Come è noto, il Regolamento europeo per la protezione dei dati personali, Regolamento (UE) 2016/679 (c.d. GDPR), è entrato in vigore lo scorso 24 maggio, la sua disciplina diventerà direttamente applicabile in tutti gli Stati Membri dell’Unione europea a partire dal 25 maggio 2018.
Tra gli adempimenti di più ampio impatto sul mercato vi è certamente la designazione del responsabile della protezione dei dati personali ovvero del Data Protection Officer (DPO), figura già presente nelle organizzazioni più complesse presenti anche nel mercato italiano, ma che diverrà obbligatoria per tutta la pubblica amministrazioni e in alcuni casi anche in ambito privato
Per adempiere ai numerosi nuovi adempimenti previsti dal GDPR rimangono pochissimi mesi. I numerosi adempimenti da gestire suggeriscono, ma direi obbligano a mettere su, un sistema di gestione volto a documentare la attività relative agli obblighi generale e di sicurezza dei dati personali dell’organizzazione.
L’implementazione del sistema necessita certamente un approccio top-down con il coinvolgimento del vertice gerarchico dell’organizzazione, in modo che vi sia una piena consapevolezza del rischi inerenti ai trattamenti dei dati effettuati e le responsabilità connesse, ma necessita soprattutto che venga concepita come un’opportunità e non solo come il rischio di subire sanzioni elevate.
Il corretto approccio al GDPR è certamente quello di comprende la cultura della protezione dei dati come parte integrante dell’intero asset informativo dell’organizzazione, tenuto con conto che il livello adeguato di protezione dei dati deve garantire alla stessa, in primo luogo la tutela nel tempo del proprio brand aziendale o reputazione dell’istituzione e pertanto la tutela della propria quota di mercato.
Quali aziende sono tenute ad avere il DPO
La norma prevede che siano tenuti ad avere il DPO obbligatorio:
- Enti pubblici
- Aziende private dove le ″core activities″ del titolare del trattamento o del responsabile del trattamento ″consista in trattamenti richiedenti il monitoraggio sistematico su larga scala″
- Aziende private dove le attività principali del titolare del trattamento o del responsabile del trattamento ″riguardano il trattamento, su larga scala, di informazioni sensibili o di dati relativi a condanne penali e a reati″.
I compiti del DPO
In tale contesto il responsabile della protezione dei dati nel Gdpr o Data Protection Officer avrà certamente un triplice ruolo cruciale di supervisore interno per dimostrare la conformità, di facilitatore e comunicatore sia verso il vertice dell’organizzazione sia verso l’esterno.
Peraltro, il GDPR obbliga a prevenire e mitigare i rischi secondo un approccio proattivo, questo significa da una parte certamente tutelare i diritti e le libertà degli interessati, ma anche e soprattutto valutare preventivamente l’impatto che alcune scelte possano avere sull’immagine dell’organizzazione e sulla continuità operativa dell’organizzazione.
Il Codice della Privacy, già oggetto di tre interventi legislativi sino ad ora, subirà ulteriori modifiche per attuare e rendere coerente la disciplina italiana con regolamento (UE) 2016/679 così come previsto dalla legge di delega in base alla quale entro il 21 maggio il nostro Governo, probabilmente ci vorrà l’insediamento del nuovo Governo, dovrà approvare il decreto legislativo di riforma del Codice stesso.
Tra i nuovi principi e adempimenti introdotti dal regolamento merita particolare attenzione il c.d. principio di accountability (c.d. principio di “responsabilizzazione”), in virtù di tale principio tutti i titolari e i responsabili del trattamento dovranno preventivamente gestire la propria organizzazione in modo da garantire in ogni fase del trattamento la piena conformità al trattamento e raccogliere prove documentali per dimostrarla.
Considerare il DPO come l’unico adempimento sarebbe certamente un grave errore, infatti, occorre come accennato che venga recepito un nuovo approccio al rischio che tenga in conto la gravità e la probabilità della verificazione di qualunque evento che interferisca con la riservatezza, l’integrità e la disponibilità (c.d. RID) dei dati personali relativi ai trattamenti dei dati personali dell’organizzazione.
Per mitigare il rischio il titolare del trattamento dovrà necessariamente ricorrere alle migliori soluzioni disponibili sul mercato (stato dell’arte), ricorrendo a soluzioni tecnologiche e organizzative avanzate come per esempio la pseudonimizzazione e la criptazione dei dati.
In mancanza di misure adeguate al rischio il titolare del trattamento non sarebbe infatti in grado di dimostrare di aver raggiunto il livello adeguato di sicurezza, si pensi per esempio all’adempimento di trasparenza relativo la violazione dei dati (c.d. data breach notification) ovvero incidente di sicurezza, nel quale qualunque titolare che subisca un incidente di sicurezza dovrà, ricorrendo le circostanze, notificare lo stesso al Garante privacy ed eventualmente anche agli interessati qualora vi siano rischi elevati di pregiudizio per questi ultimi.
Nelle recenti linee guida pubblicate lo scorso aprile dal Gruppo europeo dei Garanti ex art. 29 emerge con forza l’auspicio che il DPO giochi un ruolo di non solo nella sorveglianza interna, ma appunto sia anche un efficace facilitatore e comunicatore, in questo senso come confermato dal Gruppo europeo dovrebbe avere un ruolo anche in caso di incidenti di sicurezza essendo un punto di contatto con l’Autorità Garante (tale compito disciplinato nell’art. 33 co. 2 lett. b del GDPR).
A tal riguardo, sarà opportuno che le organizzazioni stabiliscano sin subito chi dovrà fare cosa, come e quando qualora si verifichi un incidente di sicurezza, poiché la comunicazione all’Autority dovrà avvenire in tempi strettissimi entro le 72 ore, salvo rari casi di giustificato ritardo. Il data breach riguarderà infatti tutti, dalla pubblica amministrazione, alle organizzazioni complesse a quelle piccole medie imprese, nessuna esclusa.
Si conferma, inoltre, che nella disciplina estremamente succinta prevista dal legislatore europeo il DPO è un supervisore indipendente, il quale sarà designato obbligatoriamente, da soggetti apicali di tutte le pubbliche amministrazioni e nello specifico è previsto l’obbligo nel caso in cui “il trattamento è effettuato da un’autorità pubblica o da un organismo pubblico, eccettuate le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali”.
Da quanto detto sopra, emerge comunque con chiarezza che, sebbene la designazione del Data Protection Officer sia accompagnata da una semplificazione in termini di designazione condivisa tra i diversi enti pubblici e tra gruppi di imprese, questo adempimento comporterà certamente maggiori oneri per le finanze pubbliche.
Peraltro verso, il Data Protection Officer anche in ambito privato ha ruolo pervasivo dovendo essere coinvolto tempestivamente su ogni questioni a lui inerente per garantire una protezione dei dati effettiva dei cittadini e al contempo tutelare il titolare e il responsabile del trattamento, dovendo supervisionare tutte le attività di attribuzioni dei ruoli e responsabilità, piani di sensibilizzazione, di formazione nonché le attività di controllo (p.e. adeguatezza dei piani di audit interno).
Gli obblighi di DPO
In ambito privato, l’articolo 37 co. 1 lett. b) del regolamento europeo prevede l’obbligo di designare il DPO quando le attività principali del titolare e del responsabile richiedono su larga scala un monitoraggio regolare e sistematico, rientrano per esempio in tale presupposto gli operatori di telecomunicazione, gli operatori che effettuano profilazione per finalità di marketing comportamentale oppure erogare premi assicurativi, localizzazione tramite app, monitoraggio sullo stato di salute tramite dispositivi indossabili e interconnessi (c.d. wearable devices), programmi di fedeltà, ecc. ecc..
Il DPO in ambito privato è obbligatorio anche per tutte le organizzazioni che trattano come attività principale dati sensibili (o meglio particolari secondo il regolamento) oppure dati giudiziari su larga scala, rientrano in tale previsione ospedali, assicurazioni e istituti di credito, eccetera. Analogamente saranno obbligati a nominare il DPO tutti i soggetti che svolgono come attività principale il monitoraggio sistematico e regolare su larga scala degli interessati. In termini generali ed indicativi rientrano in questa categoria oltre agli operatori di telecomunicazioni, i fornitori di app, chi offre programmi fedeltà, chi effettua il marketing comportamentale e in genere chi effettua su larga scala attività di profilazione su internet.
A seconda della complessità del contesto in cui dovrà operare, il DPO dovrà essere anche in grado di gestire questioni inerenti le diverse giurisdizioni.
Più nel merito, i complessi compiti affidati al DPO sono previsti solo a livello minimale dal regolamento potendo quindi il titolare e il responsabile affidarne anche altri compiti, nello specifico il DPO dovrà: 1) informare e fornire consulenza a titolare e al responsabile del trattamento nonché ai dipendenti degli obblighi derivanti dal regolamento; 2) sorvegliare l’osservanza del regolamento, nonché delle altre disposizioni europee o di diritto interno in materia di protezione dati; 3) sorvegliare sulle attribuzioni delle responsabilità, sulle attività di sensibilizzazione, formazione e attività di controllo; 4) fornire pareri e sorvegliare alla redazione della Data protection impact assessment (c.d. Dpia); 5) fungere da punto di contatto e collaborare con l’Autorità Garante per la protezione dei dati personali; 6) controllare che le violazioni dei dati personali siano documentate, notificate e comunicate (c.d. Data Breach Notification Management).
Ma come accennato il DPO potrà inoltre gestire il registro delle attività di trattamento ex art. 30 (sul punto si veda anche le recenti FAQ pubblicate dal Garante privacy, sebbene a stretto rigore la specifica conservazione del registro della attività di trattamento ex art. 30 del regolamento europeo resti comunque ad appannaggio del titolare e del responsabile, peraltro, questi compiti sono già previsti da circa quindici anni come rientranti nel ruolo di Data Protection Officer interni alle istituzioni dell’Unione europea (regolamento 2001/45/Ce).
I requisiti per fare il DPO
In riferimento ai requisiti soggettivi e specificatamente allo profilo dello status, il candidato DPO ideale in molti casi potrebbe molto probabilmente occupare una posizione dirigenziale o manageriale stante l’obbligo di riferire al vertice gerarchico, un profilo senior potrà garantire maggiore indipendenza rispetto ad uno junior, soprattutto per garantire in modo effettivo la non ingerenza nelle proprie attività da parte del titolare. Inoltre, dovrà essere dotato di personale, locali e attrezzature sufficienti per adempiere i propri compiti, le linee guida esplicitano che dovrà anche essere dotato di una linea di budget adeguata graduata sulla complessità dell’organizzazione.
Il DPO potrà anche essere un dipendente dell’azienda oppure esterno in forza di un contratto di servizi, in quest’ultimo caso mentre l’indipendenza intesa come non ingerenza nelle proprie attività è un elemento più facile da soddisfare rispetto al DPO interno, il conflitto di interessi dovrà comunque essere disciplinato tenuto conto di alcune specificità del DPO esterno.
In ordine a quest’ultimo requisito soggettivo, il DPO interno potrà svolgere altre funzioni, ma dovrà avere sufficiente tempo per svolgere i propri compiti; a tal riguardo, sotto un profilo organizzativo si dovranno evitare situazioni di conflitto del DPO rispetto a chi determina le finalità e le modalità del trattamento dei dati, ivi inclusi i profili di sicurezza, pertanto occorrerà una rigorosa valutazione dell’organigramma dell’ente evitando tra i candidati DPO tutte le persone che non abbiamo sufficiente esperienza o che nell’esecuzione delle proprie mansioni abbiamo un certo margine decisionale sul trattamento dei dati.
Preme infine ricordare che, come chiarito nelle recenti linee guida del Gruppo europeo dei Garanti, il DPO non potrà rispondere personalmente della non conformità dell’organizzazione al regolamento europeo, responsabilità dirette che ricadono esclusivamente sul titolare e sul responsabile.
Infine, si pensi che in Francia nel 2015 c’erano già DPO designati 16.406 su base unicamente volontaria, il Data Protection Officer ha avuto e ci si augura avrà anche in Italia un ruolo cruciale non solo per garantire la conformità della propria organizzazione ma soprattutto per portare nell’organizzazione la cultura della protezione dei dati personali. Questo tanto più nelle organizzazioni medie e piccole, tipicamente meno organizzate di quelle complesse e che possono cadere più facilmente in un approccio miope considerando la protezione dei dati come una questione marginale e/o un adempimento burocratico rispetto agli obiettivi di business.
In conclusione, il DPO anche e soprattutto su base volontaria appare inevitabilmente una strada sostanzialmente obbligata per gestire in modo appropriato la disciplina sulla protezione dei dati personali e la vera opportunità per le organizzazioni lungimiranti e che vedono nella cultura della protezione dei dati personali soprattutto un investimento da effettuare adesso per ottenere un vantaggio competitivo in futuro.
Le tematiche accennate nel presente articolo sono state approfondite nel volume La nuova “Privacy europea” – I principali adempimenti del regolamento (UE) 2016/679 e profili risarcitori, a firma del medesimo autore e in corso di pubblicazione.
