L’autorizzazione al trattamento dei dati personali prende forma come documento consegnato dall’organizzazione in cui si autorizza il soggetto ai trattamenti in cui è coinvolto.
A fine 2019 ci siamo chiesti: c’è spazio per portare innovazione all'interno di questo adempimento?
Quando progettiamo le nuove funzionalità di UTOPIA lo facciamo pensando che un software privacy non serve solo a creare documenti ma deve anche facilitare gli adempimenti e la gestione dei processi all’interno dell’organizzazione.
Per questo motivo abbiamo coinvolto il nostro legal team e alcuni dei nostri clienti.
Insieme abbiamo iniziato a progettare l’invio digitale delle autorizzazioni al trattamento e la gestione del processo di presa visione dell’autorizzazione da parte dell’autorizzato.
Volevamo essere i primi a farlo e ci siamo riusciti, a fine Febbraio 2020 la funzionalità era in versione BETA.
Come ogni percorso che si rispetti, anche questo si è articolato in diverse fasi: prima di raccontarle tutte è necessario fissare dei i concetti utili per capire i fondamenti normativi rispetto all’adempimento in questione.
Riferimenti normativi per l’autorizzazione al trattamento
Articolo 4 paragrafo 10 GDPR ''non sono considerati soggetti terzi, oltre al titolare e al responsabile anche quelle persone che trattano dati personali sotto l’autorità diretta del titolare o del responsabile'' contiene un richiamo implicito alla figura dell’autorizzato.
Gli autorizzati al trattamento sono tutti i soggetti che nello svolgimento dei propri compiti e delle proprie mansioni trattano dati personali.
Nell’articolo 29 del GDPR “il responsabile del trattamento, o chiunque agisca sotto la sua autorità o sotto quella del titolare, che abbia accesso ai dati personali non può trattare tali dati se non è istruito in tal senso dal titolare” viene introdotto un ulteriore elemento che dovrà essere compreso nell’autorizzazione: le istruzioni.
Con l’entrata in vigore del Decreto legislativo 101/2018 l’articolo 2- quaterdecies emerge un altro elemento: “l’espressa designazione” sulla quale il legislatore ha lasciato completa libertà al titolare e al responsabile del trattamento in merito alla forma da utilizzare.
I riferimenti normativi fondamentali sono 3:
- Le persone (nella maggiorparte dei casi dipendenti dell’organizzazione);
- Le istruzioni al trattamento, in alcuni casi anche specifiche in base alla persona o ai trattamenti effettuati;
- L’espressa designazione, ossia il documento che riassume le informazioni sull’autorizzazione (come ad esempio la mansione svolta, l’area in cui opera, le informazioni sui trattamenti in cui è coinvolto)
Gli elementi da considerare
Un’autorizzazione al trattamento conforme al dettato normativo e in grado di rispondere al principio di accountability deve essere fatta attraverso un’espressa designazione e contenere le istruzioni al trattamento.
E’ compito del titolare (o del responsabile del trattamento) censire tutte le persone (o le mansioni) che trattano dati personali all’interno dell’organizzazione ed elencare tutti i trattamenti svolti per poter collegare fra loro queste informazioni.
In questo modo le autorizzazioni al trattamento raggiungeranno il livello di specificità richiesto garantendo anche nella sostanza, il rispetto degli obblighi.
Con questo livello di dettaglio è infatti possibile intervenire sulle singole autorizzazioni indicando anche specifici compiti e mansioni di alcuni soggetti all’interno dell’organizzazione.
La firma dell’autorizzato
Abbiamo vissuto la temuta fase di stallo al momento della sostituzione della sottoscrizione autografa dell’autorizzato del documento cartaceo.
La soluzione rappresentata dalla firma elettronica avanzata o digitale non era attuabile, in quanto avrebbe rappresentato un ostacolo per l’organizzazione, fornire un sistema di firma a tutti gli autorizzati.
La risposta è stata trovata dallo studio legale con cui collaboriamo durante una riunione di progettazione: la firma dell'autorizzato sul documento autorizzativo (composto dall espressa designazione e dalle istruzioni al trattamento) non serviva per la validità o l’accettazione (visto che per sua natura l’autorità diretta non è soggetta a trattative) ma solo per dimostrare di aver consegnato l’autorizzazione.
Tecnicamente non occorreva quindi la firma dell'autorizzato, bensì era sufficiente progettare un meccanismo che garantisse la presa visione del documento da parte di quest’ultimo.
La presa visione digitale
Gli elementi tecnici essenziali sono stati il link che l'autorizzato avrebbe ricevuto tramite mail (o altri canali) e il suo codice fiscale (o numero di matricola).
Il processo era pronto: dopo aver creato sia gli autorizzati, creato i trattamenti e dopo aver collegato le istruzioni, era possibile inviare l'autorizzazione in modalità digitale evitando l'esportazione e la stampa del documento.
L’autorizzato quindi avrebbe ricevuto un link ad una specifica pagina web contenente il documento e il pulsante dedicato alla presa visione di questo.
Questo pulsante si sarebbe attivato solo ed esclusivamente dopo aver inserito il proprio codice fiscale e dopo aver effettuato il download del pacchetto autorizzativo.
I feedback dei primi utilizzatori
Molti sanno come funziona il nostro metodo di lavoro, sanno che ogni due settimane pianifichiamo nuove attività di sviluppo e che attraverso i feedback raccogliamo tutti i suggerimenti per migliorare le funzionalità esistenti e così hanno fatto.
Qualcuno ha così suggerito di poter inviare le autorizzazioni a più persone contemporaneamente senza entrare uno ad uno nella scheda di un singolo autorizzato per effettuare l'invio.
Qualcun altro ha richiesto un metodo più semplice e veloce per monitorare lo stato delle autorizzazioni al trattamento e avere a disposizione nuovi filtri da utilizzare per distinguere chi ha già ricevuto l'autorizzazione ma non ha ancora preso visione del documento, da chi ancora non ha ricevuto la richiesta.
Altri hanno chiesto di poter inserire il logo dell'organizzazione nella pagina web e di modificare il nome del mittente da cui parte la mail per evitare che l'autorizzato si confonda.
Sono state numerose le richieste, i consigli e i suggerimenti ricevuti che hanno contribuito a migliorare costantemente la funzionalità e completare il nostro progetto iniziale.
Ovviamente li abbiamo ascoltati tutti e nel tempo abbiamo aggiunto tutti questi piccoli miglioramenti che in gergo chiamiamo “improvement”.
Si tratta di un processo che funziona perché ci consente di ricevere nuovi stimoli, capire se quello che stiamo facendo è corretto, e inoltre permette alla nostra community di essere coinvolta e di sentirsi al centro del nostro processo decisionale e di sviluppo.
