Come ogni anno, l’Autorità Garante per la Protezione dei dati personali, ha segnalato quali fossero i temi maggiormente coinvolti nel piano ispettivo del primo semestre 2022. Tra questi, suscita particolare attenzione quello che riguarda i soggetti coinvolti nella gestione dei dati. Dalla formalizzazione del loro ruolo alla preparazione specifica, guardando ai processi e ai flussi di dati che emergono all’interno del perimetro di dominio del titolare nonché rispetto ai rapporti con eventuali soggetti esterni.

In tale ottica, per imprese ed enti, vi sono alcuni strumenti da mantenere sempre aggiornati. Uno fra tutti l’organigramma privacy che permette, in caso di una verifica, di individuare con facilità e chiarezza quali siano stati i criteri adottati per l’assegnazione dei ruoli sotto il profilo privacy. Si tratta, quindi, di una sintesi immediata rispetto alle nomine e alle autorizzazioni che sono richieste in fase ispettiva.

All’interno di una nomina realizzata correttamente, devono essere specificate – nel dettaglio – le istruzioni a cui devono attenersi i soggetti destinatari. Esse proporzionate non soltanto alle competenze ma anche all’incidenza che i soggetti nominati avranno sul trattamento dei dati stessi. Saranno quindi rese esplicite le misure organizzative inerenti alle mansioni svolte all’interno della struttura rispetto alla protezione del dato, le misure di sicurezza previste, e adottate, al fine di evitare violazioni di tali dati; verranno indicate anche eventuali figure connesse ai temi privacy e compliance che possono interagire con i nominati, ad esempio il Data Protection Officer.

Se una documentazione ben redatta è da considerarsi punto di partenza fondamentale, un controllo dell’Autorità non si limita alla sua sola analisi. Per essere certi che quanto descritto sia recepito in modo approfondito e, di conseguenza, messo in pratica con coerenza ed efficacia, un tema di particolare interesse che emerge durante le ispezioni è quello della formazione. Non basta un’attività superficiale che elenchi gli obblighi privacy, ma occorre un percorso che si adatti al core business rispetto al tema del trattamento dati. Questo implica che direzioni o settori operativi differenti necessitino di percorsi di formazione e aggiornamento diversi fra loro.

Non solo i soggetti interni, tuttavia, ad operare sui dati. Il Regolamento Europeo per la protezione dei dati personali è chiaro al riguardo. Persone giuridiche e fisiche, che operino sui dati al di fuori del perimetro del titolare, devono garantire ugualmente la tutela. Ecco che contratti specifici o atti giuridici dedicati, devono regolare in modo formale questi rapporti, sotto il profilo privacy, definendo compiti e responsabilità di ciascun soggetto coinvolto.

Quali sono i possibili soggetti coinvolti? Si pensi alla gestione esterna dei sistemi informativi in cloud, a risorse che effettuano data entry o gestiscono banche dati in partnership o per conto del titolare per formazione, eventi o a fini marketing. In caso di ispezione occorre essere molto attenti a questi soggetti terzi. Il GDPR non si accontenta di una contrattualizzazione conforme, richiede anche di dimostrare i criteri di selezione del fornitore sotto il profilo della garanzia di tutela privacy e di effettuare il controllo come previsto dall’articolo 28.

È su questo punto che imprese ed enti incontrano maggiori difficoltà e l’obbligo normativo rischia di essere disatteso con conseguenti sanzioni. Da un lato vi è la difficoltà, spesso oggettiva, di effettuare verifiche sui fornitori nominati appartenenti a realtà anche molto articolate; dall’altro una scarsa percezione della necessità di predisporre audit di conformità adeguati soggetti terzi estremamente diversi. La ratio dell’articolo 28 prevede invece una verticalizzazione del controllo che tenga conto base delle competenze del soggetto terzo.

Cosa accade, poi, se si omette l’audit? In questo caso di omissione si configurerebbe una responsabilità diretta del Titolare del trattamento. Per questo è importante che DPO e referenti privacy si occupino anche di sensibilizzare i titolari del trattamento rispetto a tale obbligo normativo per evitare sanzioni che vengono comminate in misura proporzionale al fatturato aziendale.