Privacy: aggiornare il DPS per l’anno 2009 – terza parte – le verifiche del titolare

Nella prima parte di questa nuova serie di articoli dedicati al Documento Programmatico sulla Sicurezza (DPS) abbiamo analizzato le tipologie di DPS (completo, semplificato, autocertificazione) previste dal "Codice in materia di protezione dei dati personali" e dalle "semplificazioni" che si sono succedute negli ultimi mesi.
Nella seconda parte  abbiamo elencato le principali novità normative ed i relativi adempimenti di cui bisogna tener conto nell’aggiornamento del DPS per il 2009.
In questa terza ed ultima parte vedremo le verifiche (due diligence) che il titolare deve effettuare per assolvere alle sue responsabilità in vigilando nei confronti del responsabili (interni ed esterni) dei trattamenti.

Responsabilità in eligendo, in vigilando e due diligence

L’articolo 29, comma 5, del "Codice in materia di protezione dei dati personali" recita che "il responsabile (interno o esterno ndr) effettua il trattamento attenendosi alle istruzioni impartite dal titolare il quale, anche tramite verifiche periodiche, vigila sulla puntuale osservanza delle disposizioni di cui al comma 2 e delle proprie istruzioni".
Il succitato comma 2 a sua volta dice "se designato, il responsabile è individuato tra soggetti che per esperienza, capacità ed affidabilità forniscano idonea garanzia del pieno rispetto delle vigenti disposizioni in materia di trattamento, ivi compreso il profilo relativo alla sicurezza".
In poche parole: il titolare del trattamento non può limitarsi a nominare i responsabili del trattamento dando loro istruzioni ma deve:

  • assicurarsi che i responsabili abbiano le caratteristiche giuste per ricoprire tale ruolo (responsabilità in eligendo);
  • deve vigilare che responsabili rispettino le istruzioni ricevute (responsabilità in vigilando).

Quanto sopra riportato nei confronti dei responsabili del trattamento è stato ripetuto dal Garante per la protezione dei dati personali in occasione del provvedimento "Misure e accorgimenti (…) relativamente alle attribuzioni delle funzioni di amministratore di sistema" del 27 novembre 2008, in G.U. n. 300 del 24 dicembre 2008 e dove il Garante usa per la prima volta l’espressione "due diligence" per indicare "gli accorgimenti e misure, tecniche e organizzative, volti ad agevolare l'esercizio dei doveri di controllo da parte del titolare" in relazione alle mansioni svolte dagli amministratori di sistema (questo particolare aspetto è approfondito nell’articolo "Privacy: nomina ad "amministratore di sistema": due diligence del titolare e check list - parte seconda".

Su chi deve "vigilare" il titolare?

Il titolare deve esercitare, in modo strutturato e periodico, direttamente la sua responsabilità "in vigilando" nei confronti di:

  • responsabili interni da lui direttamente (o indirettamente) nominati;
  • incaricati (o per meglio dire "classi di incaricati": marketing, risorse umane, sistemi informativi, consulenti esterni, ecc.)
  • amministratori di sistema interni;
  • responsabili esterni;
  • società terze non nominate "responsabili esterni" ma che tuttavia gestiscono in un modo o nell’altro trattamenti del titolare (ad esempio: contitolari, titoli autonomi, outsourcer, ecc.).

Il titolare deve esercitare inoltre, anche qui in modo strutturato e periodico, ma indirettamente la sua responsabilità "in vigilando" nei confronti di:

  • (sub)responsabili esterni, cioè responsabili esterni rispetto ai propri responsabili esterni (ad esempio: se il titolare ha nominato la società ABC responsabile esterno per il trattamento dei dati relativo alle buste paghe e la società ABC ha nominato a sua volta la software house "Pinco Pallino" responsabile esterno in qualità di outsourcer dei propri sistemi informativi allora "Pinco Pallino" è un (sub)responsabile esterno rispetto al titolare);
  • amministratori di sistema nominati dai responsabili esterni, dai (sub)responsabili esterni, da società terze non nominate "responsabili esterni".

A chi deve "rispondere" il titolare?

Il titolare può essere chiamato a rispondere (e quindi a dover documentare e dimostrare il suo operato) della sua responsabilità in eligendo, in vigilando e in generale delle due diligence effettuate a diverse categorie di "stakeholder" (termine molto in voga per indicare i "portatori d interessi" ciò coloro che hanno titolo per richiedere che i loro interessi e/o diritti siano garantiti). 

  • Autorità:
    • Garante Privacy
    • Magistratura, Forze di polizia
    • Organismi di vigilanza (ad esempio Banca d’Italia nel caso di intermediari finanziari)
  • Organismi di controllo interno:
    • Consiglio di Amministrazione
    • Collegio Sindacale
    • Comitati vari di controllo, sicurezza, audit
    • Compliance Officer (della società e del gruppo)
    • Internal Audit (della società e del gruppo)
    • Revisori dei Conti
    • Certificatori (Iso9001 ed affini)
    • Responsabile della Business Continuity (della società e del gruppo)
  • "Interessati" che intendono esercitare il loro "diritto di accesso":
    • Dipendenti,
    • clienti,
    • fornitori
    • e chiunque voglia esercitare tale diritto. 

Il "Privacy Compliance Plan" del titolare

A fronte di tali e tanti adempimenti è opportuno che il titolare adotti un approccio proattivo e che definisca all’inizio di ogni anno e comunque entro il 31 marzo (data di aggiornamento del Documento Programmatico sulla Sicurezza) un vero e proprio "Privacy Compliance Plan", cioè un elenco articolato delle verifiche che saranno svolte rispetto agli adempimenti sopra delineati nel corso dei successivi 12 mesi.
Perché il piano sia plausibile occorre che contenga (almeno) i seguenti elementi:

  • attività da svolgere
  • tempi di completamento previsti
  • risorse aziendali dedicate a ciascuna attività
  • deliverable per ciascuna attività
  • rapporto di fine attività.

Il tema del "Privacy Compliance Plan" sarà approfondito in una serie di nuovi articoli nei prossimi giorni.

Chi è Panfilo Marcelli?

L’ingegner Panfilo Marcelli ha lavorato per oltre vent’anni presso primarie aziende informatiche e di consulenza (IPACRI, Euros Consulting, OASI) con incarichi, anche direttivi, in ambito Information Technology, Privacy e Protezione dei dati personali, Qualità e Certificazione ISO9000 e ISO27001, Workflow Management e Business Process Reengineering, Internet, Intranet e gestione di siti con sistemi CMS. Attualmente é socio di CMa Consulting società specializzata in servizi, consulenza e formazione in ambito Compliance, Privacy, Qualità e Sicurezza.
Panfilo Marcelli cura gli articoli dedicati alla "Privacy" sul sito www.ComplianceNet.it ed è l’autore dell’ebook "Sei lezioni sulla privacy".

Altri articoli di Panfilo Marcelli

ComplianceNet: