No results found
Quello delle ispezioni che la Guardia di Finanza può svolgere per verificare l’ottemperanza al GDPR è un tema attuale e delicato per qualsiasi azienda o professionista. Dal 25 maggio del 2018, data di applicazione effettiva del GDPR, è scattata la possibilità -per il nucleo preposto della Guardia di Finanza (Nucleo Speciale Tutela Privacy)- di effettuare le verifiche degli adempimenti correlati presso le aziende e gli studi professionali soggetti al GDPR stesso.
La domanda che molti si pongono, soprattutto considerato che oggi i dati (anche quelli personali, inevitabilmente) sono trattati praticamente tutti in formato elettronico, è come vengono effettuate le ispezioni e poi anche come prepararsi ad affrontare un’ispezione della Guardia di Finanza, che può portare anche a pesanti sanzioni che non sono solo pecuniarie.
In questo tutorial risponderemo a tali domande e vedremo la lista degli adempimenti cui attenersi per presentarsi alla Guardia di Finanza in caso di ispezione.
La cosa interessante è conoscere l’approccio con cui la Guardia di Finanza si pone di fronte agli adempimenti GDPR, che è nuovo e diverso rispetto al passato.
Un’ispezione presso un’azienda può avvenire perché è un’attività programmata dal Garante (questo programma le attività due volte all’anno) o perché consegue a una segnalazione che il Garante ha ricevuto. La programmazione può essere consultata dal sito web del Garante, come vedete nell’immagine seguente.
Qui ci sono le categorie di titolari che vengono indicate come oggetto di ispezioni (di solito sono programmate 100 ispezioni) tra cui banche ed altri soggetti.
Quanto alle attività ispettive che vengono fatte su segnalazione, sono le più imprevedibili e insidiose per il soggetto che esegue il trattamento dei dati personali; segnalazioni che vengono fatte da clienti o da lavoratori e queste ultime rappresentano l’aspetto più delicato mediamente i datori di lavoro perdono sempre di fronte ai lavoratori perché non sono mai conformi al GDPR.
Tutto questo per chiarire che la stragrande maggioranza di segnalazione proviene da persone fisiche.
Durante un’ispezione la Guardia di Finanza espone la lista degli adempimenti e domanda perché certi adempimenti sono stati fatti in una certa maniera ed anche perché determinate cose non sono state fatte; il soggetto titolare deve rispondere fornendo documentazione idonea a dare spiegazioni e a interagire in modo corretto e proprio di fronte alle richieste.
È questa la fase di accountability, che significa rendere conto, quindi nello specifico il titolare del trattamento deve rendere conto di cosa è stato fatto da lui e dalla sua organizzazione e se qualcosa non è stato fatto, fornirne il perché.
A fronte di questo poi viene redatto un verbale che descrive l’ispezione e gli eventuali inadempimenti rilevati; in questa fase, il titolare del trattamento ha la possibilità di inserire proprie annotazioni riguardanti l’ispezione. Il verbale viene poi notificato al Garante il quale archivia o commina sanzioni.
L’intero flusso riguardante l’ispezione è schematizzato nell’immagine seguente.
Le ispezioni della Guardia di Finanza nascono non tanto con l’intento sanzionatorio, quanto piuttosto come azioni dissuasive per far capire cosa andava fatto e indurre quella determinata organizzazione a non porre più in atto un comportamento in violazione della privacy.
La sanzione che il Garante commina in caso siano riscontrate inosservanze del GDPR può essere impugnata in tribunale e, laddove il ricorso venga respinto, in Cassazione, anche se va notato che l’esperienza dei ricorsi alla Corte di Cassazione dice che questa si pronuncia in favore di un difetto di giurisdizione; in altre parole la Cassazione dice che il rigetto del ricorso di fronte al tribunale di primo grado si oppone in Appello e non direttamente in Cassazione, il che significa ricominciare tutto da capo.
Per le ispezioni della Guardia di Finanza valgono i suggerimenti che si applicano a tutti i controlli del genere, quindi collaborare in modo leale e mai mentire, perché può solo causare problemi di ordine legale e andare ad aumentare l’importo dell’eventuale sanzione, in quanto a quel punto si rischia di passare dall’illecito colposo al fatto doloso. Quindi meglio tacere piuttosto che dire qualcosa di non vero.
Inoltre conviene segnarsi cosa viene ispezionato e chiedere che sia verbalizzato cosa è stato richiesto e quali risposte sono state date, in modo che agli atti ci sia anche la vostra versione dei fatti.
Ancora, riguardo alla documentazione è consigliabile opporsi al tentativo di prelevare documentazione originale; nel caso dare sempre copia previa cancellazione delle informazioni riservate ivi contenute.
Infine farsi sempre rilasciare una copia del verbale redatto dalla Guardia di Finanza, perché in caso di contestazione avete almeno memoria dell’accaduto.
Vediamo la lista dei documenti e delle informazioni che possono essere richieste durante un’ispezione (immagine seguente) e alle quali dobbiamo fornire risposte esibendo, eventualmente, la documentazione a sostegno.
Questa è una lista effettivamente impegnativa e che può risultare poco comprensibile, quindi possiamo trasformarla in qualcosa di più sintetico e contestualizzato. Ecco che per semplificare l’approccio la possiamo dividere in cinque punti principali che riguardano altrettante aree tematiche. I primi tre punti riguardano la struttura e il contesto dell’organizzazione, le autorizzazioni concesse ai dipendenti, il titolare del trattamento dei dati, la mappatura dei trattamenti di dati che coinvolgono l’azienda (per esempio dove avviene il trattamento, se in una o più sedi, se i Italia o anche all’estero…) e la gestione dei diritti degli interessati, comprendendo in questo anche le procedure per l’informativa e l’acquisizione dei consensi (immagine seguente).
Gli ultimi due punti riguardano la gestione del rischio e quindi l’effettuazione di un’attenta analisi dei rischi che incombono sul trattamento dei dati e le contromisure da adottare, le procedure per assicurare la riservatezza, nonché gli strumenti messi in campo, prevedendo anche di poter fornire risposte e motivazioni nel caso certe azioni non siano state poste in essere. Infine c’è la gestone della Data Breach, ossia le procedure adottate, il registro dove vengono annotati gli eventi e via di seguito.
In questo rientrano le contromisure previste, la valutazione del rischio residuo, la formazione dei dipendenti, la verifica della capacità effettiva dell’organizzazione di garantire la tutela del dato e della resilienza del sistema adottato, nonché le procedure di assesment delle vulnerabilità.
Per essere conformi ai dettami del GDPR occorre innanzitutto fare una valutazione del rischio che permette di capire in cosa può consistere, dove possono verificarsi problemi e cosa fare in caso di Data Breach. Per quanto riguarda l’organizzazione, bisogna farne una mappatura completa, nonché identificare i soggetti coinvolti (enti, persone fisiche) i ruoli nella privacy e le mansioni delle persone. Poi occorre svolgere un’analisi del contesto in cui l’organizzazione opera, valutando gli elementi interni ed esterni che determinano il livello di rischio insito nel trattamento dei dati.
Bisogna quindi mappare i trattamenti (quindi come avviene il trattamento dei dati) fatti dall’organizzazione e fare la mappatura dei rischi che incombono sui trattamenti concretamente.
Inoltre è opportuno tenere registri dei trattamenti del titolare e del responsabile del trattamento (non sempre sono la stessa persona) e fare una mappatura degli asset divisi per categorie, cui far seguire la creazione di gruppi di asset omogenei e stabilire il collegamento fra di essi e i trattamenti dei dati effettuati, nonché tra questi e il valore attribuito secondo criteri RID (cioè Riservatezza, Integrità, Disponibilità).
Altra cosa da fare è redigere l’elenco delle minacce e la probabilità che queste si concretizzino, individuare l’impatto delle minacce in relazione alla categoria di asset cui possono essere riferite, quindi stilare un elenco delle vulnerabilità distinte per gravità.
Poi occorre fare un calcolo del rischio puro per gruppi di asset adottando una valutazione ragionevole e stilare un elenco delle contromisure da adottare al verificarsi di tentativi di sfruttamento delle vulnerabilità riscontrate.
Completano le attività di gestione del rischio il calcolo del rischio residuo e l’aggiornamento periodico di tutto il piano.
Tutta questa gestione diventa veramente complessa da fare, però va fatta e, affinché diventi meno invasiva, conviene informatizzarla e automatizzarla.
Inoltre bisogna fare la gestione della Data Breach (con relative comunicazioni al Garante) e se è vero che esiste una guida ufficiale (Linee guida sulla notifica delle violazioni dei dati personali ai sensi del regolamento UE), è vero altrettanto che si tratta di un documento abbastanza teorico.
A fianco a questa attività occorre redigere un registro della Data Breach secondo il comma 5 dell’art. 35 del GDPR.
Si può anche fare un manuale ad uso interno per la gestione Data Breach ed accorparlo alla procedura, però deve essere molto sintetico e di rapida comprensione.
In ultimo occorre fare la formazione dei dipendenti sul trattamento dei dati e su come evitare il verificarsi di fughe di dati; questo è molto rilevante perché è proprio lì che si vede quando il sistema messo in piedi funziona o meno: quando ci sono dei problemi. Questo viene particolarmente valutato in sede di ispezione.
Volendo tradurre graficamente questi concetti possiamo ricavare la struttura piramidale proposta nell’immagine seguente, dove alla base collochiamo la gestione della Data Breach, perché la base di qualsiasi sistema di gestione della privacy è la gestione del rischio di Data Breach.
Senza quella parte è difficile capire le nozioni di base di un sistema di gestione del rischio e riuscire a operare concretamente; è vero che il GDPR suggerisce degli strumenti concettuali, però poi devono essere debitamente concretizzati. Anche qui bisogna definire un approccio ragionevole alla gestione del rischio di Data Breach che sia conforme GDPR, ma anche gestibile, ragionevole e fattibile concretamente, non solo alla portata degli esperti, perché mettere in piedi un sistema che solo un esperto è in grado di utilizzare è poco utile perché prima o poi bisognerà aggiornarlo e quando viene il momento ci si trova a dover chiamare un esperto appena si cambia un computer o c’è un cambiamento qualsiasi e il sistema non funzionerà mai.
Una soluzione è appoggiare la gestione degli eventi pratici a una cartella di lavoro di Microsoft Excel, che è uno strumento alla portata di tutti e con il quale si possono fare molte cose semplicemente collegando vari fogli Excel e sfruttando gli strumenti come le macro, i pulsanti e via di seguito.
Vediamo un esempio pratico di utilizzo di Excel dove sono stati creati 6 fogli di calcolo opportunamente strutturati per contenere ciascuno alcuni degli elementi riguardanti l’elenco degli adempimenti per la gestione del rischio (immagine seguente). Nello specifico è stata fatta l'analisi del contesto in una scheda che considera 11 criteri.
Poi è stato fatto l’organigramma definendo i vari ruoli privacy, una mappatura dei trattamenti, il registro dei titolari e responsabili del trattamenti, la mappatura degli asset (risorse informatiche) e valori RID, le tabelle di minacce, impatto, probabilità, vulnerabilità, gravità, controlli ecc. Sempre su fogli Excel sono state fatte le analisi rischio puro e residuo ed anche degli strumenti per la mappatura degli accessi logici e fisici, perché è richiesto sia di fare la mappatura di tutte le risorse informatiche attribuendo la gestione degli accessi logici relativi ai componenti dell’organizzazione, sia di mappare gli accessi fisici alle strutture dell’organizzazione, quindi la gestione delle chiavi, dei telecomandi e quant’altro, per sapere sempre chi ha accesso a che cosa e in che orari. Questo, per organizzazioni con molti addetti e molti luoghi dove si trovano i dati, non può che essere fatto con uno strumento informatico, altrimenti è difficile assicurare la tutela del dato personale,
Infine è stata compresa la gestione del registro Data Breach, che è una compilazione di campi che vai a fare in modo che con la compilazione del registro si sta attuando la normativa.
Nell’immagine seguente vedete come si presenta il foglio Excel principale di questa cartella, dove tramite pulsanti si accede alle funzioni specifiche e ai fogli collegati.
Prendiamo ad esempio il Contesto: qui si è pensato di fare una scheda che inquadra l’analisi del rischio nel contesto in cui opera l’organizzazione, in cui si compilano 11 campi con altrettante categorie di rischi collegati a determinati oggetti di analisi che si vanno a fare (immagine seguente). Accanto alla descrizione/motivazione si attribuisce un valore indicativo del rischio da 1 a 5 e si scrive un giudizio di rischio.
Questo approccio mi permette di capire se l’attività in relazione al contesto in cui si svolge è ad alto rischio o basso rischio; i criteri non sono perfetti ma ragionevoli. Per esempio il fatto di avere un’attività con tanti dipendenti con alto turnover è molto più a rischio per i dati personali rispetto ad una dove ci sono pochi dipendenti e un basso turnover. Idem per le attività che contano su personale all’estero, perché il fatto che i dati personali possano essere gestiti anche da filiali estere è indubbiamente più rischioso, per la privacy, che trattarli solo in Italia: ad esempio perché nelle altre nazioni potrebbero esserci criteri di tutela meno restrittivi.
Esibire una scheda come questa ad un’ispezione della Guardia di Finanza trasmette indubbiamente la sensazione che il soggetto stia attuando seriamente delle politiche di tutela del dato personale e già predispone bene, perché a prescindere dalle valutazioni che gli ispettori potrebbero fare, presume un’impostazione del lavoro.
La scheda descritta finisce con una valutazione globale del rischio (immagine seguente) fatta con un punteggio che prende in considerazione tutti i campi precedenti.
Passiamo adesso a vedere un esempio di come può essere fatto l’organigramma in un foglio di Exclel; nel caso dell’esempio proposto, ci sono più modalità di organigramma e per ciascuna è stata approntata una scheda (un foglio Excel) dove sono elencati tutti i soggetti coinvolti e per ogni soggetto si va ad attribuire l’unità organizzativa e anche il ruolo relativamente alla gestione della privacy (immagine seguente).
In questo foglio le informazioni sono già inserite e raccolte in menu a tendina e quando si clicca in caselle come Ruolo questo viene fuori automaticamente e basta scegliere uno di quelli esistenti, il che semplifica notevolmente il lavoro di compilazione. Volendo è comunque possibile, cliccando sopra un campo, compilarlo a mano prescindendo dalle scelte proposte dal menu e nelle note si possono inserire considerazioni varie.
Sempre nel nostro esempio abbiamo fatto, a destra della tabella, un organigramma a scaletta (è uno degli strumenti offerti da Excel) dove sono visibili immediatamente i ruoli ed eventuali informazioni che appaiono sotto i ruoli in campi compilabili a piacere (immagine seguente).
Creare questo organigramma a scaletta permette di scrivere i compiti assegnati ed è utile perché l’articolo 2 quater-decies secondo comma del codice in materia di tutela della Privacy, così come riformato dal decreto legislativo 101/2018 prevede che per l’attribuzione dell’autorizzazione ai soggetti che sono sotto la diretta autorità del titolare del trattamento ci si possa regolare nella maniera più opportuna; quindi non c’è l’obbligo di farlo ma creare un organigramma e inserire quali sono le autorizzazioni e i compiti assegnati alle singole unità organizzative e a coloro che vi appartengono devono attenersi a tali regole. Un esempio di organigramma gerarchico a scaletta è proposto nell’immagine seguente.
La cosa interessante del foglio con l’organigramma a scaletta è che per esempio da esso è possibile creare in automatico un organigramma radiale (immagine seguente) dove se togliamo o aggiungiamo un’unità organizzativa, quanto si torna all’organigramma a scaletta questo cambia di conseguenza.
Passiamo ora a un foglio di Excel che propone un esempio di mappatura dei trattamenti, dove abbiamo inserito un codice identificativo interno (ID) un ambito, una descrizione sintetica, l’organizzazione e quant’altro attiene al trattamento, come ad esempio la tipologia, il ruolo chi si occupa del trattamento e a che livello, nonché la valutazione se quel determinato trattamento risponde alle esigenze di fare una DPIA.
Poi si inseriscono direttamente i dati attraverso due menu a tendina senza dover scrivere a mano per cercare quelli che sono i campi da inserire; per esempio nel registro dove si richiama il trattamento e sono disponibili le opzioni delle finalità ecc. (dati personali o giudiziari).
Passiamo a vedere la struttura dell registro dei trattamenti utilizzato nell’esempio con Excel, perché rende più semplice sia la gestione che la mappatura di tutti i trattamenti e di tutti i dati personali; qui si può dividere il trattamento fatto sia come titolare o contitolare, sia come responsabile.
Poi nel registro del titolare c’è da inserire i trattamenti che si fanno in qualità di titolare, ossia quelli gestiti direttamente dal responsabile dell’organizzazione (immagine seguente).
Questa suddivisione permette di effettuare una ricostruzione “fisiologica” di quali sono i trattamenti che fa ciascun soggetto.
Passiamo oltre e vediamo un esempio di mappatura degli asset su foglio Excel, mappatura che è importantissima e che va fatta secondo criteri soggettivi ma pertinenti (immagine seguente). Per ogni asset viene attribuita una categoria; si tratta di una specie di elenco di asset suddivisi per categorie di infrastruttura, hardware corrispondente e software installati, personale che l’utilizza.
Cliccando su una delle categorie di asset compare una descrizione necessaria a identificare ciascuno, un’eventuale descrizione del gruppo di appartenenza e soprattutto la definizione (a destra nell’immagine seguente) del tipo di trattamento effettuato dal gruppo o dal singolo asset. Questo serve a determinare il livello di criticità di una macchina a e a sapere quale deve essere maggiormente protetta da effrazioni e Data Breach.
Il foglio è stato strutturato in maniera tale che si possa dettagliare meglio e per ogni gruppo, quindi fare il collegamento fra questo gruppo di asset e relativi trattamenti e poi andare ad attribuire valori RID (di Riservatezza, Integrità, Disponibilità) in relazione alle conseguenze che ci sarebbero per l’interessato se venisse violata la riservatezza, integrità o disponibilità (immagine seguente).
Alla luce di questa prima mappatura dei trattamenti si può creare un foglio che riporta l’impatto delle minacce: attraverso la tabella riportata nell’immagine seguente vengono mappate tutte le minacce e si attribuiscono i valori RID in base a probabilità, giudizio di probabilità, categoria o gruppo di appartenenza (eventi naturali, intenzionali ecc.).
Riprendiamo ora la parte esecutiva delle ispezioni al titolare del trattamento per vedere nel dettaglio quali sono i documenti richiesti dalla Guardia di Finanza; questo perché non bisogna trovarsi impreparati di fronte alle richieste di documenti che indubbiamente ci saranno.
Considerate che la pubblica amministrazione e la Guardia di Finanza di fronte a un atteggiamento collaborativo si pongono in maniera più favorevole e quindi le sanzioni, laddove risultassero dall’azione del Garante, saranno sicuramente attenuate; inoltre non necessariamente il Garante commina una sanzione, perché laddove ravvisi, in una mancanza, comunque la buona fede del titolare del trattamento, può semplicemente fornire dei suggerimenti per ottimizzare i processi e non sanzionare.
Quindi il fatto di presentarsi col pacchetto documentale ben motivato e ragionato, ovviamente non perfetto perché sicuramente non lo sarà, è una cosa utile e fornisce al Garante un’immagine di come stiamo operando per garantire il rispetto del GDPR.
Nell’immagine seguente c’è il riepilogo dei documenti che possono essere richiesti e i punti evidenziati in verde sono quelli coperti delle funzioni inserite nel file Excel che abbiamo proposto come esempio.
La lista nasce dalla valutazione degli adempimenti più difficili per le aziende e da un’analisi della media delle ispezioni effettuate dalla Guardia di Finanza.
Su queste si costruisce un metodo che possa essere esaustivo della gran parte delle situazioni pratiche, con l’ausilio di uno strumento, come Excel, che è più che sufficiente. Chiaramente per poterlo sfruttare bene occorre innanzitutto avere chiare le nozioni sulla gestione del rischio e della Data Breach e poi saper utilizzare Excel e le possibilità che offre, ma questo, almeno da utente non è difficile, perché si tratta di operare sul più diffuso foglio di calcolo esistente.