Organigramma privacy: come gestire i flussi di dati nei gruppi internazionali
12 Ottobre 2022 in Audit & Compliance
La corretta definizione dei ruoli e delle responsabilità nel processo di trattamento dei dati personali costituisce uno dei pilastri della normativa europea e nazionale. Trattasi di un obbligo che il GDPR pone in capo al Titolare, al preciso scopo di garantire che le singole attività di trattamento poste in essere siano coerenti ai principi di cui all’art. 5 GDPR, e che non residuino lacune di responsabilità nel processo di gestione, conservazione e scambio dei dati.
Tuttavia, la redazione di un organigramma privacy coerente non può prescindere da una valutazione dei processi cui i dati sono sottoposti: come affermato, infatti, dall’European Data Protection Board (EDPB) all’interno delle Linee Guida 07/2020 sui concetti di titolare del trattamento e di responsabile del trattamento ai sensi del GDPR, e prima ancora nel parere di 1/2010 del gruppo di lavoro Articolo 29, i ruoli di titolare, responsabile o contitolare del trattamento sono determinati dal dato sostanziale e non dal dato formale.
Proprio con riferimento alla figura del contitolare, l’EDPB afferma nelle sue Linee Guida che “la valutazione della contitolarità del trattamento dovrebbe fondarsi su di un’analisi fattuale, piuttosto che formale, dell’influenza effettivamente esercitata sulle finalità e sui mezzi del trattamento”. Ne consegue che gli atti che regolano i rapporti tra i soggetti che operano sui dati devono far seguito ad un’attenta valutazione dei processi di trattamento ed essere cuciti su misura della specifica realtà aziendale e delle attività concretamente svolte dalle singole società, posto che lo stesso soggetto – in diversi contesti – può addirittura ricoprire ruoli differenti.
Organigramma privacy: perché realizzarlo in base alle specificità dell’azienda
Al fine di garantire il rispetto dei principi sanciti dalla normativa europea e nazionale e definire un organigramma coerente con il dato sostanziale, è necessario in primo luogo conoscere l’organizzazione e le sue specifiche necessità, oltre alle modalità di svolgimento del lavoro.
Quando l’oggetto dell’analisi è un gruppo, è essenziale avere un quadro completo dei processi al suo interno e dei flussi di dati che esistono tra le diverse società che vi fanno parte: difatti, in alcuni casi, le capogruppo possono avere un potere direzionale più forte e definire specifiche linee guida che le controllate dovranno applicare in qualità di responsabili del trattamento ex art. 28 GDPR. In altri casi – per precise scelte di management o per la natura stessa del gruppo – le società controllate hanno maggiore autonomia operativa, potendo essere qualificate come titolari autonomi del trattamento.
Una volta analizzata la struttura dell’organizzazione e prese in esame le policy e le prassi interne, occorre comprendere quali sono i flussi di dati interni ed esterni al fine di implementare correttamente il registro delle attività di trattamento di cui all’art. 30 GDPR e svolgere, ove necessario, la valutazione di impatto ex art. 35 GDPR, prestando particolare attenzione ai flussi di dati che avvengono fra società appartenenti a un medesimo gruppo oppure fra la controllata e la controllante. Ciò richiederà altresì di verificare se vi sia cessione dei dati fra le società o il trasferimento di questi ultimi da o verso Paesi terzi.
In quest’ultima ipotesi, il Titolare non potrà esimersi dal verificare la compatibilità tra la normativa europea e quella del Paese terzo con il quale vi è uno scambio di dati, nel rispetto delle previsioni ricomprese nel Capo V del GDPR, al fine di prevenire pesanti sanzioni e attuare tutte le misure tecniche e organizzative necessarie a garantire la compliance del trattamento, come l’anonimizzazione del dato.
Organigramma privacy: come disciplinare gli accordi infragruppo
In presenza di un gruppo di società, si renderà necessario porre attenzione ai flussi di dati tra le singole società, definendo degli accordi infragruppo che non soltanto identifichino il ruolo svolto dalle medesime (ai sensi di quanto disposto dagli artt. 25 e ss. GDPR), ma disciplinino anche gli scambi di dati dalla controllante alla controllata (e viceversa) anche tramite l’adozione delle Binding Corporate Rules ex art. 47 GDPR, ovvero accordi soggetti alla validazione dell’Autorità Garante di riferimento che definiscono in modo analitico e formale ogni aspetto del trattamento.
In alcuni casi, infatti, le società del gruppo agiscono al contempo come titolare e responsabile del trattamento. Ad esempio, come illustrato da EDPB nelle citate Linee Guida 07/2020, un gruppo di società può decidere di utilizzare una banca dati condivisa per la gestione dei clienti, semplicemente ospitata sui server della controllante: in questo caso, la controllante agirà da responsabile del trattamento delle controllate, con riferimento alla specifica archiviazione dei dati, mentre le controllate saranno titolari del trattamento distinti. Viceversa, se alle controllate si richiede la sola raccolta delle informazioni, esse agiranno come responsabili.
Al fine di strutturare un modello di gestione dei dati di gruppo, dunque, sarà essenziale regolare gli scambi di dati e le attività svolte dalle singole società, al fine di evitare che gli obiettivi di mercato siano lesi da pesanti sanzioni – che, per i gruppi internazionali, sarebbero determinate sulla scorta dell’intero fatturato di gruppo – con conseguenze economiche e reputazionali di assoluto rilievo. L’errata individuazione dei ruoli, infatti, potrebbe portare, ai sensi dell’art. 83 GDPR, ad una sanzione fino a 10 milioni di euro o al 2% del fatturato mondiale totale annuo dell’esercizio precedente.
Per evitare di incorrere nelle sanzioni previste dal Regolamento e dal Codice Privacy, i gruppi internazionali dovranno analizzare i flussi di dati fra le singole società del gruppo, al fine di identificare correttamente i ruoli che quest’ultime rivestono per ogni trattamento posto in essere, e concludere accordi infragruppo che riflettano – anche sotto il profilo formale – l’effettiva attività svolta da ognuna sui dati raccolti.