Il Dpo deve condurre le proprie indagini nel rispetto del principio di minimizzazione
Il Data Protection Officer è una funzione di così recente introduzione che stiamo tutti imparando a comprendere come deve esercitare, nel migliore dei modi, il suo ruolo, in particolare in condizioni complesse. In questo articolo si vuole approfondire un tema specifico, spesso trascurato, che riguarda l’invasività delle indagini che il DPO deve svolgere nel rispetto del principio della minimizzazione dei dati. Egli si può trovare infatti a condurre indagini, in modo sostanzialmente analogo a quanto viene svolto dall’Organismo di Vigilanza nominato ai sensi del D.lgs 231/2001, per approfondire, ad esempio:
- eventi a seguito di data breach;
- situazioni di non conformità emerse nel corso di un audit - non necessariamente condotte dal DPO ma anche su suo mandato come previsto dall’Art. 39 1b - per avviare i necessari trattamenti e le eventuali azioni correttive;
- segnalazioni e reclami degli interessati, non necessariamente riconducibili ad eventi che minano la sicurezza delle informazioni;
- richiesta da parte di un autorizzato o del Titolare del trattamento che potrebbero avere la necessità di comprendere qual è la posizione migliore da assumere in una specifica condizione.
In ogni caso, il DPO deve effettuare le sue analisi considerando il bilanciamento tra due aspetti:
- il livello di approfondimento delle indagini, che deve permettere di avere tutti gli elementi per poter valutare la specifica situazione, sia essa di data breach od una richiesta da parte di un altro soggetto;
- la necessità di applicare, nella raccolta dei dati, il principio di minimizzazione, ovvero trattare solo le informazioni strettamente necessarie al completamento delle indagini, per poi formulare la relazione o fornire il parere richiesto.
Trovare il giusto equilibrio tra tali posizioni è uno dei motivi per cui al DPO si richiedono preparazione specifica ed esperienza.
(Nella foto: l'Ing. Monica Perego, membro del Comitato Scientifico di Federprivacy)
Cosa consigliare ad un DPO che si trovi in tale situazione? Alcune linee guida possono orientarlo:
- innanzitutto, nelle fasi esplorative iniziali è necessario che il DPO raccolga molti elementi, che in seguito potrebbe rilevarsi, eccedenti l’obiettivo delle indagini, ma ha la necessità di ottenere un quadro complessivo della situazione;
- una volta che dispone di una prima serie di elementi può affinare la sua analisi, restringendo il campo a ciò che risulterà effettivamente necessario;
- in alcuni casi potrebbe sacrificare alcuni approfondimenti, a tutela del principio di minimizzazione, ma dovrà effettuare tale scelta in modo consapevole;
- se coinvolge altri soggetti - consulenti, altre funzioni aziendali, Responsabili del trattamento - deve fornire loro le informazioni strettamente necessarie, documentando, quando possibile e significativo, quali informazioni sono state trasmesse;
- è necessario che al termine dell’analisi o, ancora meglio, durante il suo svolgimento, predisponga una relazione, costantemente aggiornata, nella quale documenti le motivazioni che lo hanno spinto ad approfondire o meno determinati aspetti.
Applicando quindi il principio della minimizzazione si rischia di sacrificare alcuni aspetti che potrebbero dare al DPO una visione più ampia della tematica in esame.
Si ritiene quindi, in base all’esperienza maturata sul campo, che nel bilanciamento tra l’esigenza della minimizzazione e la necessità di disporre di tutti i dati, con l’obiettivo di tutelare tutte le parti interessate - visto il ruolo richiesto allo stesso DPO - il parziale sacrificio del principio di minimizzazione potrebbe essere la linea da seguire a tutto vantaggio dell’approfondimento delle indagini.
Un esempio può chiarire quanto delineato:
Il DPO riceve una segnalazione, non anonima, da parte di un dipendente (soggetto segnalante): il suo collega, di cui fa il nome (soggetto segnalato), naviga, durante l’orario di lavoro, in siti con contenuti pornografici.
Sappiamo che la navigazione in siti di tale natura non è un reato nel nostro paese, questo però non implica che l’azienda accetti tale situazione; anzi il regolamento interno la vieta espressamente, anche perché potrebbe minare la sicurezza dei sistemi.
Ricevuta questa segnalazione il DPO potrebbe agire con un’analisi di tipo concentrico, ad esempio richiedendo all’IT un’attività di monitoraggio pianificata sulla navigazione web da parte dei dipendenti, selezionando un certo numero di collaboratori. Tra questi, ovviamente il soggetto segnalato, il soggetto segnalante, ed altri, scelti in modo casuale, il cui totale potrebbero ammontare al 20% del totale degli autorizzati all’interno dell’organizzazione. Tale monitoraggio potrebbe prevedere il controllo della navigazione del gruppo di interessati, in forma anonima, per un giorno alla settimana per 3 settimane consecutive.
Ovviamente l’IT non è a conoscenza né della segnalazione né tantomeno dei nominativi del soggetto segnalato e del segnalante.
I risultati dell’analisi, condotta dall’IT, trasmessa al DPO, deve riportare solo i dati in forma anonima. Se i risultati fanno emergere che sono state effettuate delle navigazioni abusive il DPO procederà, sempre con una analisi a campione, restringendo il campo di indagine, fino ad evidenziare la situazione specifica ed il responsabile dell’abuso. In questo caso il DPO si limiterà a comunicare al segnalante che la sua segnalazione è stata approfondita, senza entrare nel merito dei risultati.
Nel caso in cui la prima tornata di analisi non avesse fornito alcuna indicazione, il DPO potrebbe anche interrompere l’indagine, applicando il principio della minimizzazione, oppure decidere di effettuare una seconda analisi, variando in parte il campione di autorizzati selezionato, a distanza di qualche settimana. Se anche in questo caso non si evidenziasse alcuna anomalia il DPO comunicherebbe al segnalante che la sua indicazione non ha fornito alcun riscontro.
Al termine delle attività, il DPO, indipendentemente dall’esito delle stesse, predisporrà una relazione per il Titolare del trattamento, che riassuma i risultati ottenuti, non necessariamente esplicitando che all’origine dell’analisi vi era stata una segnalazione.
Il Titolare provvederà poi a mettere in atto le azioni previste, nel caso in cui si fosse riscontrato un comportamento non rispettoso delle regole aziendali.
Il caso proposto illustra come i due aspetti sono stati, per quanto possibile bilanciati:
- sono state fatte indagini su una popolazione pari al 20% degli autorizzati e non sul 100% e l’indagine è stata condotta solo una volta alla settimana nell’arco di più settimane (applicazione del principio della minimizzazione);
- d’altra parte, è stata approfondita la navigazione di singoli autorizzati per poter accertare la veridicità di quanto segnalato.