Se il buongiorno si vede dal mattino, il 2022 sarà di certo un anno costellato di grandi sfide nel settore della privacy e della data economy. Già il solo gennaio ha portato moltissima nuova carne sul fuoco dell’accountability[1].
Non a caso ho parlato del 2022 come anno “swing” della data economy.
Si rende dunque necessario adottare un approccio che consenta di dominare (e non farsi dominare da) tutte le novità che da qui ai prossimi mesi investiranno il settore della protezione dei dati, cercando al tempo stesso di valorizzare ciascuna di esse in un’ottica di vantaggio competitivo.
Il primo passo in questa direzione è quello di valorizzare la figura del Responsabile della Protezione dei Dati (RPD) o Data Protection Officer (DPO), che dir si voglia.
Data economy, il 2022 delle regole e delle sfide: cosa ci attende
A questo proposito, proprio un anno fa usciva alle stampe un libricino, il manuale essenziale del DPO, da me scritto assieme ai colleghi Tommaso Mauro e Federico Sartore e con la prefazione di Guido Scorza, Componente del Collegio dell’Autorità Garante. Un lavoro che a dispetto delle dimensioni è per me importante, in cui teoria e pratica dialogano dinamicamente, con lo sguardo rivolto alle sfide per il futuro. Futuro che, oltre ogni più rosea aspettativa, può dirsi per certi versi già arrivato. Per questo ho deciso di tornare sull’argomento con questo breve contributo, per provare ad individuare cinque buone abitudini per i rapporti tra titolari del trattamento e DPO per il 2022.
Mantenere alta l’attenzione sui requisiti posti dal GDPR
Potrà sembrare quasi banale come primo suggerimento. Il Regolamento Generale sulla Protezione dei Dati (GDPR), che ha istituito la figura del DPO, è stato approvato nel lontano 2016 e tra pochi mesi saranno già quattro gli anni di effettiva vigenza delle norme che hanno sostituito la Direttiva 95/46/CE. In questo lasso di tempo, la diffusione dei Data Protection Officer è stata assolutamente considerevole. Secondo i dati diffusi dal Garante, dal 25 maggio 2018 al 31 dicembre 2021 le comunicazioni dei dati di contatto dei DPO sono state 62.339. Dovrebbero pertanto potersi considerare pienamente metabolizzati i requisiti imposti dagli articoli 37, 38 e 39 del GDPR, che disciplinano designazione, posizione e compiti del Data Protection Officer.
Si tratta di una conclusione che potrebbe però venire smentita da recenti pronunce di alcune autorità straniere. In particolare, con un provvedimento sanzionatorio dello scorso dicembre, la DPA belga ha ravvisato la sussistenza di un conflitto di interessi in capo al DPO di una banca che oltre a ricoprire tale incarico era a capo dei dipartimenti di Operational Risk Management e di Information Risk Management, nonché della Special Investigation Unit della banca. Pochi mesi prima era stato invece il Garante lussemburghese ad intervenire, questa volta sui requisiti di competenza del DPO, indicando per il caso di specie in almeno tre anni di esperienza nell’ambito della protezione dei dati la soglia per rispettare i requisiti di qualità professionale richiesti dal GDPR.
Sono rilievi questi che giustificano la necessità di non dare mai per scontata la compliance “a monte” con il dettato normativo, sia nel momento di nomina del DPO che in costanza di rapporto con il medesimo. Ciò chiaramente non soltanto per mettersi al riparo da possibili sanzioni pecuniarie. I requisiti posti dal Regolamento europeo sono infatti funzionali ad assicurare un corretto, efficace ed efficiente espletamento della funzione di consulenza e controllo demandata dalla legge al Data Protection Officer. E per il loro puntale ed integrale rispetto passa anche il valore aggiunto che ogni società o pubblica amministrazione può trarre dalla designazione di tale funzione, obbligatoria o facoltativa che sia.
Massima attenzione, dunque, alle norme del GDPR, potendosi comunque e sempre contare sul contributo ermeneutico costantemente offerto dalle autorità privacy. In tal senso, il nostro Garante ha recentemente profuso uno sforzo interpretativo di grandissimo valore con l’adozione, lo scorso aprile, del “Documento di indirizzo su designazione, posizione e compiti del Responsabile della protezione dei dati (RPD) in ambito pubblico”. Un vademecum assolutamente imprescindibile per un ambito, quello pubblico, da presidiare con il massimo grado di attenzione e diligenza e sebbene le linee di indirizzo si rivolgano espressamente all’ambito pubblico, in esse sono racchiusi preziosi consigli ed istruzioni d’uso valide anche per il settore privato.
Quindi, niente più scuse. Il DPO, sia esso interno che esterno, riporta ai vertici dell’azienda nel pieno della sua autonomia, indipendenza, competenza e lontano dai conflitti di interesse interni con le attività svolte dal titolare del trattamento per perseguire i suoi fini istituzionali.
Il DPO come funzione organica
Una delle sfide individuate per il futuro di questa funzione è quella del suo effettivo e costante coinvolgimento in tutte le decisioni assunte dal titolare che abbiano un impatto data protection. Un risultato da conseguire mediante l’impegno tanto del singolo professionista, nell’acquisire autorevolezza ed accreditamento presso il titolare, quanto nella società o PA di riferimento, nel riorganizzare in maniera sostanziale (e non meramente formale) i propri organigrammi e flussi operativi.
Il proliferare delle questioni che richiedono il contributo del DPO, interno o esterno che sia, coadiuvato o meno da una funzione legal, rende la sua “organicizzazione” un’assoluta priorità. Si tratta di un percorso che, se non già avviato, richiede un serio commitment ed un orizzonte temporale ben ponderato, oltre che adeguate risorse, sia umane che economiche. Affrontando pragmaticamente questo punto, occorrerà, ad esempio, che i singoli Data Protection Officer presidino attivamente il proprio ruolo, mostrandosi propositivi e costruttivi, senza attendere il solo interpello del titolare, al contrario guidando quest’ultimo nelle attività e nelle valutazioni cui il medesimo è tenuto in virtù del principio di responsabilizzazione, possibilmente prediligendo un approccio preventivo. Al tempo stesso, la società o ente locale in questione potrà ad esempio istituire procedure che prevedano il coinvolgimento del DPO by design e by default, facilitando altresì il collegamento e il riporto diretto di tale funzione agli organi decisionali del titolare. In questo senso, un momento assolutamente fondamentale è la presentazione della relazione annuale del DPO al Consiglio di Amministrazione, un’occasione di confronto dialettico da non trascurare e anzi da rendere strutturale e giammai sporadica.
In definitiva, la raccomandazione è quella di trasformare il DPO in una funzione organica, integrata e coinvolta secondo logiche di ordinarietà (e non di straordinarietà). Ancora una volta, in gioco c’è il rispetto dei principi e delle prescrizioni della normativa data protection, oltre alla possibilità di beneficiare delle esternalità positive derivanti da una lecita ed etica valorizzazione dei dati. Peraltro, l’opportuno coinvolgimento del DPO può avere un rilievo anche in caso di accertamenti delle autorità, un aspetto che anche il nostro Garante ha avuto modo di considerare in un provvedimento sanzionatorio del 2020.
La stagione degli audit
Come avvocato della data economy e Data Protection Officer di imprese e gruppi internazionali ho esperienza diretta di quanto questa materia sia in perenne evoluzione. L’irresistibile progresso tecnologico – rispetto al quale legislatore e autorità cercano alacremente di garantirne l’equilibrio con la tutela dei diritti e delle libertà fondamentali dei cittadini – determina una sostanziale frenesia di novità, se possibile accelerata da tutte le istanze legate all’emergenza sanitaria. Capita così che spesso le attenzioni di titolari e DPO si focalizzino sulla perimetrazione e messa in sicurezza dei nuovi fronti che di volta in volta si manifestano.
Si tratta di un’attività sicuramente irrinunciabile, che tuttavia non deve oscurare l’importanza di mantenere elevato il livello di monitoraggio dello stato di compliance generale del titolare. Il prevedibile incremento del gradiente di complessità nel settore della data economy raccomanda di mettere in piedi una strategia di medio-lungo termine che preveda costanti mappature dei trattamenti e audit globali e per singole funzioni. È infatti cruciale che il titolare, e con esso il DPO, abbia una piena e perdurante consapevolezza dei flussi di dati, dei fattori di rischio e delle relative misure di contenimento, il tutto da valutare ciclicamente nell’ottica di impostare prontamente e reattivamente piani di remediation a fronte di vecchie e nuove potenziali criticità.
È pertanto questo il momento per titolari e Data Protection Officer di inaugurare una stagione di audit di prima parte. I titolari potranno così aggiungere un tassello di grande valore al proprio impegno in accountability, permettendo al tempo stesso ai DPO di adempiere virtuosamente ai compiti ad esse attributi dalla legge.
Parola chiave: formazione
Qui il riferimento è duplice. Non già e soltanto alla formazione da parte del DPO (e quindi del titolare), ma anche a quella del DPO.
Rispetto al primo profilo, bisognerà incardinare l’impegno formativo del Data Protection Officer a favore del personale del titolare su binari di stabilità e ripetitività. Basta considerare la formazione in materia di protezione dei dati personali un adempimento burocratico e formale. Spazio invece a programmi formativi, vere e proprie academy interne, con percorsi predisposti ad hoc e che tengano conto non solo del quadro normativo ma anche delle tematiche di più stretta attualità e di interesse per l’azienda o la pubblica amministrazione coinvolta.
Quanto invece al secondo aspetto, quello della formazione del DPO, si rende necessario estendere il perimetro delle proprie competenze professionali verso i settori che sempre più spesso interagiscono con quello della protezione dei dati. Evidenza vuole che tale ampliamento di vedute debba riguardare innanzitutto gli aspetti legati alla cybersicurezza. E si tenga conto che, appena poche settimane fa, Garante e Agenzia per la cybersicurezza nazionale hanno firmato un Protocollo d’intesa che, di fatto, apre una collaborazione di cui anche i professionisti della privacy (e della cybersecurity) dovranno ora tenere conto.
Trasformare le novità in occasioni di assessment
Frequenti sono le innovazioni nel settore della protezione dei dati personali. Tra norme di legge e provvedimenti generali e sanzionatori delle autorità, sia nazionali che straniere, quasi quotidianamente l’attualità offre spunti di analisi e approfondimento. La sfida per DPO e titolari è allora quella di selezionare le più rilevanti nell’ottica del proprio business e/o stato di compliance al fine di renderle occasione per avviare degli assessment interni verticali e mirati.
Ad esempio, nel caso in cui venga emanato un provvedimento sanzionatorio verso un soggetto che opera nello stesso settore di riferimento del titolare, potranno trasformarsi le risultanze evidenziate dal Garante in una checklist tramite cui verificare il proprio livello di adeguamento alla normativa privacy, impostando di conseguenza e ove necessarie le opportune azioni di remediation. Analogamente, la pubblicazione del piano ispettivo dell’Autorità rappresenta un’ottima occasione per definire le priorità per le attività di monitoraggio interno. Guardando a quello relativo al primo semestre del 2022, un simile esercizio potrebbe ad esempio suggerire di concentrare le proprie attenzioni su cookie e sistemi di videosorveglianza.
Il livello di guardia dovrebbe poi ulteriormente innalzarsi per gli operatori economici direttamente inclusi nell’elenco delle attività ispettive, quali in questo caso siti di incontri, operatori dell’ambito della data monetization e produttori e distributori di smart toys. Stimolo per un esercizio come quello appena descritto può derivare anche dalla puntuale pubblicazione della newsletter mensile del Garante. Quella di fine gennaio, ad esempio, potrebbe far maturare una riflessione interna sui trattamenti effettuati per finalità di marketing.
Le occasioni per mettere in pratica questo approccio propositivo e proattivo, è evidente, sono numerose. Si tratterà allora di scegliere quelle in grado di portare maggiore valore aggiunto all’organizzazione di riferimento.
- Pensiamo, ad esempio, al fermento nel settore dei cookies. All’inizio del mese di gennaio 2022 sono diventate operative le nuove linee guida del Garante, ma anche altre autorità privacy, come quella austriaca e quella belga, hanno dato alla luce provvedimenti di un certo rilievo in tale ambito. Cookies che, peraltro, rientrano tra le aree sotto la lente di ingrandimento del Garante per il primo semestre di ispezioni del 2022. Discorso simile può farsi per il telemarketing, rispetto al quale in poche settimane si sono susseguite l’ennesima sanzione milionaria dell’Autorità Garante e la notizia dell’imminente varo di un nuovo regolamento che introdurrà importanti novità alla disciplina del Registro Pubblico delle Opposizioni. Senza ovviamente dimenticare le ultime misure del Governo in materia di obbligo vaccinale e green pass, i cui risvolti data protection naturalmente incidono anche sull’organizzazione di imprese ed attività commerciali. ↑
