.

La nuova norma non permette più una simile e parziale informazione e richiede di rendere sinteticamente noto all’interessato l’intero flusso che verrà seguito dai suoi dati, menzionando coloro che possono venirne a conoscenza, oltre che come terzi meri destinatari, anche come Incaricati o Responsabili facenti parte dell’organigramma di privacy del Titolare. In altre parole: è permessa la nomina del soggetto esterno per evitare di configurare la circostanza giuridica della "comunicazione", ma non è concesso non evidenziare all’interessato la compartecipazione del terzo al trattamento. Questo, perché la sua volontà di rilasciare i propri dati deve formarsi anche in considerazione di tale evenienza (infatti, l’interessato potrebbe legittimamente negare il conferimento se ritiene inopportuno che terzi collaboratori del Titolare vengano a conoscenza dei suoi dati).

E’ lecito chiedersi quale sia il livello di dettaglio da adottare per menzionare gli Incaricati in informativa. L’utilizzo del termine "responsabili o incaricati" nel disposto in questione ha creato non poco sconcerto all’indomani dell’emanazione del Codice, dato che la precedente legge 675/1996 (all’art. 10) non ne recava traccia. Il timore era quello che la legge chiedesse, di punto in bianco, di rivedere le informative e di inserirvi tutti i nominativi di coloro che trattano dati per conto del Titolare: in altre parole, i nomi di tutti i dipendenti e i collaboratori. Oltre che una bella scocciatura per l’interessato che se la dovrebbe leggere, sarebbe stata anche un’opera di vanificazione dell’informativa stessa poiché al variare di un solo dipendente o collaboratore essa sarebbe divenuta obsoleta e, quindi, non valida. La ratio della norma (ovviamente, ma solo con interventi ufficiosi del Garante se ne è avuta certezza) è ben altra: all’interessato è necessario far sapere quali ambiti della struttura del Titolare avranno legittimo accesso ai suoi dati. In tal modo si intende rassicurare da una parte l’interessato e dall’altra costringere il Titolare a restringere la conoscibilità dei dati all’interno dell’azienda/ente ai soli soggetti che effettivamente dovranno trattare quei dati per lo svolgimento delle proprie attività ed il perseguimento della finalità di trattamento dichiarata nell’informativa stessa. L’interessato potrà, così, essere consapevole che, per il solo fatto di aver concesso i suoi dati, ad esempio, all’ufficio commerciale della ditta Alfa, non anche tutti i dipendenti dell’ufficio del personale della stessa ditta ne verranno a conoscenza. In tal modo viene posto un freno all’indiscriminata facoltà di circolazione infra-strutturale del dato personale e viene fornita la possibilità di valutare la pertinenza degli ambiti autorizzati al trattamento rispetto alle finalità della raccolta. Il Titolare, da parte sua, sarà consapevole che dovrà costruire un sistema di autorizzazione ed accessi (anche informatici) tale da permettere l’utilizzo di quei dati ai soli incaricati effettivamente legittimati. Riassumendo, per il caso portato ad esempio, in informativa sarà sufficiente affermare che coloro che possono venire a conoscenza dei dati dell’interessato in qualità di incaricati sono "il personale dell’ ufficio commerciale" (naturalmente si menzioneranno altre unità se necessario): l’indicazione della classe omogenea di operatività è un parametro adeguato.

Detto degli interni, rimane da chiedersi come debbano essere menzionati gli Incaricati esterni. A nostro avviso, è estremamente poco opportuno indicarli nominalmente. Bisogna tener presente che al variare di qualsiasi notizia riportata in informativa, questa dev’essere modificata e nuovamente fornita a tutti gli interessati perché l’informativa originaria è divenuta inidonea (e, pertanto, cada una, passibile di sanzione amministrativa ai sensi dell’art. 161 del Codice). E, con effetto a cascata, se l’informativa è divenuta inidonea, il consenso eventualmente rilasciato a suo tempo dall’interessato non è più valido poiché la volontà si era formata su notizie non più attuali: continuare a trattare i dati dell’interessato senza reperire un nuovo consenso basato su una nuova informativa potrebbe esporre il Titolare ai profili penali della sanzione per illiceità del trattamento prevista all’art. 167 del Codice. Dunque, se indichiamo il nome dell’outsourcer o del collaboratore che abbiamo nominato Incaricato esterno e poi vogliamo o dobbiamo sostituirlo, dovremo fronteggiare l’impatto profondamente negativo dell’obbligo di dover ripetere tutte le informative che, in alcuni casi, può significare gran dispendio organizzativo ed economico: si pensi all’eventualità per una grande azienda/ente di dover spedire via posta (visto che di rado l’occasione di contatto fisico col cliente si ripete) migliaia di informative. Se poi, in specie, eravamo tenuti (e vi avevamo provveduto all’instaurazione del rapporto) anche alla raccolta del consenso, dovremo spedire buste preaffrancate a nostre spese per agevolare il ritorno di un consenso nuovo e valido (con la prospettiva, comunque, di una percentuale di ritorno bassissima per la comprensibile inerzia dell’interessato). E, oltre alle energie profuse dal Titolare, si consideri che, comunque, l’interessato non è mai contento di ricevere una nuova informativa e di firmare altre carte.

E’ chiaro, a questo punto, che inserire in informativa il nominativo dell’Incaricato esterno può essere controproducente, ma questo non autorizza a limitarsi ad indicazioni eccessivamente vaghe o generiche. E’ accaduto spesso che, per crearsi un maggiore margine di sicurezza, Titolari risolvessero la questione con perifrasi del genere: "i Suoi dati potranno essere trattati da soggetti terzi di cui la ns. organizzazione si avvale per fornirle il servizio". Tanto valeva, allora, rinunciare all’indicazione. Per rendere l’informazione trasparente ed utile si dovrà indicare il tipo di attività esternalizzata e ricorrere una perifrasi del genere: "i Suoi dati potranno essere visualizzati anche dal soggetto esterno che sovrintende il nostro sistema informatico e che la ns. struttura ha nominato Incaricato del trattamento limitatamente agli accessi tecnici per esigenze di manutenzione dello stesso". Altro: "i dati personali da Lei rilasciati tramite test attitudinale saranno trattati da uno psicologo della ASL che la ns. Società ha preposto alla valutazione della idoneità all’assunzione e che ha, a tal fine, nominato quale Incaricato esclusivamente legittimato al trattamento di tali dati".

Siffatte indicazioni, pur prive di riferimenti nominativi, rendono certa la natura del terzo che compartecipa al trattamento del Titolare e lasciano intendere quale attività esso compia sui dati: il flusso extra-strutturale dei dati è chiaro (la qual cosa reca anche un non secondario effetto rassicurante). Naturalmente - in ragione di uno specifico interesse, timore o bisogno - l’interessato deve poter conoscere il nome dell’Incaricato esterno al quale sono stati trasmessi i suoi dati. Lo strumento messo dalla legge a sua disposizione per raggiungere tale scopo è l’istanza di interrogazione che ha diritto di esercitare ai sensi dell’art. 7. E’, pertanto, bene che il soggetto, o l’ufficio, indicato in informativa come deputato a soddisfare tali istanze (lo ricordiamo, mediante risposta entro 15 gg. dalla ricezione della richiesta), si faccia trovare preparato, tenendo presso di se un elenco degli Incaricati esterni con indicazione degli ambiti di trattamento consentiti a ciascuno di essi. In tal senso, un D.P.S. analitico e ben redatto potrebbe risultare strumento sufficiente ed efficiente, poiché - in ossequio a quanto disposto dal Disciplinare Tecnico All. B) del Codice Privacy - dovrebbe già contenere un’elencazione di tutte le attività esternalizzate.

LA FIGURA DELL’INCARICATO DEL TRATTAMENTO: L’INCARICATO ESTERNO E LA SUA MENZIONE IN D.P.S.

Dunque, lo si è appena detto a conclusione del precedente argomento, le attività gestite all’esterno per conto del Titolare debbono essere indicate nel Documento Programmatico sulla Sicurezza qualora il Titolare sia tenuto a redigerlo (ossia, tratti dati sensibili o giudiziari su strumento elettronico). Per inciso, ricordiamo che chi non vi fosse tenuto è bene che lo rediga ugualmente perché, così facendo, si procura, oltre ad un ottimo strumento gestionale, la più efficacie delle misure idonee ai sensi dell’art. 15 del Codice Privacy (Danni cagionati per effetto del trattamento) e dell’art. 2050 del Codice Civile (Responsabilità per l’esercizio di attività pericolose).

L’art. 19.7 del Disciplinare Tecnico in Materia di Misure Minime di Sicurezza, All. B del Codice Privacy, impone al Titolare di fornire "la descrizione dei criteri da adottare per garantire l'adozione delle misure minime di sicurezza in caso di trattamenti di dati personali affidati, in conformità al codice, all'esterno della struttura del titolare".

Ora, nella Guida Operativa per la redazione del Documento emanata dal Garante, tra le informazioni essenziali da riportare si indica: "Soggetto esterno : indicare la società, l’ente o il consulente cui è stata affidata l’attività, e il ruolo ricoperto agli effetti della disciplina sulla protezione dei dati personali (titolare o responsabile del trattamento)". Parrebbe, dunque, che l’Incaricato esterno non debba essere menzionato nel riporto in questione. A modesto avviso di chi scrive, la limitazione non ha ragion d’essere. Le attività esternalizzate debbono essere riportate e descritte a prescindere dalle scelte effettuate dal Titolare in relazione alle nomine. Altrimenti si invita, indirettamente, i Titolari a "nascondere" l’esternalizzazioni più "scomode" o "a rischio", mediante ricorso alla nomina ad Incaricato (anziché a Responsabile oppure lasciando il terzo Titolare autonomo). E’ un discorso simile a quello espresso in precedenza e relativo all’informativa ex legge 675/1996: la trasparenza dei flussi di dati deve essere garantita mediante un’informazione completa, non inficiando, questo, la facoltà di avvalersi o meno del potere di conferire un certo tipo di nomina e permanendo, dunque, la facoltà di instaurare con il terzo il regime giuridico ritenuto più opportuno e adeguato. In informativa le notizie devono essere complete a beneficio dell’interessato; nel D.P.S. le notizie devono essere esaurienti a beneficio di chi lavora nella struttura (se il documento è stato redatto di modo che abbia anche una valenza gestionale) e degli ispettori o degli organi giudicanti che dovessero eventualmente valutare la struttura e la condotta del Titolare. Per questi motivi, al di là di tutto ispirati al buon senso ed allo spirito sotteso alla normativa di privacy, riteniamo che le esternalizzazioni affidate a persone fisiche nominate Incaricate del trattamento debbano essere descritte nel Documento Programmatico in ossequio a quanto stabilito dall’art. 19.7 del Disciplinare Tecnico.

Forse il fatto che l’Incaricato non sia menzionato dal Garante nelle esemplificazioni della Guida Operativa alla redazione del D.P.S., è dettato dalla volontà di scoraggiare la nomina ad Incaricato esterno del terzo a cui il Titolare conferisce i dati sensibili, invitandolo a ricorrere alla più "pesante" nomina a Responsabile esterno oppure al reperimento del consenso scritto dell’interessato (se si opta per la comunicazione al terzo Titolare autonomo). A nostro avviso, tuttavia, un invito attraverso il "non detto" crea solo maggiore confusione di quanta già ce ne sia e - se fossimo, davvero, innanzi ad un consiglio da leggersi tra le righe - sarebbe meglio, allora, che l’Autorità formulasse esplicitamente il proprio orientamento. In tal modo avremmo un’interpretazione autentica che impone condotte obbligate ai Titolari in caso di esternalizzazioni aventi ad oggetto dati sensibili: o il terzo è nominato Responsabile oppure rimane Titolare autonomo (con conseguenze sugli obblighi di raccolta del consenso sia per il committente che per l’affidatario). In entrambi i casi un corollario risulterebbe chiaro: palese divieto di nominare Incaricato il terzo a cui il Titolare permette di trattare dati sensibili.

Sinceramente non crediamo che questo sia l’orientamento del Garante né che sia, tanto meno, un intendimento implicitamente voluto dal legislatore. Siamo d’accordo sul fatto che un outsourcing avente ad oggetto anche dati sensibili sia più opportuno, in via generale, regolamentarlo con il ricorso alla nomina a Responsabile. Ma, se è pacifico che esiste la possibilità di nominare un Incaricato esterno, non si vede, fino a prova contraria, perché non lo si possa fare nel caso di trattamento di dati sensibili. Ed, anzi, in taluni casi può apparire la soluzione migliore.

Poniamo il caso di un’associazione che si batte contro la pena di morte vigente in alcuni paesi e che promuove una raccolta di firme di cittadini che, sottoscrivendo, esprimono un convincimento filosofico e, quindi, un dato sensibile ai sensi dell’art. 4 del Codice. Le liste dei firmatari vengono affidate a due volontari non associati che si preoccupano di registrare una sola volta chi ha sottoscritto due o più volte l’appello o petizione; ossia, come si dice nel gergo del settore, "puliscono" gli elenchi. Questi soggetti sono, indubbiamente, esterni a cui l’associazione concede l’accesso ai dati sensibili dei sottoscrittori. Se l’associazione non li investe di alcuna nomina, i volontari potrebbero essere giudicati come Titolari autonomi (rispetto alla già sussistente titolarità dell’associazione) su quei dati con conseguenze per loro ingestibili in termini di adempimenti ex Codice Privacy (informativa e consenso, sicurezza, etc.); e l’associazione, da parte sua, dovrebbe, all’atto della raccolta firme, chiedere consenso scritto ed esplicito per la comunicazione dei dati sensibili ai volontari. La nomina a Responsabile da parte dell’associazione parrebbe, d’altro canto, eccessiva, quando non palesemente anacronistica e svuotata, per un lavoretto di breve durata. E’ chiaro, allora, che la soluzione migliore è la nomina ad Incaricato con tutte le prescrizioni di riservatezza e di sicurezza che l’associazione si premurerà di conferire ai 2 volontari che, peraltro, rispondono bene al profilo della figura perché non hanno e non debbono avere nessuna autonomia gestionale su quei dati: devono eseguire gli ordini del Titolare che gli ha raccolti, e basta.

Abbiamo creato questo esempio - come tanti altri se ne potevano delineare - solamente per rafforzare la nostra tesi secondo cui la nomina ad Incaricato di un soggetto esterno che tratti dati sensibili, oltre che possibile (non si reperisce, infatti, alcun elemento ostativo nella legge), può essere strumento idoneo per un’adeguata gestione dei flussi di dati.

Chiarito questo, ribadiamo che nel Documento Programmatico sulla Sicurezza è, a nostro avviso, necessario riportare anche le attività esternalizzate verso quei soggetti che si è ritenuto opportuno nominare "solamente" Incaricati del trattamento. E lo si deve fare per ossequio alla logica della norma 19.7 del Disciplinare Tecnico All. B) del Codice Privacy, nonché per una questione di trasparenza completezza delle informazioni da rendersi note nel D.P.S., documento attestante lo "stato dell’arte" di trattamenti, flussi e sicurezza. E’ l’esternalizzazione di un’attività sui dati ciò che va in primis riportato; la circostanza che questa sia gestita tramite ricorso a un certo tipo di nomina, o meno, sarà, per quanto rilevante ed indefettibile, solo una conseguente nota descrittiva.

Se, dunque, si è d’accordo con la nostra interpretazione, nel D.P.S. si dovranno menzionare anche gli Incaricati "esterni" e si dovrà riportare la descrizione dei criteri dell’affidamento dei dati, così come indicato nella Guida Operativa dal Garante allorché elenca, a mo’ di esempio, gli impegni che il terzo deve assumere a garanzia del trattamento:

1. trattamento di dati ai soli fini dell’espletamento dell’incarico ricevuto;

2. adempimento degli obblighi previsti dal Codice per la protezione dei dati personali;

3. rispetto delle istruzioni specifiche eventualmente ricevute per il trattamento dei dati personali o integrazione delle procedure già in essere;

4. impegno a relazionare periodicamente sulle misure di sicurezza adottate –anche mediante eventuali questionari e liste di controllo- e ad informare immediatamente il titolare del trattamento in caso di situazioni anomale o di emergenze.

Quanto qui affermato in termini di possibilità di nomina ad Incaricato del terzo cui si concede l’accesso ai dati sensibili, non significa in alcun modo che questa sia una soluzione da assecondare acriticamente. Anzi, data la delicatezza dei dati trattati sarebbe sempre meglio (come forse ha inteso suggerire tra le righe il Garante in Guida operativa) prediligere la nomina a Responsabile di colui che tratta dall’esterno dati sensibili o giudiziari. Ma non sempre questa – vuoi per la temporaneità dell’affido, vuoi per la totale mancanza di autonomia del terzo – pare una via che consenta un migliore gestione dei flussi e degli adempimenti conseguenti. Occorrerà, ogni volta, optare per la soluzione più idonea. Nel caso di optasse per il ricorso alla nomina ad Incaricato, si è provato qui a chiarire alcuni aspetti resi particolarmente complessi dall’assenza di precise indicazioni, normative ed interpretative, sul tema.

LA FIGURA DELL’INCARICATO DEL TRATTAMENTO: MODALITA’ DI NOMINA ED INDIVIDUAZIONE DELL’AMBITO DI TRATTAMENTO

L’art. 4, comma 1, lett. h) del D.Lgs. 196/2003 definisce come Incaricati "le persone fisiche autorizzate a compiere operazioni di trattamento dal titolare o dal responsabile". Questo significa che per poter trattare i dati in qualità di Incaricati v’è bisogno del conferimento di una legittimazione espressa da parte di colui che detiene - direttamente o per effetto di delega - il potere autorizzativo di privacy nella struttura. L’autorizzazione al trattamento è il conferimento ad una persona fisica dei poteri di compiere operazioni sui dati personali i cui effetti si possono riverberare sulla sfera giuridica del Titolare ed, eventualmente, del Responsabile. La forma e la modalità di conferimento sono stabilite all’art. 30, comma 2 del Codice Privacy: "La designazione è effettuata per iscritto e individua puntualmente l’ambito del trattamento consentito. Si considera tale anche la documentata preposizione della persona fisica ad una unità per la quale è individuato, per iscritto, l’ambito del trattamento consentito agli addetti all’unità medesima". Dunque, per la validità della preposizione è necessaria la forma scritta. In mancanza di forma scritta si verifica un caso di nullità per difetto di forma ai sensi dell’art. 1418, comma 2 del Codice Civile. L’utilizzo cogente della forma scritta risponde anche ad, almeno, un paio di esigenze precipue: da un lato, quella di costituire un mezzo attraverso cui fornire indicazioni precise al preposto, dall’altro, dare certezza dell’adempimento da parte del preponente. Non è previsto il ricorso ad ulteriori mezzi formali. Iin contesti di diritto privato si ricorrerà a nomine attraverso, appunto, la scrittura privata, nei contesti di pubblica amministrazione si ritiene sufficiente l’adozione di un ordine di servizio o di una semplice nota.

All’obbligo di utilizzo della forma scritta da parte del Titolare non corrisponde la necessità della sottoscrizione dell’Incaricato per accettazione. Non è richiesta, pertanto, un’espressione di consenso da parte dell’Incaricato. L’avvenuta ricezione o la certa presa visione dell’atto è sufficiente a dar vita all’incarico (a differenza di quanto avviene in materia di nomina del Responsabile), supponendosi un tacito consenso. Si consiglia, tuttavia, di far firmare l’atto per presa visione, sia per creare una maggiore consapevolezza nel preposto, sia per comprovare l’avvenuta ricezione.

Il rifiuto di accettazione o la contestazione della nomina ad Incaricato da parte del dipendente o del collaboratore è un episodio che si verifica ancora con una certa frequenza. Per ignoranza, verrebbe da dire (ma pare esagerato, dal momento che molti Titolari non hanno ancora alcuna cognizione di privacy). Spesso - specie in ambiente pubblico - la nomina è percepita come un aggravio ingiustificato, e non ulteriormente retribuito, dei propri carichi di lavoro. Sarà compito del Titolare o del Responsabile far comprendere agli addetti, con estrema semplicità, l’assoluta ineluttabilità - a far data dall’entrata in vigore, nel 1996, della prima legge sulla privacy - della nomina del lavoratore che tratta dati personali nello svolgimento delle proprie mansioni (eventualità, come spiegato in precedenti interventi, riguarda tutti il lavoratori, o quasi). In questo senso, la formazione preventiva si propone come strumento quanto mai utile. Sarà utile spiegare loro che il Titolare è tenuto a nominare i propri addetti perché, in caso contrario, i dati degli interessati saranno trattati in suo nome da persone non autorizzate: circostanza, questa, che può rendere il trattamento illecito e, di conseguenza, penalmente perseguibile l’operato del Titolare stesso. La questione potrebbe essere esposta in maniera ancor più drastica: se il rifiuto di fatto di ricevere la nomina ad Incaricato costringe il Titolare alla commissione di un illecito, non si può escludere che quest’ultimo possa prospettare il licenziamento per giusta causa del lavoratore recalcitrante (anche se in materia non v’è un giudicato che permetta di esibire con certezza questo argomento). E’, comunque, sconsigliabile - in un contesto di rifiuto - utilizzare argomenti che possono essere interpretati come minacce; sarà più semplice ed efficace spiegare come, per via dei vari disposti normativi, lavorare per conto di qualcuno significhi, oggidì, ricevere una nomina ad Incaricato e illustrare come la nomina e le varie istruzioni che la accompagnano non costituiscano un particolare aggravio, ma integrazioni per un’esecuzione della propria attività quotidiana più corretta e più rispettosa dei diritti altrui.

Il comma 2 dell’art. 30 del Codice Privacy precisa che le operazioni di trattamento possono essere effettuate solo da persone che abbiano ricevuto formale incarico con uno dei seguenti metodi:

  • designazione per iscritto del singolo incaricato, con la quale si individua puntualmente l’ambito del trattamento consentito;
  • documentata preposizione di una persona ad una unità, per la quale sia stato individuato per iscritto l’ambito del trattamento, consentito agli addetti all’unità medesima.

La seconda modalità di incarico, fatta propria dal nuovo Codice Privacy confermando una diffusa prassi applicativa, pare introdurre un’indubbia forma di semplificazione: ad esempio, dopo avere analiticamente individuato per iscritto i trattamenti che l’ufficio Risorse Umane può e/o deve porre in essere, non è necessario redigere un’apposita lettera di incarico da conferirsi al neo assunto che entra a fare parte di tale ufficio. E’ sufficiente che si documenti che la persona sia stata preposta a tale ufficio perché si possa considerare che alla stessa è stato dato un formale incarico per effettuare il trattamento dei dati necessario a svolgere le sue mansioni.

A nostro modesto avviso, il ricorso alla seconda modalità comporta, a fronte di un limitato vantaggio formale, un’inutile complicazione delle procedure di nomina ed informazione dell’Incaricato. Si tenga conto che, al di là della preposizione ad un unità che effettua determinati trattamenti, l’Incaricato dovrà, comunque, ricevere i compiti, le istruzioni e gli eventuali profili di autorizzazione. Non si vede perché, in maniera contestuale a tali conferimenti, non lo si possa anche informare su quale sia l’ambito di trattamento a cui viene preposto. Fornire tutte le indicazioni nel medesimo atto ci appare strumento più completo e comprensibile, anziché utilizzare diverse modalità. Questo non significa che non si possa ricorrere al metodo della preposizione per unità organizzativa (tanto più che lo permette la legge esplicitamente), né che le due modalità non possano essere utilizzate contemporaneamente ad abundantiam (una nomina ad personam con tutte le informazioni del caso ed una scheda di censimento dei trattamenti consentiti alla sottostruttura). Ma la piccola critica che muoviamo è relativa ad un’esigenza di chiarezza. Capita di sovente che il Titolare, per avvalersi del metodo semplificato in questione, finisca per preporre il dipendente, ad esempio, all’Ufficio Clienti ed annoti - su un modulo conservato in direzione - che l’Ufficio Clienti è autorizzato a trattare i dati per fini di "gestione del rapporto commerciale". L’utilità di questa procedura è palesemente vicina allo zero. Queste situazioni si verificano anche per la scarsa comprensibilità del dettato normativo che sembra imporre adempimenti farraginosi alternati a drastiche semplificazioni. Chi scrive è convinto che solo mediante l’individuazione ed il giusto apprezzamento della logica di fondo della legge, si possano comprendere e, quindi, produrre con maggiore fluidità, gli adempimenti di privacy. Il nostro consiglio è quello di creare con semplicità quelle procedure che abbinano all’efficacia un’utilità logica ed organizzativa.

Sul punto, dunque, procederemmo come segue. Innanzitutto si effettui un monitoraggio dei trattamenti che possono e/o debbono essere eseguiti dalle singole unità. Per trattamenti, intenderemo non l’attività generica tipica dell’ufficio, ma l’insieme di operazioni svolte per il perseguimento di una specifica finalità. Ad esempio, in un cosiddetto Ufficio Qualità, potremo individuare i seguenti trattamenti: "Raccolta ed elaborazione dati per gestione reclami della clientela", "Trasmissione informazioni alla direzione o all’ufficio produzione per segnalazioni difetti o guasti", "Raccolta e registrazione interviste telefoniche per rilevazione grado di soddisfazione della clientela", e così via. L’annotazione di tali informazioni, se eseguita per ogni unità o struttura, va a costituire un vero e proprio censimento dei trattamenti suddiviso per aree logico-organizzative e rappresenta, oltre ad un elaborato utile alla comprensione e alla razionalizzazione delle attività svolte, quel elenco dei trattamenti che viene richiesto - all’art. 19.1 del Disciplinare Tecnico All. B) del Codice Privacy - a coloro che sono tenuti alla redazione del D.P.S. Ora, il fatto che un neo assunto venga assegnato all’Ufficio Qualità non implica che egli debba svolgere tutte le attività di trattamento affidate alla struttura di appartenenza perché potrebbe essere preposto, per esempio, ad una mansione ulteriormente specifica che comporta una solo tipo di trattamento. Questa circostanza basterebbe a prediligere il ricorso alla nomina ad personam poiché delinea in maniera più precisa e razionale l’ambito di trattamento effettivamente delegato, all’interno dell’ufficio, all’Incaricato. In tal modo il Titolare (ed, eventualmente, il Responsabile) sono sicuri di aver delimitato correttamente la delega al trattamento dell’addetto, e questo è conscio di quello che può o non può fare. Nulla vieta di standardizzare il modulo di nomina sulla mansione ricoperta dall’assunto in modo da non dover ripetere la ricognizione dei trattamenti consentiti al variare del singolo soggetto che ricopre la carica.

Dunque, il consiglio è quello di procedere al censimento dei trattamenti e di preparare, sulla scorta delle informazioni ivi contenute, gli atti di nomina per i vari profili che lavorano per la struttura redigendoli in modo da esplicitare nel documento individuale di investitura non solo i compiti, le istruzioni e i poteri di accesso, ma che i trattamenti consentiti. Un documento unico, insomma, su cui l’Incaricato possa formare la propria consapevolezza e che, al Titolare e al Responsabile, fornisca un termine di raffronto tra il mansionario ideale e quanto effettivamente svolto.

LA FIGURA DELL’INCARICATO DEL TRATTAMENTO: DALL’AMBITO DI TRATTAMENTO AL PROFILO DI AUTORIZZAZIONE

Nel precedente intervento si è illustrato le modalità di nomina dell’Incaricato e si è approfondito il discorso relativo all’individuazione ed indicazione dell’ambito di trattamento consentito al preposto. In quel contesto si è specificato come l’Incaricato debba essere informato circa le attività che può compiere sui dati per il perseguimento di determinate e specifiche finalità. La legge non ne fa obbligo, ma sarebbe opportuno che l’indicazione di ogni trattamento consentito fosse corredata dall’elencazione delle banche dati cui si autorizza l’accesso per il compimento dell’attività. Sarebbe bene se l’elenco riportasse anche la specifica del formato elettronico o cartaceo del supporto su cui risiede la banca dati. Ancor meglio sarebbe, se si specificasse per ogni archivio la tipologia dei dati ivi contenuti (dati personali comuni, sensibili o giudiziari) in modo che l’addetto sia consapevole dell’attenzione e delle diverse procedure che ogni tipologia di dato comporta.

Portiamo un semplice esempio. La cuoca di un asilo è tenuta a sapere quali sono i bambini affetti da diabete e celiachia per preparare e distribuire loro i pasti specificamente indicati dalla dietologa. Ella dovrà certamente essere nominata Incaricata del trattamento e nel documento si dovrà riportare il trattamento consentito ("consultazione elenchi studenti per gestione della mensa scolastica") e le banche dati cui si concede accesso per lo svolgimento della predetta attività: elenco elettronico complessivo studenti (dati comuni), elenco cartaceo studenti ciliaci (dati relativi allo stato di salute), elenco cartaceo studenti diabetici (dati relativi allo stato di salute). La stessa cuoca potrebbe anche tenere una piccola cassa per l’acquisto urgente di alimenti o utensili da cucina e, a tal fine, conserva gli scontrini e istruisce un registro con informazioni sull’acquisto e nome del fornitore. Dunque, la cuoca è autorizzata compiere un secondo trattamento con diversa finalità e con utilizzo di differenti banche dati rispetto al primo; anche questo dev’essere riportato in nomina.

Se per ogni Incaricato si riesce definire e formalizzare in tal modo la portata dell’autorizzazione al trattamento, oltre che a soddisfare i minimi requisiti di legge, si otterrà una maggiore consapevolezza negli addetti, una mappatura dei vari trattamenti effettuati, un mansionario di dettaglio degli incarichi sui dati e, come effetto benefico, una migliore gestione e razionalizzazione degli accessi di privacy. Ricordiamo che, al di là del minimo imposto dalla legge, il Garante esige che all’interno di ogni struttura via sia consapevolezza e conoscibilità di "chi fa cosa, come, attraverso quali strumenti e banche dati, e perché" sui dati personali. Più si risponde con precisione a questa esigenza di definizione, più ci si dota di misure idonee poiché la specificazione delle attività e degli incarichi ottimizza le procedure sui dati e (solo in apparenza indirettamente) la loro protezione: se nella struttura ognuno conosce quali sono le proprie competenze e pertinenze sui dati, il livello generale di attenzione si innalza e il rischio riconnesso al trattamento ai sensi dell’art. 15 del Codice Privacy (che richiama l’art. 2050 del Codice Civile) si abbassa. Non è più tollerato che, per il fatto di avergli consegnato i suoi dati, l’interessato debba arrendersi all’idea che tutti i dipendenti o collaboratori del Titolare li possano consultare o utilizzare: solo coloro che ne hanno diritto, in quanto indispensabili al compimento di una determinata attività cui sono preposti, dovranno essere autorizzati ad accedervi. Una simile ripartizione ed esplicitazione delle singole attività sui dati evita accessi indiscriminati e risponde anche al principio di semplicità, armonizzazione e efficacia del trattamento di cui all’art. 2, comma 2 del Codice Privacy ed al principio di necessità del trattamento (e minimo utilizzo dei dati) di cui all’art. 3.

Riassumendo, è bene che - in ossequio alla normativa e per ottimizzare l’organizzazione delle attività - ciascuno riceva una lettera di incarico con indicazione dei trattamenti consentiti, ognuno dei quali è da svolgersi mediante ricorso a specifiche e selezionate banche dati di cui sono descritte le caratteristiche.

Al tema dell’individuazione dell’ambito di trattamento si lega quello, relativo alla sicurezza, del sistema e dei profili di autorizzazione.

L’art. 34, comma 1 del Codice Privacy stabilisce che:

Il trattamento di dati personali effettuato con strumenti elettronici è consentito solo se sono adottate, nei modi previsti dal disciplinare tecnico contenuto nell’allegato B), le seguenti misure minime:

c) utilizzazione di un sistema di autorizzazione;

L’art. 12 del Disciplinare Tecnico in Materia di Misure Minime di Sicurezza (All. B del Codice) sancisce che:

Quando per gli incaricati sono individuati profili di autorizzazione di ambito diverso è utilizzato un sistema di autorizzazione.

A sua volta, l’art. 4, comma 3 del Codice, definisce:

f) "profilo di autorizzazione", l’insieme delle informazioni, univocamente associate ad una persona, che consente di individuare a quali dati essa può accedere, nonché i trattamenti ad essa consentiti;

g) "sistema di autorizzazione", l’insieme degli strumenti e delle procedure che abilitano l’accesso ai dati e alle modalità di trattamento degli stessi, in funzione del profilo di autorizzazione del richiedente.

L’insieme dei citati disposti, può essere riassunto come segue: quando vi sono diversi utenti che utilizzano gli strumenti elettronici, il Titolare è tenuto a definire quali siano gli accessi consentiti ai diversi addetti. In pratica se il sistema di autenticazione (sistema di accesso allo strumento tramite user Id e password o mediante dispositivi alternativi) è da implementarsi per accertare l’identità e il diritto di ingresso del soggetto che entra nel computer, il sistema di autorizzazione è necessario per stabilire a quali banche dati, una volta entrato, l’utente ha diritto di accedere e quale potere di intervento sui dati gli sia consentito. Semplificando, con il sistema di autorizzazione il Titolare dispone per ciascun Incaricato quali dati possa vedere e cosa ci possa fare: in tal modo assegna ad ognuno di essi il cosiddetto profilo di autorizzazione.

L’assonanza con le disposizioni in materia di individuazione dell’ambito di trattamento è forte ed, in effetti, vi è una certa sovrapposizione. In entrambi i casi si obbliga ad indicare le pertinenze e i poteri sui dati, specificando e delimitando (si noti l’accezione "circoscrittiva" del termine) l’ambito di operatività dell’addetto. In un certo senso, si sarebbe tentati di affermare che il profilo di autorizzazione non è altro la trasposizione informatica dell’ambito di trattamento assegnato. Ma la distinzione va mantenuta e non solo perché l’ambito di trattamento concerne anche l’attività compiuta su supporto cartaceo. L’ambito di trattamento specifica le finalità dei trattamenti delegati al preposto, mentre il profilo di autorizzazione stabilisce quali aree del sistema informatico possano essere utilizzate per lo svolgimento dell’attività. Può accadere che vi siano diversi Incaricati che eseguano trattamenti diversi (come specificato nella loro nomina), ma che abbiano tutti il medesimo profilo di autorizzazione perché utilizzano tutti (e con poteri speculari) le stesse banche dati sebbene per distinte finalità. Facciamo un esempio limitato: a tre colleghi di uffici diversi è consentito l’accesso all’anagrafica elettronica dei clienti. Uno usa i dati per stilare aggregati statistici, un altro per aggiornare la contabilità attiva e un altro ancora per fini di ulteriore contatto commerciale. I tre colleghi svolgono trattamenti distinti accedendo ai dati mediante simile profilo di autorizzazione. Può, viceversa, accadere che a tre Incaricati sia conferito sia il medesimo ambito di trattamento, sia lo stesso profilo di autorizzazione (tre colleghi della contabilità che si dividono solo quantitativamente il lavoro). Può, infine, accadere che i tre colleghi della contabilità siano dotati dello stesso ambito di trattamento, ma di profili di autorizzazione diversi sulla medesima banca dati elettronica (uno a poteri di sola lettura, uno ha potere di inserimento dati, un altro ha poteri di inserimento e modifica dati). Insomma, non sempre – in relazione ai trattamenti effettuati tramite strumento elettronico – la portata dell’ambito di trattamento coincide con quella del profilo di autorizzazione.

Nel prossimo intervento cercheremo di comprendere la reale portata obbligatoria dell’implementazione di un sistema di autorizzazione, le caratteristiche della misura e le eventuali conseguenze sull’atto di nomina dell’Incaricato.

LA FIGURA DELL’INCARICATO DEL TRATTAMENTO: IL PROFILO ED IL SISTEMA DI AUTORIZZAZIONE

Nel precedente intervento, oltre a delinearne le differenze dalla nozione di "ambito di trattamento", s’è provveduto ad introdurre la definizione di "profilo di autorizzazione" e si è anche accennato alla riconnessa misura minima concernente l’implementazione di un "sistema di autorizzazione". Approfondiamo gli aspetti salienti del tema.

Se ci si limitasse alla sola consultazione del Codice Privacy si ricaverebbe l’impressione che l’adozione di un sistema di autorizzazione sia sempre obbligatoria per chiunque utilizzi dei computer. L’art. 34, comma 1 del Codice Privacy stabilisce che:

Il trattamento di dati personali effettuato con strumenti elettronici è consentito solo se sono adottate, nei modi previsti dal disciplinare tecnico contenuto nell’allegato B), le seguenti misure minime:

c) utilizzazione di un sistema di autorizzazione;

In verità, la reale portata della prescrizione – come sempre accade in tema di misure minime di sicurezza – è da rinvenirsi nel Disciplinare Tecnico All.B del Codice Privacy che all’art. 12 sancisce:

Quando per gli incaricati sono individuati profili di autorizzazione di ambito diverso è utilizzato un sistema di autorizzazione.

Su questa base, appare chiaro che l’obbligo non riguarda tutti indiscriminatamente, ma soltanto quei Titolari che assegnano ai propri Incaricati differenti capacità di accesso alle memorie informatiche. Ciò assodato, sorge immediata, nel Titolare in cerca di scorciatoie, una domanda: "Chi o cosa mi impedisce di non differenziare gli accessi alle banche dati, di non costituire diversi profili di autorizzazione, e, quindi, di non implementare la misura relativa al sistema di autorizzazione? La legge mi sta dicendo che, se attribuisco a tutti i dipendenti il medesimo profilo di autorizzazione, posso ignorare la misura?".

Per rispondere alla domanda è necessario introdurre il disposto dell’art. 13 del Disciplinare Tecnico:

I profili di autorizzazione, per ciascun incaricato o per classi omogenee di incaricati, sono individuati e configurati anteriormente all’inizio del trattamento, in modo da limitare l’accesso ai soli dati necessari per effettuare le operazioni di trattamento.

La norma in questione afferma che il Titolare deve precostituire dei profili di autorizzazione affinché ciascun Incaricato possa accedere solamente ai dati indispensabili allo svolgimento del trattamento (o dei trattamenti) cui è preposto. Per nessuna ragione l’Incaricato deve visionare dati o banche di dati che non gli competono e che non gli servono per svolgere le mansioni formalmente affidategli. Questo non è altro che il principio di trattamento minimo ed indispensabile dei dati che pervade tutta la normativa di privacy e che – in tema di configurazione dei sistemi informativi e dei programmi informatici – si esplicita nel principio di minimo accesso alle banche dati elettroniche. Sulla base di queste premesse apparirà più chiaro che se in una struttura vi sono tre Incaricati soltanto, e tutti e tre debbono potere accedere al complesso dei dati per garantire l’esecuzione dei trattamenti e la continuità operativa dell’attività professionale, il profilo di autorizzazione sarà unico e il Titolare potrà non implementare un sistema di autorizzazione. La valutazione dovrà essere compiuta sulle basi più oggettive possibili perché la congruità della decisione circa la mancata differenziazione degli accessi potrebbe essere oggetto di giudizio in caso di intervento del Garante o dell’Autorità Giudiziaria. In una struttura anche di piccole dimensioni non sarebbe in alcuna maniera giustificabile l’evenienza che i dipendenti dell’ufficio commerciale potessero accedere ai programmi informatici finalizzati alla gestione del personale. Ne consegue che, laddove non vi è ragione che tutti gli Incaricati siano dotati della medesima capacità di accesso alle banche dati elettroniche, sarà imprescindibile l’assegnazione degli opportuni profili di autorizzazione e la configurazione, a monte, di un sistema di gestione informatica degli stessi. Lo ripetiamo: in questi casi ad ogni Incaricato dovrà essere conferito un raggio di accesso limitato alle sole componenti utili ed indispensabili allo svolgimento delle proprie mansioni.

Il citato art. 13 del Disciplinare Tecnico ammette, in modo chiaro ed inequivocabile, la possibilità di assegnare il medesimo profilo di autorizzazione a più preposti individuati anche "per classi omogenee". Quindi se, ad esempio, tutti i dipendenti dell’ufficio contabilità sono chiamati a svolgere le medesime operazioni sui dati, ad essi potrà essere assegnato un unico profilo. Lo stesso si dica per ulteriori uffici o contesti caratterizzati da simile univocità. Si badi: per avere un identico profilo è necessario non solo abilitare tutti all’accesso alle stesse banche dati, ma anche conferire loro i medesimi poteri di intervento sui dati (lettura, inserimento, modifica, cancellazione, stampa, etc.). Al variare di ognuno di questi poteri deve corrispondere un profilo di autorizzazione differente. Riassumendo, si può affermare che il profilo di autorizzazione è dato dalla capacità di accesso alle banche dati e dai poteri di intervento sugli stessi. Quando si ritiene che a più addetti debbano essere conferite identiche capacità e poteri sui dati elettronici, allora si può optare per l’assegnazione di un profilo per classe omogenea di Incaricati.

L’obbligo di adozione della misura "sistema di autorizzazione" di cui all’art. 34 del Codice è, come tutte le misure minime, a carico del Titolare. Ovviamente, salvo ricopra contestualmente anche quel ruolo, egli dovrà farsi coadiuvare dal amministratore di sistema (o da chiunque abbia capacità di sovrintendere al sistema informatico) inducendolo a configurare l’apparato informatico in base ai diversi profili individuati.

La misura relativa al sistema di autorizzazione non può dirsi adottata solamente a seguito della sua sola configurazione. Il sistema deve essere funzionante ed utilizzato correttamente senza che (come è capitato in alcune aziende) circolino in struttura passepartout in dotazione a più persone per il caso, del tutto soggettivo, che qualcuno abbia occasionalmente bisogno di consultare o acquisire questo o quel dato: ciò significherebbe, anche a livello di responsabilità, vanificare tutta la misura. In questo senso il sistema deve essere a "tenuta stagna" - eccezion fatta, naturalmente, per i poteri di accesso tecnico dell’amministratore di sistema - e gli accessi occasionali devono essere gestiti tramite specifiche e singole richieste di autorizzazione (per le regolamentare le quali il Titolare farà bene a formalizzare e divulgare apposita procedura). Oltre a queste ovvie premure, il sistema deve essere gestito nel tempo per potersi qualificare come "misura minima". Questo significa che, oltre alla gestione e manutenzione tecnica del sistema, è necessario provvedere ad aggiornare la logica della differenziazione degli accessi. L’art. 14 del Disciplinare Tecnico lo afferma a chiare lettere:

Periodicamente, e comunque almeno annualmente, è verificata la sussistenza delle condizioni per la conservazione dei profili di autorizzazione.

Dunque, almeno una volta all’anno è necessario verificare la pertinenza del profilo assegnato all’Incaricato controllando che egli abbia ancora diritto ad accedere alle medesime banche dati elettroniche e con i medesimi poteri. Ad avviso di chi scrive è opportuno che, laddove possibile, queste operazioni di aggiornamento non siano effettuate a scadenze fisse, bensì che siano registrate non appena si verifica una variazione che possa influire sul profilo assegnato. Ad esempio, se, per un caso di "mobilità interna", un addetto delle Risorse Umane viene dislocato presso la contabilità, il suo profilo deve essere immediatamente modificato (così come l’ambito di trattamento assegnatoli e, di conseguenza, i contenuti della sua nomina ad Incaricato). Solo adottando questa politica (naturalmente più facile da applicare se supportati da un adeguato software di gestione della privacy), si evitano i rischi di dar luogo ad accessi non autorizzati e, quindi, di essere colti in fallo. Inoltre, e più in genere, la gestione continua delle evoluzioni che hanno ripercussioni sugli adempimenti di privacy è molto meno faticosa che la rincorsa all’adeguamento (e la "ricopertura" di quanto è divenuto non conforme) da effettuarsi in una sola ed annuale sessione di controllo ed aggiornamento.

Proseguendo in quest’ottica, sarebbe bene introdurre ed esplicitare il profilo di accesso nella nomina dell’Incaricato di modo che ogni variazione concernente l’Incaricato si riverberasse in un aggiornamento - quasi in tempo reale - dell’atto che lo autorizza a trattare i dati per conto del Titolare. La nomina, lo abbiamo già detto, deve di regola contenere un elenco delle prescrizioni di sicurezza che l’Incaricato deve osservare (tema che approfondiremo successivamente) e l’indicazione dei trattamenti di sua competenza. Se, oltre a questo, facciamo lo sforzo di aggiungere (meglio se suddivise in relazione a ciascun trattamento) l’elenco delle banche dati cartacee ed elettroniche a cui gli si concede accesso al fine di svolgere i trattamenti cui è preposto, avremo già introdotto il suo profilo di autorizzazione (tramite, appunto, menzione dei database informatici cui si consente accesso); un profilo che potremo completare semplicemente riportando, accanto ad ogni archivio elettronico menzionato, l’indicazione dei poteri di intervento concessi in relazione ai dati risiedenti nell’archivio stesso ("sola consultazione", "modifica", "cancellazione", etc.). In questo modo una nomina aggiornata diviene, al di là dei contenuti minimi di legge, specchio fedele delle attribuzioni dell’Incaricato e documento di maggior valore organizzativo (pur rimanendo, lo ricordiamo, il profilo di autorizzazione una misura logica da implementare a livello informatico).

Concludiamo con un accenno al disposto dell’art. 11 del Disciplinare Tecnico che istituisce un’eccezione alla misura in questione:

Le disposizioni sul sistema di autorizzazione non si applicano ai trattamenti dei dati personali destinati alla diffusione.

L’esclusione è dettata da una ragione facilmente intuibile. I dati soggetti a diffusione (ad esempio, quelli che sono pubblicati sul sito Internet aziendale o dell’ente) sono, per definizione, conoscibili da chiunque sia all’esterno della struttura e, pertanto, non v’è bisogno di precluderne l’accesso - a maggior ragione - agli Incaricati del Titolare che da luogo alla divulgazione.

LA FIGURA DELL’INCARICATO DEL TRATTAMENTO: LE ISTRUZIONI SULLA SICUREZZA

Come abbiamo chiarito nei precedenti interventi, il Titolare che intenda avvalersi del contributo lavorativo di dipendenti e collaboratori deve autorizzarli formalmente al trattamento (tramite nomina), deve limitarne e regolamentarne il raggio di azione sui dati (tramite individuazione dell’ambito di trattamento consentito) e deve, qualora essi utilizzino anche strumenti elettronici, delinearne le capacità di accesso e i poteri d’intervento sulle banche dati informatiche (tramite configurazione del profilo di autorizzazione). Effettuando in modo adeguato questi passaggi, il Titolare procede al corretto inquadramento ed incanalamento dell’attività dell’Incaricato. Ma tanto non basta, perché la normativa di privacy esige che l’Incaricato sia specificamente edotto circa i mezzi e le modalità a cui deve far ricorso per garantire la protezione dei dati cui è autorizzato ad accedere per lo svolgimento della propria attività. In parole semplici, l’Incaricato deve ricevere le istruzioni relative alla sicurezza dei dati cui si deve attenere, secondo quanto stabilito dall’art. 30, comma 1 del D.Lgs. 196/2003: "Le operazioni di trattamento possono essere effettuate solo da incaricati che operano sotto la diretta autorità del titolare o del responsabile, attenendosi alle istruzioni impartite".

Il Codice Privacy non sembra imporre la forma scritta delle istruzioni di sicurezza, contrariamente a quanto esige per la nomina e l’individuazione dell’ambito di trattamento, ma l’obbligo sussiste ugualmente, in quanto rinvenibile all’art. 27 del Disciplinare Tecnico, All. B) del Codice ("Agli incaricati sono impartite istruzioni scritte finalizzate al controllo ed alla custodia, per l'intero ciclo necessario allo svolgimento delle operazioni di trattamento, degli atti e dei documenti contenenti dati personali"). La statuizione disciplinare è opportuna. Non può sfuggire, infatti, che la consegna di istruzioni in forma scritta apporta sicuri benefici quali:

  • una maggiore possibilità di provare l’adempimento da parte del Titolare in caso di contestazioni;
  • la continua disponibilità delle indicazioni e prescrizioni contenute nel documento di sicurezza affidato all’Incaricato a cui consegue una maggiore responsabilizzazione circa la relativa applicazione;
  • la possibilità per l’Incaricato, dovuta alla possibilità di una reiterata consultazione nel tempo, di segnalare i punti del documento che, nell’implementazione pratica, risultano di difficile applicazione o inadeguati oppure che svelano una qualche criticità o vulnerabilità (in tal modo si stimola, così come fosse un processo interno di verifica, un tempestivo intervento del Titolare o del Responsabile).

Le istruzioni sono dichiarazioni determinative che, ovviamente, debbono variare da contesto a contesto e non è qui possibile fornire un elenco delle indicazioni che possono esservi inserite. Inoltre, le istruzioni potrebbero variare da Incaricato ad Incaricato a seconda dello specifico scenario operativo in cui l’opera viene prestata. Ci limitiamo, qui, a segnalare la tipologia di informazioni che sicuramente debbono essere fornite all’Incaricato.

In tutti i casi sarà necessario stilare disposizioni volte ad individuare la corretta tenuta dei dati contenuti su supporto non elettronico. In relazione a tali documenti, si potrà indicarne le modalità di accesso, di custodia, di trasporto, di asporto e di distruzione con particolare attenzione a quanto stabilito da Disciplinare Tecnico in relazione ai dati sensibili e giudiziari, qualora questi debbano essere trattati dall’Incaricato. Altri aspetti possono essere presi in considerazione, come la regolamentazione dei rapporti coi terzi (ad esempio: rilascio di fotocopie, comunicazioni verbali dirette, utilizzo di adeguato tono di voce in compresenza di terzi non interessati, comunicazione di dati per via telefonica, rispetto delle distanze di sicurezza, eccetera).

Nel caso di utilizzo di strumenti elettronici sarà necessario istruire l’Incaricato circa:

  • l’utilizzo delle credenziali di autenticazione. In relazione alla parola chiave, dovranno specificarsi le modalità di elaborazione (livello minimo di complessità della password), di modificazione (tempi e modi di sostituzione) e di custodia (istruzioni sulla riservatezza della parola), nonché le modalità di consegna di copia della password al custode designato. In relazione all’utilizzo di dispositivi alternativi per l’accesso allo strumento (ad esempio, una smart card) si specificheranno le precauzioni del caso per impedire rischi di accessi non autorizzati;
  • l’utilizzo dello strumento. Si prescrive quali siano le condotte necessarie ad impedire che lo strumento rimanga incustodito e accessibile, sia durante la sessione di trattamento (utilizzo di screensaver con password, eccetera), sia fuori dall’orario di lavoro (corretta chiusura del terminale, eccetera);
  • l’utilizzo dei programmi informatici utilizzati per lo svolgimento dell’attività lavorativa. Si istruisce circa la politica del Titolare in materia di uso della posta elettronica (ad esempio, invito ad un moderato utilizzo per fini personali), di Internet (divieto di download non autorizzato, eventuali restrizioni alla navigazione, eccetera) e sulle modalità di impiego dei vari applicativi;
  • l’utilizzo dei programmi per la sicurezza informatica. Si prescrivono (qualora non vi dovesse provvedere l’amministratore di sistema o un automatismo) le modalità di azionamento e aggiornamento dell’antivirus, l’utilizzo del firewall, l’eventuale reperimento di programmi di aggiornamento dei sistemi operativi o degli applicativi;
  • la creazione di copie di sicurezza. Si istruisce (qualora non vi dovesse provvedere l’amministratore di sistema o un automatismo) circa l’effettuazione dei back-up informatici. Se del caso, sono fornite indicazioni circa la conservazione dei supporti contenenti le copie di sicurezza (ad esempio, trasporto e custodia in luogo diverso da quello di salvataggio);
  • l’utilizzo dei supporti rimuovibili. Si prescrive la condotta da tenere in relazione a floppy, cd, memorie USB e altri hard-disk esterni, compresi gli obblighi di formattazione dei supporti contenenti dati sensibili prima di un loro reimpiego;
  • le figure di riferimento cui rivolgersi tempestivamente in caso si verifichino determinati eventi o in caso di dubbi (Titolare, Responsabile, Amministratore di Sistema, Custode delle copie delle credenziali, altri specifici Incaricati, Manutentori o altri soggetti esterni ben individuati)

Oltre a quanto sopra elencato in rapida sequenza, molte altre indicazioni possono concorrere a formare le istruzioni di sicurezza da consegnare all’Incaricato. Ad ogni buon conto, un concetto deve essere chiaro: le istruzioni non debbono avere ad oggetto la sola implementazione delle misure minime, ma anche delle misure idonee, ossia di tutte le attività e le condotte utili a garantire un adeguato livello di protezione per i dati personali in relazione al contesto specifico. Ne va, oltre che della protezione dei diritti dei terzi sui dati, della tutela del patrimonio informativo della struttura e, cosa non secondaria, del livello di responsabilità civile che verrà attribuito al Titolare nel caso si verificasse un danno originatosi nell’ambito di operatività dell’Incaricato (sul punto, rimandiamo – ancora una volta – a quanto sancito dall’art. 15 del Codice Privacy e dall’art. 2050 del Codice Civile).

Le istruzioni, così come la nomina cui è bene siano allegate, devono essere, ovviamente, aggiornate al variare delle condizioni di trattamento. Particolare attenzione si dovrà usare in caso di evoluzione o ammodernamento del patrimonio tecnologico (circostanze che, in alcuni contesti professionali, potremmo definire "dinamiche e continue", in altri, "episodiche") di modo che le disposizioni di sicurezza non divengano obsolete rispetto alle nuove dotazioni. E’, comunque, necessario controllare la validità delle istruzioni quantomeno una volta l’anno.

 

LA FIGURA DELL’INCARICATO DEL TRATTAMENTO: LA FORMAZIONE E’ UNA MISURA MINIMA?

Tra i tanti adempimenti che il Titolare del trattamento deve eseguire per effetto della normativa di privacy, si è soliti menzionare quello inerente alla formazione degli Incaricati. La percezione diffusa è che sussista un vero e proprio obbligo di formazione; una percezione prodotta nel pubblico interessato, soprattutto, per effetto dei vari - e, talvolta, sbrigativi - commenti che hanno accompagnato l’emanazione del Codice Privacy. Tuttavia se il Titolare prova a ricostruire il fondamento dell’obbligo attenendosi al testo di legge, egli è destinato ad essere assalito da una serie di dubbi e perplessità circa l’an e il quantum dell’adempimento. In altre parole non è facile attribuire la corretta qualificazione giuridica ed estensione applicativa dell’obbligo di formazione; circostanza di non poco conto, considerato che occorrerebbe, quantomeno, essere certi di quale sia la sanzione in caso di inadempienza. Inoltre, poiché la formazione costa tempo e denaro, è importante aver chiaro chi vi sia obbligatoriamente tenuto e perché. Riteniamo, pertanto, opportuno addentrarci nel dettato legislativo alla ricerca di indizi e risposte utili.

L’obbligo sembra trovare la propria fonte normativa nell’art. 19.6 del Disciplinare Tecnico in Materia di Misure Minime di Sicurezza, All. B) del D.Lgs. 196/2003, laddove si stabilisce che il Documento Programmatico sulla Sicurezza deve contenere idonee informazioni riguardo "la previsione di interventi formativi degli incaricati del trattamento, per renderli edotti dei rischi che incombono sui dati, delle misure disponibili per prevenire eventi dannosi, dei profili della disciplina sulla protezione dei dati personali più rilevanti in rapporto alle relative attività, delle responsabilità che ne derivano e delle modalità per aggiornarsi sulle misure minime adottate dal titolare (...)".

Per comprendere la reale portata coattiva della disposizione è necessario inquadrare il suo collocamento all’interno del quadro normativo. Il Codice Privacy non fa, in nessuno dei 186 articoli che lo compongono, alcuna menzione circa la necessità di eseguire interventi formativi. L’unico riferimento è rinvenibile, appunto, nel Disciplinare Tecnico. In esso, all’interno del titolo "Trattamenti con strumenti elettronici", troviamo - come primo di una serie di articoli dedicati a coloro che trattano dati sensibili o giudiziari su strumento elettronico e che proseguono fino all’art. 24 - l’art. 19 che, per punti, elenca i contenuti informativi che il D.P.S. deve riportare, tra cui il piano di formazione al 19.6. La collocazione della norma ci porterebbe a dedurre, in primo luogo, che la programmazione della formazione degli Incaricati è obbligatoria per i Titolari che trattano dati sensibili o giudiziari su strumento elettronico (ossia, per coloro che debbono redigere il D.P.S.). In secondo luogo, ma per via interpretativa, parrebbe legittimo considerare la formazione come una vera e propria misura minima di sicurezza da annoverarsi tra quelle esplicitamente riconnesse ai trattamenti elettronici di dati sensibili, sebbene la tecnica di redazione adottata dal legislatore non renda palese simile qualificazione. Se si assume come corretta questa interpretazione, si è indotti ad affermare che la mancata erogazione della formazione è penalmente sanzionabile ai sensi dell’art. 169 del Codice Privacy che punisce la mancata adozione delle misure minime di sicurezza.

Invero, per quanto logica possa prima facie apparire la ricostruzione appena esposta, la questione è assai delicata e di non facile soluzione, al punto tale da insinuare in chi scrive dubbi circa la certezza del diritto.

L’art. 169 si limita a sanzionare l’omessa adozione delle misure minime di cui all’art. 33. L’art. 33 ("Misure minime") del Codice Privacy afferma che i Titolari "sono comunque tenuti ad adottare le misure minime individuate nel presente capo". All’interno del "presente capo" (il capo II) quello che ci interessa maggiormente in relazione al tema in discussione, è l’art. 34 ("Trattamenti con strumenti elettronici"). L’art. 34 elenca, senza curarsi di distinguere tra trattamenti di dati personali sensibili o comuni, le misure minime alla cui adozione è tenuto il Titolare che tratti dati personali su strumenti elettronici; alla lettera g) del comma 1 di tale elenco troviamo la misura "tenuta di un aggiornato documento programmatico sulla sicurezza". Ripercorrendo la strada all’inverso, a mo’ di "prova del nove", arriviamo a constatare che la mancata o non aggiornata tenuta di un D.P.S. viola l’art. 34 relativo alle misure minime per i trattamenti elettronici, circostanza che produce automaticamente la violazione dell’art. 33 che stabilisce l’obbligo generale di adozione delle misure minime di sicurezza, la cui omissione è penalmente sanzionata dall’art. 169. Ergo, il D.P.S. è una misura minima e la sua omissione o mancato aggiornamento può far operare la citata sanzione penale.

A questo punto il lettore si potrebbe chiedere, a ragione, dove si cerchi di andare a parare e dove sia finita la formazione in questa ridda di articoli di legge. Purtroppo il "giro dell’oca normativo" non è terminato e necessita di ulteriori tappe che chiariscano quale sia la reale portata obbligatoria del D.P.S., senza la quale non potremo far luce sulla portata obbligatoria o meno della formazione: le due questioni, per via della controversa tecnica legislativa utilizzata, sono legate. L’art. 34, nell’elencare le varie misure minime, rimanda esplicitamente al Disciplinare Tecnico in relazione ai modi di attuazione delle stesse. Un rinvio che si giustifica con l’esigenza - in prospettiva - di non emendare di continuo il Codice, allorché l’evoluzione dei pericoli e, di conseguenza, delle contromisure (in particolare, quelle tecnologiche) rendesse necessaria l’introduzione di nuove misure minime. Un allegato regolamentare è, in effetti, strumento assai più idoneo ad assecondare ed assimilare simili esigenze di aggiornamento normativo e non a caso è previsto che il Disciplinare Tecnico debba essere ciclicamente revisionato dal legislatore. Tornando all’art. 34, esso, lo abbiamo detto, è la norma che fonda l’obbligo di redigere un D.P.S. per coloro che trattano dati elettronici, ma solo seguendone il rinvio al Disciplinare Tecnico si comprende, all’art. 19, che l’obbligo di redazione è limitato solo a coloro che trattano dati sensibili o giudiziari su strumento elettronico. Perché - è lecito chiederselo - la limitazione circa i soggetti obbligati non è stata esplicitata nel Codice? Perché "nasconderla" in un allegato? Molti ricorderanno come, all’indomani dell’emanazione del Codice Privacy, diversi recensori – tra cui alcune testate giornalistiche di primaria importanza – intitolassero i loro commenti circa le novità rispetto la legge 675/1996: "Il D.P.S. diventa obbligatorio per tutti". Simili fuorvianti affermazioni nascevano dal fatto che molti commentatori si erano limitati ed affidati alla sola analisi del D.Lgs. 196/2003 tralasciando di combinarne i disposti con quelli del Disciplinare Tecnico a cui il Codice fa rinvio. Ed, in effetti, a limitare la propria lettura alle disposizioni del CAPO I (MISURE DI SICUREZZA) e CAPO II (MISURE MINIME DI SICUREZZA) che costituiscono il TITOLO V (SICUREZZA DEI DATI E DEI SISTEMI) del Codice, se ne esce con alcune certezze tra cui quella – originata dall’art. 34 – che il D.P.S. sia obbligatorio per chiunque tratti dati su strumento elettronico. A nostro avviso, la scelta del legislatore di non specificare ulteriormente nel Codice i destinatari della disposizione è da ricondursi alla volontà di non voler precludere un ampliamento futuro della portata dell’obbligo. E’ come se, al momento di stendere la nuova normativa, il legislatore avesse seguito questo ragionamento: "Il D.P.S. è elemento cardine per la corretta tenuta e tutela dei dati. Sarebbe opportuno che, almeno, tutti coloro che impiegano strumenti elettronici per trattarli fossero tenuti a redigerlo (ossia, oramai, il 90 % circa dei Titolari). Redigere il D.P.S. è, però, opera complessa che costa tempo, fatica e anche denaro. E le rilevazioni circa il tasso di applicazione degli adempimenti della l.675/1996 ci ha fatto capire che molti non riescono a produrre nemmeno una nomina ad Incaricato o un’informativa. Forse, per iniziare, è meglio limitare l’obbligo ai Titolari che effettuano i trattamento più "delicati" (dati sensibili e giudiziari su strumento elettronico). A tempo debito, estenderemo - senza dover emendare il Codice ed intervenendo solo con un nuovo Disciplinare allegato – l’obbligo a tutti gli altri". Ci si perdonerà la pretesa capacità di lettura nel pensiero del legislatore, ma, forse, è questo l’intento che ha ingenerato la confusione che affligge il tema che stiamo analizzando (altrimenti saremmo innanzi ad un semplice errore o dimenticanza).

Ad ogni buon conto, abbiamo faticosamente raggiunto un primo punto fermo: la reale portata dell’obbligo di redigere la misura minima D.P.S. è da rinvenirsi nell’art. 19 del Disciplinare Tecnico che ne limita l’applicazione solamente a coloro che trattano dati sensibili o giudiziari su strumento, elettronico e l’omessa adozione di questa misura è penalmente sanzionata ai sensi dell’art. 169 del Codice.

Ora, c’è da chiedersi: se la programmazione della formazione è una notizia da riportare nel D.P.S. (art. 19.6 del Disciplinare), e se l’omessa "tenuta o aggiornamento" della misura minima D.P.S. produce responsabilità penali, l’assenza di notizie circa il piano di formazione rende il D.P.S. fonte di sanzione penale? A nostro avviso la risposta è affermativa, sebbene non sfugge come il legislatore avrebbe potuto dissipare alcune ombre semplicemente affermando (all’art. 34 del Codice) che il D.P.S., oltre che tenuto ed aggiornato, debba essere completo (in tutte le voci da riportare ai sensi del Disciplinare): meglio essere prolissi che dar adito a dubbi.

Così, abbiamo raggiunto un secondo punto fermo: l’assenza del piano di formazione è equiparabile all’assenza di una misura minima di sicurezza, poiché l’omissione inficia la validità della misura minima D.P.S. e, pertanto, aziona i profili penali di cui all’art. 169 del Codice privacy.

Dopo aver faticosamente ricostruito queste connessioni, siamo in grado di calare nel giusto contesto la domanda fondamentale: cosa succede se il Titolare redige il D.P.S., e lo redige completo delle notizie relative al piano di formazione, ma poi non eroga, di fatto, la formazione programmata? In altre parole, la mancata formazione corrisponde ad omessa adozione di misura minima e, pertanto, ricade nella sanzione penale dell’art. 169? D’istinto verrebbe da rispondere, anche in questo caso, affermativamente: se è punibile l’omesso riporto della piano, figuriamoci l’erogazione della formazione stessa. Tuttavia, non sembra esservi alcuna norma che punisca la mancata formazione, il solo articolo che cita il termine in oggetto è – come detto – il 19.6 del Disciplinare che si limita ad imporre il riporto del piano di formazione in D.P.S. Altro non è rinvenibile, e secondo i noti principi di Feuerbach e del Beccaria, assimilati dal nostro ordinamento costituzionale, nullum crimen, nulla poena sine praevia lege poenali: non può esservi un reato e, di conseguenza, una pena se non vi è una norma che preveda e sanzioni espressamente una determinata condotta (è bene specificarlo, anche omissiva).

Dunque, in assenza di una disposizione che ne punisca la mancata erogazione è difficile sostenere che la formazione, in se e per se, sia una misura minima. Ed è altrettanto difficile individuarla come fonte indiretta di responsabilità penale in relazione all’obbligo di tenuta del D.P.S. (perché, semmai, il discorso è applicabile solo al riporto del piano di formazione direttamente citato dal 19.6 del Disciplinare): affermare con decisione il contrario ci porterebbe a mettere, in qualche modo, in discussione la certezza del diritto.

Questo è quanto constatiamo ricostruendo le fitte trame del dettato normativo. Tuttavia, siamo convinti che nelle intenzioni del legislatore v’era la volontà di imporre l’obbligo di formazione, quantomeno ai Titolari che trattano dati sensibili o giudiziari su strumento elettronico. In tal senso - con semplicità - il dettato legislativo avrebbe dovuto render chiaro che chiunque sia tenuto a redigere il D.P.S., deve programmare la formazione, eseguirla ed attestarla nel Documento di Sicurezza successivo. E, forse, l’obbligo di formazione avrebbe meritato un riconoscimento autonomo mediante assegnazione di un articolo espressamente dedicato, se non nel Codice, almeno nel Disciplinare Tecnico. Così non è stato, e allora dobbiamo convivere con alcuni dubbi e tormentarci sulla rilevanza penale o meno di una condotta, stretti tra una ricostruzione letterale del testo normativo e ciò che parrebbe conforme allo spirito della legge ed coerente con il tenore di altre disposizioni presenti nel Codice.

Illustrata la questione – finora poco dibattuta – in tutte le sue luci ed ombre, invitiamo, chi deve mettersi in regola con la normativa di privacy, a superarle ed a considerare di fatto obbligatoria l’erogazione della formazione agli Incaricati, a prescindere dalla rilevanza penale o meno del mancato adempimento. Innanzitutto, perché, in questo campo, ad abbondare di certo non si sbaglia. In secondo luogo, perché la formazione è da considerarsi fattore fondamentale in relazione al problema della responsabilità civile. Nel prossimo intervento approfondiremo questo aspetto.

LA FIGURA DELL’INCARICATO DEL TRATTAMENTO: LA FORMAZIONE COME MISURA IDONEA

Se prescindiamo dalle difficoltà interpretative – analizzate nel precedente intervento - relative alla rilevanza penale o meno della sua mancata erogazione, la formazione degli Incaricati è da considerarsi come quel elemento irrinunciabile finalizzato ad una migliore gestione e protezione dei dati e come difesa dalle pretese di risarcimento avanzate verso il Titolare nel caso si dovesse verificare un evento dannoso per effetto dell’attività dell’Incaricato.

L’art. 15 del Codice Privacy stabilisce che "chiunque cagiona danni per effetto del trattamento di dati personali è tenuto al risarcimento ai sensi dell’art. 2050 del codice civile". L’art. 2050, di proprio conto, delinea la responsabilità per esercizio di attività pericolosa affermando che "Chiunque cagiona danno ad altri nello svolgimento di un'attività pericolosa, per sua natura o per natura dei mezzi adoperati, è tenuto al risarcimento, se non prova di avere adottato tutte le misure idonee a evitare il danno." Da una lettura combinata delle due disposizioni consegue che:

  1. ci troviamo nel campo della responsabilità oggettiva, per cui il Titolare del trattamento non risponde solo dei danni causati direttamente, ma anche di quelli provocati dalla sua organizzazione;
  2. il fatto di trattare dati personali costituisce, per il nostro ordinamento, di per sé, attività pericolosa (così come, ad esempio, gestire il trasporto di scorie nucleari);
  3. è sancita la cd. "inversione dell’onere della prova", gravando sul gestore dell’attività pericolosa l’onere di dimostrare di aver fatto tutto il possibile per evitare il danno ed essendo sufficiente al danneggiato il provare il semplice evento in relazione alla generale attività di trattamento del titolare (senza, per converso, doverne provare il nesso di causalità con una più specifica condotta del presunto danneggiante);
  4. la prova "diabolica" utile al Titolare per superare la presunzione di responsabilità deve consistere nell’aver adottato, precedentemente al verificarsi dell’evento, ossia in maniera preventiva in relazione al rischio specifico gravante sulla propria particolare struttura, tutte le misure idonee atte ad evitare il danno. Non gli sarà sufficiente dimostrare di non avere violato norme di legge o di prudenza.

E’ facile desumere quanto difficile per il Titolare del trattamento dimostrare che il danno prodotto dall’Incaricato del trattamento non gli è in alcun modo riconducibile. La Direttiva Comunitaria 95/46, sul punto (art. 23), dispone che il Titolare può essere esonerato in tutto o in parte dalla responsabilità soltanto "se prova che l’evento dannoso non gli è imputabile", vale a dire se prova l’esistenza di un errore dell’Interessato (il soggetto dei dati) o un caso di forza maggiore. Tornando al nostro ordinamento, non sarà nemmeno agevole invocare il caso fortuito (ammesso dalla suprema Corte come elemento rilevante nelle ipotesi di responsabilità oggettiva): il caso fortuito che fa venir meno la responsabilità dell’esercente l’attività pericolosa deve rientrare nel novero delle categorie riconducibili alla eccezionalità ed alla oggettiva imprevedibilità. Il caso fortuito, infatti, abbraccia tutti quei fattori causali, sopravvenuti, presistenti o concomitanti, che hanno reso eccezionalmente possibile il verificarsi di un evento che si presenta come conseguenza del tutto inverosimile secondo la migliore scienza ed esperienza. Ecco il motivo per il quale il caso fortuito esclude il rapporto di causalità.

Ed ancora, ad esempio, nell’ipotesi in cui Titolare del trattamento dei dati personali sia una persona giuridica pubblica, a fare luce sul versante delle responsabilità sono da una parte il dettato costituzionale e dall’altra lo Statuto degli impiegati civili dello stato. Dalla lettura congiunta dei due riferimenti normativi si evince che ricorrendo la ipotesi di responsabilità civile, i dipendenti ed i funzionari sono responsabili in solido con lo Stato o gli enti pubblici, così come c’è una responsabilità a totale carico del dipendente qualora il danno cagionato a terzi sia dipeso da un comportamento doloso o gravemente colposo. Invece, qualora si rientri nella ipotesi di un comportamento colposo da parte del dipendente, il risarcimento del danno sarà a carico della sola pubblica amministrazione.

Senza dilungarci ulteriormente - la questione meriterebbe una trattazione a parte - circa l’imputabilità dell’evento dannoso in materia di privacy, non può sfuggire quanto, per il Titolare, la formazione possa svolgere un ruolo determinante in tema di responsabilità civile. Appurato che il contesto richiede che l’attenzione sia mantenuta ai massimi livelli, proprio in ragione dell’esercizio di un’attività pericolosa, e considerato che nella maggioranza delle strutture il Titolare non è in grado di occuparsi degli aspetti pratici del trattamento, la formazione di privacy agli Incaricati del trattamento deve considerarsi (a stregua della nomina di uno o più Responsabili) come la prima e più efficace prova a discarico ai sensi dell’art. 2050 del codice civile e, di conseguenza, dell’art. 15 del Codice Privacy. Infatti, cosa, più dell’allestimento preventivo di un’organizzazione consapevole del problema privacy e proporzionata alla complessità dei propri trattamenti, può meglio testimoniare l’effettiva e precauzionale attivazione del Titolare in relazione ai pericoli ipotizzati dal legislatore?

Per i trattamenti che integrano la violazione dell’art. 11 ("Modalità del trattamento e requisiti dei dati personali") è prevista - sempre all’art. 15 - la risarcibilità non solo del danno patrimoniale, ma anche del danno non patrimoniale sofferto dal soggetto interessato: esso consiste in un danno biologico di natura psichica, che si concretizza in sofferenze, patemi, risentimento, compressioni o turbamenti della personalità, dolore. Si ricorda che l’art. 11 afferma i principi di finalità, di esattezza, di pertinenza, di non eccedenza, l’obbligo dell’aggiornamento dei dati e il diritto all’oblio. Purtroppo sono innumerevoli gli esempi di eventi realmente accaduti che in violazione di tali principi sono idonei a produrre lesioni morali. Si prenda il caso del tono troppo alto di voce del dipendente addetto allo sportello del centro prenotazioni di visite ospedaliere: al di là del buon senso, egli doveva essere istruito circa l’uso obbligatorio di un tono moderato al fine di evitare la divulgazione al pubblico in coda di notizie talvolta davvero molto delicate. Oppure il caso del dipendente delle risorse umane che dispone i cedolini dello stipendio su un tavolo affinché ognuno ritiri il proprio, rendendo di fatto accessibili a tutto il personale i dati ivi contenuti: al di là del buon senso, egli doveva essere formato ed informato sulla necessità di consegnarli personalmente e con tutti i dati coperti, tranne quelli anagrafici.

L’attuale tendenza giurisprudenziale è orientata ad accordare cospicui risarcimenti, a fronte dei danni non patrimoniali: ciò avviene anche perché la determinazione del quantum è fatalmente rimessa al discrezionale apprezzamento del giudice, a causa dell’impossibilità di riferirsi a parametri materiali di valutazione.

E’ evidente che una lesione di privacy è particolarmente idonea a produrre un danno non patrimoniale; è quasi un rischio intrinseco. E’ sufficiente leggere il comma 1 dell’art. 2 del Codice per comprenderlo: "Il presente testo unico, di seguito denominato "codice", garantisce che il trattamento dei dati personali si svolga nel rispetto dei diritti e delle libertà fondamentali, nonché della dignità dell'interessato, con particolare riferimento alla riservatezza, all'identità personale e al diritto alla protezione dei dati personali". Quando la legge parla di dignità, riservatezza e identità, essa si riferisce all’animo umano e al rispetto che merita la sfera privata di ognuno la cui violazione può spesso segnare in modo irreparabile l’esistenza del danneggiato. La promozione del rispetto dovuto non può passare solamente attraverso la stesura di adempimenti formali, l’implementazione di adeguati strumenti tecnologici e l’introduzione di stringenti procedure. E’ necessario creare una sensibilità nell’Incaricato; una sensibilità che (anche per via del fatto che la materia è relativamente nuova in Italia) non sempre è un dono di natura. Essa deve essere stimolata e creata in modo specifico ed intelligente, spiegando – innanzitutto - che il diritto alla privacy non è solo un diritto dell’Interessato, ma un diritto di tutti, quind’anche dell’Incaricato, sia nella sua veste professionale che nella sua vita privata. Partendo da questo tipo di coinvolgimento, sarà più semplice conferire all’Incaricato le nozioni necessarie a fargli eseguire le proprie mansioni nel rispetto della normativa e della privacy altrui. La conseguenza per il Titolare sarà un elevamento della qualità della proprie prestazioni di beni o servizi e il raggiungimento di una migliore postazione di difesa di fronte alle pretese risarcitorie.

LA FIGURA DELL’INCARICATO DEL TRATTAMENTO: QUANDO EROGARE LA FORMAZIONE

Usualmente l’intervento formativo è interpretato come l’ultimo degli adempimenti finalizzati alla regolarizzazione della figura dell’Incaricato al trattamento (a seguire, non rimarrebbe, infatti, che aggiornare nel tempo le sue competenze ed, eventualmente, correggere le sue attitudini rispetto all’impostazione iniziale).

All’instaurarsi del rapporto professionale l’addetto riceve l’informativa per il trattamento dei suoi dati e viene acquisito il suo consenso laddove necessario (di solito, solamente per la raccolta e l’utilizzo dei dati sensibili che lo riguardano). Dopodiché, il Titolare lo autorizza a trattare i dati (tramite nomina), assegnandogli, più o meno contestualmente, l’ambito di trattamento di competenza, il profilo di autorizzazione relativo agli accessi informatici nonché le istruzioni per la messa in sicurezza dei dati. Soltanto quando è terminato questo iter di inquadramento, di solito, il Titolare si cura di inserire l’Incaricato nel piano formativo riguardante i vari dipendenti o collaboratori ed eroga, nei tempi prestabiliti, l’intervento mirato alla specifica erudizione.

L’utilizzo di un simile ordine sequenziale dei processi finalizzati all’introduzione del singolo Incaricato nel "sistema privacy" del Titolare non è, di per se, errato, ma spesso diviene inadeguato - quando non irregolare - allorché l’intervento formativo chiude il ciclo degli adempimenti in maniera sensibilmente tardiva rispetto all’effettivo inizio dell’attività dell’Incaricato. A rigor di logica, se la formazione deve essere considerata obbligatoria, essa è da ritenersi requisito fondante ed imprescindibile per un legittimo utilizzo dei dati e, questo, significa che l’Incaricato non può trattare i dati senza averla ricevuta (essendo la sua "ignoranza" da considerarsi come ingiustificata fonte di pericolo per i diritti di terzi); in tal senso, si tratterebbe – come gli altri sopra citati – di un adempimento che deve essere eseguito prima che l’addetto incominci ad espletare le proprie mansioni.

Tuttavia, almeno due ragioni ostacolano, nella pratica, l’erogazione preventiva della formazione. Innanzitutto si pone, in alcuni casi, un problema di natura organizzativa: l’assunzione è spesso decretata in via d’urgenza causa la necessità di impiego immediato di un nuovo addetto che ricopra un incarico che non può rimanere, nemmeno temporaneamente, vacante; questo comporta l’accesso ai dati da parte del neoassunto non ancora formato. E nel caso di assunzioni in blocco o di apertura di nuova attività, la questione, seppur in forme diverse, può proporsi con profili di difficoltà ancor più ampli. Un secondo tipo di problema è, se ci si concede la metafora, inerente alla fertilità del terreno su cui il seme della nozione di privacy deve innestarsi e germogliare: se l’Incaricato non ha ancora sperimentato gli aspetti pratici delle proprie mansioni professionali, ha senso che lo si erudisca con informazioni che rischiano di essere percepite come meramente teoriche? Non sortirebbero ben altro effetto se fossero accolte ed interpretate alla luce della personale e quotidiana esperienza lavorativa?

La soluzione a questi problemi non può essere univoca. Molto dipende dalla specifica situazione organizzativa e dal tipo di mansione che l’addetto è chiamato a svolgere. Se il preposto, prima di iniziare la propria attività lavorativa, deve seguire un corso di formazione professionale relativo alle mansioni che dovrà svolgere, è ovvio che sarà opportuno inserire in tale fase la formazione di privacy (eventualmente pianificando ulteriori e successive sessioni per la discussione e l’approfondimento di tematiche relative all’applicazione pratica delle nozioni ricevute in prima istanza). Spesso, però, la formazione professionale è erogata in itenere, tramite corsi scadenzati o mediante semplice "affiancamento" ad un collega esperto, e così via: in tal caso, sarà bene che la formazione di privacy sia erogata al più presto, ossia non appena si ritenga che l’Incaricato (cui sono comunque state preventivamente fornite le istruzioni essenziali per la corretta tenuta dei dati) abbia compreso il quadro professionale in cui presta opera e, di conseguenza, lo si consideri pronto ad apprendere e "contestualizzare" in maniera corretta ed efficace quali siano i compiti, i doveri e le facoltà scaturenti dalla normativa sulla tutela dei dati personali. Vi sono casi, poi, in cui una preventiva ed analitica formazione di privacy appare come requisito indefettibile rispetto alla presa di servizio del preposto, a prescindere dall’obbligo (o volontà) di erogargli anche una formazione professionale preventiva oppure dalla vigenza, o meno, di codici deontologici o di obblighi di segreto professionale: si pensi all’addetto del servizio informazioni di un ospedale, all’operatore di un Sistema privato di Informazione Creditizia o ai selezionatori di una società di lavoro interinale. Simili soggetti non dovrebbero poter trattare nemmeno un dato personale se non sono stati adeguatamente formati in materia di privacy.

Ma cosa dice la legge in merito? L’art. 19.6 del Disciplinare Tecnico in Materia di Misure Minime di Sicurezza stabilisce che "La formazione è programmata già al momento dell'ingresso in servizio (…)". La terminologia utilizzata dal legislatore, purtroppo, si presta a due differenti interpretazioni. Per un senso, si potrebbe intendere: "La formazione è programmata in modo tale che sia erogata prima dell’ingresso in servizio". In un altro senso, si potrebbe intendere: "Al momento dell’ingresso in servizio si deve stilare il piano per la formazione da erogare all’Incaricato". In buona sostanza, non è chiaro se prima dell’ingresso in servizio debba essere effettuato l’intervento formativo oppure la semplice programmazione dello stesso.

A nostro avviso l’interpretazione da prediligere è quella restrittiva: la formazione va erogata prima dell’ingresso in servizio. Ma in assenza di risposte certe, il nostro suggerimento è quello di superare di slancio la questione. Laddove possibile, converrà che la formazione sia effettuata in toto prima dell’ingresso in servizio. Laddove, invece, l’intervento preventivo dovesse considerarsi poco proficuo, allora sarà bene ripartire la formazione mediante ricorso a moduli differenti: prima dell’ingresso in servizio si consegnerà all’Incaricato un documento informativo che contenga le nozioni fondamentali in materia di privacy (lo si potrà allegare alle istruzioni sulla sicurezza e, quindi, alla nomina) e contestualmente si programmerà l’intervento formativo da svolgersi a servizio iniziato (intervento, comunque, da erogarsi al più presto possibile). Riteniamo che così facendo ci si dovrebbe porre al riparo da contestazioni per mancato adempimento della prescrizione di cui all’art. 19.6 del Disciplinare Tecnico.

L’art. 19.6 specifica che, oltre a quella iniziale, è necessario programmare formazione anche "in occasione di cambiamenti di mansioni, o di introduzione di nuovi significativi strumenti, rilevanti rispetto al trattamento di dati personali". Pertanto, bisognerà intervenire ogniqualvolta vi sia una variazione degli incarichi o quando siano introdotti nuovi elaboratori, programmi o sistemi informatici. A nostro avviso sarà bene intervenire tempestivamente anche nei casi in cui vi siano rilevanti novità di diretto interesse e di carattere:

  • legislative (emendamenti o integrazioni della normativa di privacy, emanazione di leggi di diretto impatto sul trattamento di determinati dati personali)
  • giurisprudenziali (sentenze che condannano o legittimano una determinata condotta o attività sui dati)
  • interpretative (interventi e pronunce chiarificatrici del Garante o di altre istituzioni italiane o comunitarie)

LA FIGURA DELL’INCARICATO DEL TRATTAMENTO: MODALITA’ DI EROGAZIONE DELL’INTERVENTO FORMATIVO

La formazione può essere svolta in diversi modi e con differenti contenuti a seconda del tipo di strutture, di strumenti, di finalità e di trattamenti che caratterizzano l’attività del Titolare, pertanto non è possibile delineare un intervento standard valido per tutti. Tuttavia, si possono illustrare le principali opzioni circa le modalità di erogazione.

Gli strumenti che possono essere utilizzati per svolgere la formazione sono sostanzialmente tre e li citiamo in ordine crescente in base alla loro potenziale efficacia: intervento cartaceo, intervento informatico audiovisivo, partecipazione interattiva.

L’intervento cartaceo si risolve usualmente tramite il conferimento di un manuale appositamente stilato dal Titolare o dal Responsabile. L’Incaricato lo deve ricevere contestualmente all’atto di nomina con le prescrizioni di prendere atto dei contenuti prima ancora di incominciare la propria attività sui dati e di consultarlo ogniqualvolta sorga un successivo dubbio in merito ad un’operazione di trattamento o alla sicurezza dei dati (se il dubbio permane si dovrà rivolgere tempestivamente al Titolare o al Responsabile). Il manuale deve contenere informazioni sui principi generali di privacy e sicurezza, sulla specifica politica adottata - in merito - dal Titolare, e le prescrizioni relative al tipo di attività svolta dall’Incaricato. Il difetto principale dell’intervento cartaceo riguarda il livello di coinvolgimento dell’attenzione dell’addetto. Il documento rischia di essere percepito come uno dei tanti "pezzi di carta" cui l’Incaricato si deve attenere. Può essere letto distrattamente; oppure con livelli di attenzione diversi a seconda dei punti di interesse; oppure può finire da principio in un cassetto, vittima del approccio "se si verifica qualche problema lo consulto"; ma la formazione serve soprattutto a prevenire il problema.

Il punto cruciale è che l’immagazzinamento delle nozioni contenute in un manuale è completamente demandato alla forza di volontà dell’Incaricato, sulla cui indole il documento cartaceo esercita, tra l’altro, uno scarso appeal. La pochezza dello stimolo potrebbe indurre l’addetto a non leggere, leggere superficialmente o leggere solo parzialmente il manuale. Il Titolare – che sia conscio di tali rischi, ma che ritenga il manuale l’unica strada percorribile per fare formazione – potrebbe essere tentato dal ricorrere all’istituzione di test di verifica sulle nozioni acquisite, ma questo potrebbe recare con sé delle controindicazioni: i test - che non siano preliminari alle assunzioni o imposti per legge - sono vissuti come esami non giustificati (anche quando anonimi) e possono innalzare il livello generale di ostilità verso il datore di lavoro. Infine, un altro problema riconnesso all’intervento cartaceo è che esso va studiato e stilato. Poiché non ve ne sono di validi in commercio (proprio perché non è uno strumento standardizzabile), la cura della redazione del manuale grava sul Titolare o sul Responsabile che – per quanto si possano far coadiuvare da altre risorse – potrebbero faticare parecchio a produrre un documento sufficientemente completo ed efficace.

Una seconda modalità di erogazione del corso è rappresentata dall’intervento informatico. Questo può avvenire mediante conferimento di un manuale informatico (contenuto su un supporto, su un’applicazione installata sulla memoria fissa). Ovviamente, il ricorso a tale soluzione presenta i medesimi inconvenienti del manuale cartaceo. Più efficace appare il reperimento e la messa a disposizione di un corso automatizzato ed audiovisivo. Esso permette, innanzitutto, di coinvolgere maggiormente l’attenzione dell’Incaricato mediante ricorso ad immagini, fumetti e animazioni che coordinate con la voce narrante stimolano grandemente la capacità di apprendimento. Inoltre, esso consente l’utilizzo di un linguaggio informale, in grado di semplificare e meglio fissare nella memoria dell’utente le prescrizioni più importanti. Il corso audiovisivo può essere erogato con tempistiche diverse. O viene reso per intero disponibile all’utente (ancora, su supporto o mediante installazione su pc) oppure viene eseguito in modo sequenziale mediante messa a disposizione periodica dei singoli moduli (tramite creazione di accessi sul server oppure on-line). La seconda opzione appare la più efficace, perché consente un corretto dosaggio della quantità di nozioni divulgate e, di conseguenza, una migliore "metabolizzazione" da parte dell’Incaricato. In tal modo, egli può essere guidato ad un apprendimento logico e progressivo e non ha possibilità di saltare alcuni argomenti dirigendosi su altri che gli appaiono di superiore interesse. Si potrebbe raggiungere l’ottimizzazione di una simile procedura ricorrendo ad uno scadenziario informatizzato che avvisi della messa in linea di un nuovo modulo e che, inoltre, individui l’utente che (per assenza oppure mancanza di tempo o voglia) non ha visionato un modulo del corso subordinandone le facoltà di accesso al modulo successivo alla previa visione di quello precedente. Così facendo, lo stato della formazione in itenere può essere monitorato ed, alla fine del ciclo, tutti gli Incaricati avranno percorso le medesime tappe di apprendimento. Ciascun modulo potrebbe proporre, in propria conclusione, un veloce test di valutazione di modo che l’Incaricato possa verificare da subito quanto ha appena appreso e meglio fissare – in quanto costretto a richiamare e rielaborare le nozioni per fornire le risposte – i concetti fondamentali nella memoria. A nostro avviso, per risultare più efficace e meno ostile, è meglio che il test sia di auto-valutazione (risultati visualizzabili dal solo utente), facoltativo (affinché non assuma le sembianze di un esame) e, per quanto possibile, in qualche modo accattivante (grafica e linguaggio user friendly).

La terza modalità di erogazione della formazione è costituita dall’istituzione di uno o più corsi in cui si richieda la partecipazione fisica degli Incaricati. E’ il metodo tradizionale, e rimane, anche, il più efficace. La formazione in loco può essere erogata da una figura interna alla struttura o da un professionista esterno. Nel primo caso il vantaggio è costituito dalla migliore conoscenza delle procedure, delle dinamiche e delle problematiche interne da parte del docente, ma è necessario che egli sia dotato della necessaria autorevolezza e che, soprattutto, sia stato formato preventivamente in maniera molto approfondita circa la normativa e le varie tematiche di privacy da un professionista del settore. Nel secondo caso, il docente esterno è dotato di una minore consapevolezza circa le caratteristiche di dettaglio della struttura, ma in dote porta diversi vantaggi. Innanzitutto, è, appunto, un professionista e, pertanto, si presume che sia dotato di grande competenza, di visione d’insieme, di comprensione immediata delle problematiche, di capacità di semplificare i concetti. Inoltre, è in grado di stimolare e mantenere alta l’attenzione in base alla propria esperienza professionale. Infine, il suo maggior pregio (non ascrivibile a merito) è quello che in precedenza abbiamo definito come un difetto: il fatto di essere un terzo estraneo. Tale circostanza impone al docente di impostare il corso in maniera oggettivamente comprensibile a tutti e di non dare nulla per scontato in relazione ai possibili rischi o dubbi in materia di trattamento e protezione dei dati. Per converso, i discenti possono esprimere liberamente le loro perplessità o opinioni e sono, per forza di cose, tenuti ad esporre i propri interventi in modo da rendere chiaro il quadro della situazione all’estraneo cui si chiede chiarimento o soluzione. Questo produce vantaggi simili a quelli che il paziente ha nell’esporre allo psicologo i medesimi fatti che decine di volta ha già espresso ad amici o parenti: capacità di rielaborazione sintetica del vissuto/percepito e cambiamento di prospettiva.

A prescindere da chi tenga il corso, la formazione in loco è, per definizione, la più efficace perché permette l’interazione diretta tra docente e discente su tutte le questioni che possono emergere durante l’intervento, consentendo un’emersione subitanea delle problematiche ed una loro pronta soluzione. Pertanto, è consigliabile che i singoli moduli non siano diretti a più di 20/25 persone alla volta affinché ognuno possa partecipare in maniera attiva al corso senza l’assillo dei tempi contingentati. A fine corso può essere opportuno che il docente distribuisca test di valutazione e, se il tempo lo permette, che si proceda ad una correzione collettiva dei quesiti con discussione dei punti critici. Ugualmente, potranno essere formulati dal docente casi ipotetici di comportamenti o accadimenti a rischio di violazione della normativa, stimolando una discussione su quali siano i profili di eventuale illegittimità o le contromisure da implementare nel caso specifico.

La partecipazione ad un corso tenuto da un docente può anche avvenire tramite ricorso alla tecnologia che permette la video-comunicazione a distanza. Lo svantaggio, ovviamente, è quello di un minor coinvolgimento ed un maggiore distacco tra il formatore e l’aula e, dunque, una minor efficacia dell’investimento formativo.

LA FIGURA DELL’INCARICATO DEL TRATTAMENTO: I CONTENUTI DELLA FORMAZIONE

La formazione degli Incaricati - ugualmente a quanto si è detto nel precedente intervento circa le modalità di erogazione - può essere svolta in diversi modi e con differenti contenuti a seconda del tipo di strutture, di strumenti, di finalità e di trattamenti che caratterizzano l’attività del Titolare, di conseguenza non è possibile stabilire un intervento standard valido per tutti. Tuttavia, si possono delineare i passaggi che, a prescindere dal contesto, è indispensabile caratterizzino questo adempimento.

A nostro avviso, l’obiettivo preliminare deve essere quello di sensibilizzare gli Incaricati circa la questione privacy. E’ opportuno rendere familiare la nozione e il concetto di privacy: un termine che è assai utilizzato nel linguaggio corrente, tanto da sembrare a volte privo di confini precisi e di significati pregnanti. L’opera di inquadramento del diritto alla privacy potrà essere condotta mediante ricorso a brevi ma efficaci cenni sulla nascita e l’evoluzione della fattispecie giuridica e dovrà essere evidenziata la rilevanza che il diritto ha assunto nel nostro ordinamento ed in quello europeo. In seguito, sarà opportuno rendere gli Incaricati consapevoli di quanto il diritto alla privacy sia innanzitutto il diritto di ogni cittadino e, quindi, riguardante ognuno di essi, sia nella vita privata che in quella professionale: soccorrerà, in tal senso, far cenno ai rilevanti profili di privacy ravvisabili nella moltitudine di eventi che caratterizzano la nostra quotidianità (contratti, tutela del domicilio fisico ed informatico, accesso al credito, mass-media, telecomunicazioni, condominio, riservatezza della corrispondenza, distanze di cortesia, cartelle cliniche, iscrizioni o associazioni anche sindacali, carte di credito, carte di fidelizzazione, videosorveglianza, navigazione internet, cause di separazione, eccetera). Insomma, sarà bene far intendere quanto il diritto alla privacy sia importante per la difesa delle nostro libero agire in modo da rendere il concetto meno ostile ed alieno rispetto agli interessi personali. Alcuni esempi di violazioni clamorose realmente avvenute aiuteranno, poi, a comprendere quanto l’informazione personale sia divenuta merce ambita e dal valore, talvolta, superiore a quello che si è indotti a credere. Potrà essere utile anche citare quali altri interessi legittimi o emergenze sociali possano entrare in contrasto con gli interessi di privacy (uno per tutti, le misure straordinarie contro il terrorismo di cui gli U.S.A. forniscono esempio attualissimo). Il momento finalizzato all’introduzione al concetto di privacy potrà chiudersi con un tentativo di coinvolgimento dell’aula, stimolando gli Incaricati a citare casi di violazione – veri o presunti – vissuti in prima persona nella propria vita privata di modo che scaturisca una discussione utile, al docente, a tratteggiare - mediante corretta contestualizzazione degli episodi narrati - gli effettivi limiti e la vera portata del diritto.

Esaurita la fase di approccio alla materia, giunge il momento di introdurre le definizioni del Codice Privacy (art. 6), le figure fondamentali (articoli da 28 a 30) e i principi generali della disciplina (articoli da 1 a 6). Seguirà l’illustrazione delle regole per il trattamento (articoli da 11 a 27) focalizzando l’attenzione sugli aspetti più rilevanti in rapporto alle attività svolte dagli specifici Incaricati.

In seguito, si introduce la tematica inerente la sicurezza dei dati, portando a conoscenza dei discenti i concetti relativi alla "cultura della sicurezza e sottolineando l’importanza fondamentale del patrimonio informativo in relazione agli scopi della struttura in cui prestano opera. La coerenza delle condotte e la corresponsabilizzazione tra i singoli dovranno essere punti cardine di questo momento formativo. I doveri illustrati non dovranno essere percepiti come un aggravio delle incombenze quotidiane: sarà utile, in tal senso, descrivere la corretta tenuta dei dati come una forma di protezione, oltre che dei diritti dei terzi, del proprio lavoro quotidiano.

Questa introduzione permette il passaggio diretto alla elencazione delle rischi reali che incombono sui dati a cui deve seguire una concreta esposizione circa le misure e le procedure disponibili per la prevenzione degli eventi dannosi, per il tempestivo tamponamento degli effetti nocivi e per il ripristino della normalità (o quasi) ad evento accaduto.

In tal senso, sarà opportuno fare riferimento a tutte le istruzioni che ogni Incaricato deve aver ricevuto assieme alla nomina e ad altri eventuali manuali o documenti procedurali in loro dotazione.

Sarà necessario chiarire le disposizioni volte ad individuare la corretta tenuta dei dati contenuti su supporto non elettronico. In relazione a tali documenti, si potrà indicare quali debbano essere le modalità di accesso, di custodia, di trasporto, di asporto e di distruzione con particolare attenzione a quanto stabilito da Disciplinare Tecnico in relazione ai dati sensibili e giudiziari, qualora questi debbano essere trattati dall’Incaricato. Altri aspetti possono essere presi in considerazione, come la regolamentazione dei rapporti coi terzi (ad esempio: rilascio di fotocopie, comunicazioni verbali dirette, utilizzo di adeguato tono di voce in compresenza di terzi non interessati, comunicazione di dati per via telefonica, rispetto delle distanze di sicurezza, eccetera).

Nel caso di utilizzo di strumenti elettronici sarà necessario, utilizzando il linguaggio più semplice ed efficace, istruire gli Incaricati circa:

  • l’utilizzo delle credenziali di autenticazione. In relazione alla parola chiave, dovranno specificarsi le modalità di elaborazione (livello minimo di complessità della password), di modificazione (tempi e modi di sostituzione) e di custodia (istruzioni sulla riservatezza della parola), nonché le modalità di consegna di copia della password al custode designato. In riguardo all’utilizzo di dispositivi alternativi per l’accesso allo strumento (ad esempio, una smart card) si specificheranno le precauzioni del caso per impedire rischi di accessi non autorizzati;
  • l’utilizzo dello strumento. Si spiega quali siano le condotte necessarie ad impedire che lo strumento rimanga incustodito e accessibile, sia durante la sessione di trattamento (utilizzo di screensaver con password, eccetera), sia fuori dall’orario di lavoro (corretta chiusura del terminale, eccetera);
  • l’utilizzo dei programmi informatici utilizzati per lo svolgimento dell’attività lavorativa. Si istruisce circa la politica del Titolare in materia di uso della posta elettronica (ad esempio, invito ad un moderato utilizzo per fini personali), di Internet (divieto di download non autorizzato, eventuali restrizioni alla navigazione, eccetera) e sulle modalità di impiego dei vari applicativi;
  • l’utilizzo dei programmi per la sicurezza informatica. Si ricorda l’importanza dell’azionamento e dell’aggiornamento dell’antivirus, dell’utilizzo del firewall, dell’eventuale reperimento di programmi di aggiornamento dei sistemi operativi o degli applicativi;
  • la creazione di copie di sicurezza. Si istruisce circa l’effettuazione dei back-up informatici. Se del caso, sono fornite indicazioni circa la conservazione dei supporti contenenti le copie di sicurezza (ad esempio, trasporto e custodia in luogo diverso da quello di salvataggio);
  • l’utilizzo dei supporti rimuovibili. Si prescrive la condotta da tenere in relazione a floppy, cd, memorie USB e altri hard-disk esterni, compresi gli obblighi di formattazione dei supporti contenenti dati sensibili prima di un loro reimpiego;
  • le figure di riferimento cui rivolgersi tempestivamente in caso si verifichino determinati eventi o in caso di dubbi (Titolare, Responsabile, Amministratore di Sistema, Custode delle copie delle credenziali, altri specifici Incaricati, Manutentori o altri soggetti esterni ben individuati).

Oltre a quanto sopra elencato in rapida sequenza, molte altre indicazioni specifiche possono essere fornite agli Incaricati.

Infine, è importante che, una volta esplicati i principi che governano la materia e fornite le indicazioni di dettaglio, il docente approfitti della sessione formativa per indurre gli Incaricati a esprimere i loro dubbi ed evidenziare quali criticità siano da essi percepite nell’ambito dello svolgimento della propria attività quotidiana sugli archivi cartacei ed elettronici: in tal modo, si potranno ottenere notizie utili al miglioramento del "sistema privacy" del Titolare ed un sostanziale abbassamento del livello di rischio incombente sui dati personali.

Milano, giugno 2006

>