NEWS

Il principio di ‘comply or explain’ applicato alla protezione dei dati personali

Il principio di “comply or explain” (in italiano “soddisfa o spiega”) è un elemento centrale della maggior parte dei regolamenti aziendali, in particolare di matrice anglosassone. È una soluzione estremamente valida per evitare un approccio rigido e fine a se stesso alle regole aziendali, promuovendo al contempo la responsabilizzazione dei collaboratori aziendali a tutti i livelli.

l'Ing. Monica Perego

(Nella foto: l'Ing. Monica Perego. E' docente al Corso 'L’audit di conformità legislativa al Gdpr')

In questo articolo si vuole comprendere l’applicazione di questo principio nel contesto della protezione dei dati personali.

Il principio “comply or explain” - Alla base vi è una logica molto semplice e chiara, che, in estrema sintesi, può essere così riassunta:

- le organizzazioni definiscono dei codici di governo societario (regolamenti, procedure, istruzioni, ecc.), che hanno livello gerarchico differente;
- le persone che operano all’interno delle organizzazioni (sia dipendenti che collaboratori esterni) devono conformarsi a tali disposizioni;
- se non lo fanno devono essere in grado di motivare perché non hanno rispettato le regole.

In altri termini si vuole evitare il cosiddetto “approccio taglia unica", nella consapevolezza che irrigidire troppo i processi aziendali potrebbe essere controproducente.

A supporto di questo tema si vedano anche le “Raccomandazione della Commissione del 9 aprile 2014 sulla qualità dell'informativa sul governo societario (principio « comply or explain »)”.

Gli elementi salienti di tale documento, adattati e semplificati da chi scrive, sono:

- quando possibile, nei codici di governo societario vi deve essere un netto distinguo tra gli elementi da cui non si può derogare, quelli «comply or explain », e quelli che si applicano su base volontaria;
- le società dovrebbero riferire alle parti interessate circa il modo in cui hanno applicato le raccomandazioni contenute nei codici in relazione agli aspetti di maggiore rilevanza;
- nel caso in cui ci fossero degli scostamenti, tra quanto previsto dai codici di governo societario e quanto effettivamente svolto, deve essere possibile risalire alla motivazione ed alle modalità per cui l’organizzazione ha disatteso quanto previsto dai codici. Inoltre si deve identificare il soggetto che ha preso tale decisione, la misura adottata in alternativa (se del caso) e come tale misura può permettere comunque di raggiungere l’obiettivo fondamentale alla base della misura o raccomandazione e, se si tratta di una deroga limitata nel tempo, indicare quando l’organizzazione prevede di tornare a rispettare i codici. Le informazioni dovrebbero essere disponibili in termini sufficientemente chiari, precisi ed esaurienti, in modo da consentire a tutte le parti interessate coinvolte di valutare le conseguenze di una deroga o misura alternativa ad una data raccomandazione.

Il principio “comply or explain” può essere applicato al contesto della protezione dei dati personali

Bisogna anche fare riferimento alla teoria della legittimità in base alla quale le motivazioni per deviare da una “regola imposta” possono essere intese anche come mezzi per legittimare le azioni dell'organizzazione. Ovviamente ciò non deve giustificare l’idea che muoversi in un contesto di incertezza sia un modello corretto.

Benché le raccomandazioni nel loro complesso siano destinate a società quotate, le piccole e medie organizzazioni possono applicarne un sottoinsieme.

È evidente, infatti, che tutti gli aspetti citati sono facilmente applicabili al Regolamento EU 2016/679 (GDPR), nel suo complesso, e, nello specifico, alle disposizioni sotto forma di procedure e/o istruzioni fornite agli autorizzati, per il trattamento dei dati personali.

Il principio “comply or explain” applicato al contesto della protezione dei dati personali - Nonostante la sua potenziale ampia applicazione, in generale e nell’ambito della protezione dei dati, tale modello nei regolamenti e nelle policy interne viene applicato molto raramente.

Le normative sulla protezione dei dati non vanno “inseguite” ma vanno applicate, perché ciò è quello che ci richiedono gli interessati e più in generale l’accountability. Il principio di “comply or explain” aiuta a proteggere al meglio i dati personali.

L’applicazione prevalente di questo principio, nel contesto qui esaminato, trova riscontro:

- nella declinazione delle responsabilità aziendali;
- nelle regole per gli autorizzati in merito alle misure da mettere in atto per la protezione dei dati personali;
- nelle procedure data breach, richiesta dei diritti degli interessati, e più in generale per le varie procedure che impattano sulla protezione dei dati personali.

Per la migliore applicazione del principio è utile che il personale possa disporre di un supporto (dato dal Privacy Officer e/o dal Data Protection Officer) che lo aiuti a chiarire eventuali dubbi che possano insorgere nell’applicazione delle regole e procedure aziendali; questo corrisponde perfettamente con quanto recita l’art. 39 del GDPR - il DPO deve “… 1a) informare e fornire consulenza al ….nonché ai dipendenti che eseguono il trattamento, in merito agli obblighi derivanti dal presente regolamento ….”.

Per quanto il principio trovi applicazione nei modelli di Governance di società articolate e complesse, un esempio, sia pure semplificato, può aiutare a comprendere la differenza nella redazione di un testo che faccia o meno ricorso al principio.

Contesto: azienda che, nel ruolo di Responsabile del trattamento, fornisce il servizio di bollettazione per conto di clienti, a Titolari del trattamento, che operano nel settore delle utility. Il servizio prevede: la predisposizione delle bollette per utenze private e business (acqua, metano, energia), la stampa, l’imbustamento e la spedizione. Per queste ultime tre fasi si ricorre a sub-responsabili in grado di effettuare l’intero ciclo richiesto.

Estratto dalla procedura “Valutazione iniziale e dinamica dei fornitori” del Responsabile del trattamento:

- versione “taglia unica” - ai fornitori di servizi di stampa, imbustamento e spedizione, in fase di qualifica ed ogni due anni il Privacy Officer deve pianificare ed effettuare un audit seguendo quanto indicato nella procedura P 23 “Audit a fornitori”. Ulteriori audit devono essere effettuati nel caso in cui il fornitore risulti responsabile o comunque coinvolto in un evento di data breach.

- versione “comply or explain” - ai fornitori di servizi di stampa, imbustamento e spedizione, in fase di qualifica ed ogni due anni il Privacy Officer deve valutare di pianificare ed effettuare un audit seguendo quanto indicato nella procedura P 23 “Audit a fornitori”. Nel caso in cui il fornitore già disponesse di un sistema di gestione certificato da un ente accreditato, a fronte della ISO/IEC 27001 ed eventualmente ISO/IEC 27701, ovvero lo stesso fornitore fornisse garanzie sufficienti sulla sua capacità di rispettare quanto previsto dall’atto di designazione, il Privacy Officer può valutare di non procedere in tal senso, riportando la motivazione nel sistema gestionale - scheda anagrafica del fornitore. Ulteriori audit potrebbero essere effettuati nel caso in cui il fornitore risultasse responsabile o comunque coinvolto in un evento di data breach. Anche in questo caso il Privacy Officer valuta la reale necessità di procedere e documenta nel sistema informatico l’esito delle sue valutazioni. I risultati delle analisi e le decisioni del Privacy Officer saranno disponibili al DPO ed al Titolare del trattamento.

È probabile che il personale necessiti di un pò di tempo per capire come applicare questo metodo, esattamente come è stato necessario del tempo per comprendere come applicare al meglio il principio dell’accountability. Si tratta infatti di un cambiamento culturale non facile da assimilare.

Quindi, affinché il principio sia correttamente compreso, gli autorizzati devono essere supportati da un’adeguata formazione. È opportuno, per quanto possibile, che i regolamenti interni e le procedure in materia di protezione dei dati, invece di essere calati dall’alto con un approccio “top-down”, vengano predisposti insieme ad alcuni rappresentanti degli autorizzati attraverso un modello “down-top”. Anche attraverso questo strumento si può dare ulteriore evidenza dell’applicazione del principio dell’accountability.

Inoltre, i regolamenti interni dovrebbero contemplare l‘uso di esempi, affinché la spiegazione di una regola sia idonea e sufficiente a far comprendere al personale quali errori devono essere evitati e quali buone prassi applicare.

Infine le regole devono prevedere anche una spiegazione della motivazione che sta alla base delle stesse. Non basta indicare agli autorizzati che non devono scaricare del SW, bisogna evidenziare anche le ragioni per cui tale pratica è vietata, affinchè essi ne abbiano maggior consapevolezza.

Consapevoli, quindi che il principio “comply or explain” trova la sua piena applicazione in un contesto molto strutturato, gli elementi salienti sono comunque applicabili anche nel contesto della protezione dei dati personali.

Conclusioni - La Governance di un’organizzazione deve facilitare una gestione imprenditoriale efficace e prudente, in grado di garantire un successo a lungo termine; essa è il sistema attraverso il quale le aziende sono dirette e controllate; l’applicazione di regole troppo rigide, senza l’utilizzo di strumenti a supporto del personale, rende vulnerabili le stesse regole. Il principio “comply or explain” aiuta a trovare un punto di equilibrio ed a responsabilizzare il personale, che valuterà in modo obiettivo e costruttivo le varie azioni poste in essere.

Note sull'Autore

Monica Perego Monica Perego

Membro del Comitato Scientifico di Federprivacy, docente qualificato TÜV Italia e docente del Master per Esperto Privacy e del Corso di alta formazione per Data Manager - Twitter: monica_perego

Prev Controlli a distanza e sanzioni attraverso super-occhiali indossati dai vigili urbani: anticipazione di problemi cruciali anche del Metaverso?
Next Una civiltà digitale che oggi non tiene conto dei diritti privacy dei cittadini svantaggiati rischia di condannare al fallimento lo sviluppo tecnologico futuro

Il presidente di Federprivacy a Rai Parlamento

Mappa dell'Italia Puglia Molise Campania Abruzzo Marche Lazio Umbria Basilicata Toscana Emilia Romagna Calabria

Rimani aggiornato gratuitamente con la nostra newsletter settimanale
Ho letto l'Informativa Privacy