Le quattro domande di una Consulenza Privacy: Cosa?

Sicurezza privacy

Nel dedalo rappresentato dalla normativa vigente in ambito privacy, caratterizzato da una pluralità di regole e soggetti per lo più ancora poco conosciuti e compresi, abbiamo scelto di scrivere questo articolo per rispondere ad una semplice, ma ancora attuale, domanda: cos’è e cosa riguarda una consulenza privacy?

Una consulenza privacy è un’attività di consulenza mirata ad analizzare “ogni operazione che abbia incidenza sui dati personali di una persona fisica1 che venga compiuta dal proprio Committente; sulla base di quanto osservato in questa prima fase di verifica, il Consulente indica al Cliente i passi da seguire per adeguare i propri trattamenti alla normativa vigente.

Ciò comporta che i soggetti potenzialmente interessati ad una consulenza privacy possono appartenere alle categorie più disparate: dal libero professionista (avvocato, medico o commercialista, ad esempio), all’ente pubblico (i Comuni in primis), all’azienda di qualunque dimensione: anche l’emissione di una semplice fattura ad un privato va considerato come un “trattamento dei dati personali” ai sensi della normativa europea.

Di cosa si occupa una Consulenza Privacy?

Una volta chiarito cosa sia una consulenza in ambito privacy, è opportuno chiedersi cosa riguardi: nello specifico, una consulenza privacy si occupa dei soggetti, delle modalità, delle ragioni, degli strumenti e dei fini di ogni trattamento operato dal Titolare.

Ogni trattamento riguarda sempre almeno due soggetti: un Titolare ed un “Interessato” (la persona a cui i dati trattati si riferiscono), a cui tuttavia possono aggiungersi ulteriori soggetti con ruoli diversi; nel già richiamato caso di una fattura, oltre al Titolare e all’Interessato (colui a cui la fattura è destinata), sarà tendenzialmente coinvolto un commercialista che riceverà la fattura per adempiere agli obblighi di natura fiscale gravanti sul Titolare. Capire quanti e quali soggetti intervengano nel trattamento e che ruolo occupino all’interno dello stesso è una delle risposte fondamentali che una buona consulenza privacy deve dare.

Infografica Trattamenti: Cosa analizzare in 5 punti in una consulenza privacy

L’analisi delle modalità di un Trattamento consente di determinarne la portata, l’impatto e il rischio che esso comporta per i dati trattati, permettendo al Consulente di trovare le soluzioni adatte per garantire la miglior tutela possibile per i dati degli interessati: chiaramente, un’operazione che comporti la diffusione degli stessi attraverso un sito internet richiederà accorgimenti ben diversi da un trattamento che si svolga esclusivamente in forma cartacea.

Strettamente collegata alle modalità è la scelta degli strumenti da adoperare nel trattamento: l’impiego degli assets corretti, ma anche delle giuste policy e scelte organizzative interne, consente di minimizzare il rischio connesso a ciascun trattamento (come determinato in fase di analisi delle modalità) e di ricondurlo a livelli accettabili.

Le ragioni che giustificano un Trattamento (o più correttamente, le basi giuridiche poste a fondamento dello stesso) rappresentano i criteri stabiliti dal legislatore europeo per valutare la legittimità di ogni operazione inerente i dati personali; diverse basi giuridiche comportano altresì un diverso controllo sull’operato del Titolare da parte dell’Interessato: in caso di trattamento fondato sul consenso, egli potrà infatti limitare le operazioni a cui prestare il consenso ovvero revocarlo del tutto, impedendo così la prosecuzione del trattamento stesso (che resterà comunque lecito per tutto ciò che ha preceduto la revoca stessa).

I Trattamenti che riguardano particolari categorie di dati personali2 necessitano di specifiche basi giuridiche, ulteriori rispetto a quelle previste all’art. 6 del Reg. U.E. 679/2016.

La corretta indicazione delle idonee basi giuridiche per i propri trattamenti nelle Informative consente ad ogni Titolare di adempiere correttamente al proprio obbligo di informazione e ad ogni Interessato di avere una corretta rappresentazione dei diritti e delle facoltà a lui riconosciute per il trattamento in questione.

Infine, i fini (rectius, le finalità) rappresentano gli scopi perseguiti dal Titolare con ciascuno dei propri trattamenti: questi vanno portati a conoscenza degli interessati, in accordo con il principio di trasparenza, anche al fine di permettere loro di valutare se prestare o meno, ove ciò sia applicabile, il proprio consenso; è infatti cosa assai comune, nell’iscriversi ad una newsletter o nel richiedere una promozione in un esercizio commerciale, venire invitati a scegliere se accettare o meno comunicazioni con finalità di marketing.

Collaborazione con il D.P.O. nell’espletamento della Consulenza

Dopo aver compiuto un’approfondita analisi di tutti gli elementi sopra indicati, il Consulente Privacy redige la propria valutazione e indica al Titolare tutti i possibili interventi idonei ad assicurare il rispetto della normativa vigente in materia privacy; in questa ultima attività egli potrà confrontarsi con il D.P.O. eventualmente nominato dal Titolare in modo da garantire la corretta applicazione dei correttivi suggeriti.

È infatti opportuno sottolineare che, come chiariremo meglio in un futuro articolo, Consulente Privacy e Data Protection Officer sono due figure distinte e con compiti diversi: mentre il Consulente si occupa, come è facile intendere, di consulenza, il D.P.O. ha una funzione di verifica e di sorveglianza, avendo il compito di vigilare in primis sulla concreta rispondenza dei trattamenti effettuati alla normativa vigente.

In questa ottica si comprende facilmente come le due figure non siano alternative, ma anzi operino con una profonda sinergia: la presenza di un D.P.O. consente al Consulente di avere un interlocutore attento e preparato con cui interfacciarsi, mentre il primo può trovare nel secondo un alleato in grado di indicargli le soluzioni ottimali per adempiere al proprio compito.

Con questo termina la nostra breve esposizione: nella speranza di aver fornito utili chiarimenti anche a chi si affaccia per la prima volta al mondo della tutela dei dati personali, invitiamo alla lettura dei successivi articoli in cui discuteremo il come, il chi e il perché di una consulenza privacy.


1 Questa è la definizione di “trattamento” fornita all’art. 4 del Reg. U.E 679/2016.

2 Queste categorie, descritte all’art. 9 del Reg. U.E. 679/2016, corrispondono per lo più ai c.d. “dati sensibili” previsti dalla normativa previgente.

Condividi:

Share on facebook
Facebook
Share on twitter
Twitter
Share on linkedin
LinkedIn
Share on whatsapp
WhatsApp
Share on telegram
Telegram
Share on email
Email
Torna su