L’era del GDPR è definitivamente cominciata a settembre e per tutti i Responsabili della protezione dei dati personali (RDP) è il momento di accelerare. E il modo migliore di farlo, come vedremo, è fare rete: confrontarsi e collaborare con altri colleghi RDP.
Con l’arrivo del decreto di adeguamento italiano al Gdpr, infatti, ora il quadro normativo è completo e non ci sono più alibi. Ognuno è chiamato a operare nel pieno rispetto delle nuove disposizioni.
Se mettiamo a confronto la foto di gruppo dei protagonisti del trattamento dei dati personali in Italia, prima e dopo il 24 maggio, quale differenza notiamo? Non ci sono dubbi, il soggetto che prima di quella data mancava è proprio il Responsabile della protezione dei dati (RPD).
La figura del il Responsabile della protezione dei dati
Con l’avvento del Regolamento viene infatti introdotta, anche in Italia, una nuova figura professionale, dotata di caratteristiche peculiari, che prima non c’era e alla quale viene attribuito un ruolo chiave nell’impalcatura del sistema privacy europeo: fare da cerniera tra il titolare\responsabile del trattamento che lo ha designato, gli interessati e il Garante.
È una figura completamente diversa da quella degli altri attori del trattamento che deve essere metabolizzata e di cui non si può ancora valutare l’impatto sul sistema del trattamento dei dati personali, soprattutto nel contesto pubblico, nel quale la designazione del RPD è obbligatoria.
Dopo l’entusiasmo che ha preceduto il cambiamento, si apre ora una fase nuova e complessa, in cui i Responsabili della protezione dei dati si scontreranno con la realtà e con le difficoltà legate, non solo all’interpretazione delle nuove regole e alla loro materiale applicazione nei diversi contesti ma, soprattutto, con l’affermazione del proprio ruolo nei confronti degli attori, interni ed esterni, con i quali sono chiamati a relazionarsi.
Occorre quindi avere un piano di lavoro e procedere, un passo dopo l’altro, nella direzione prestabilita, consapevoli che, per assolvere al meglio questo importante compito, non sono sufficienti competenze tecnico-giuridiche, ma anche organizzative, relazionali ed etiche.
RPD, le competenze tecnico-giuridiche
Per quanto riguarda la competenza tecnico/giuridica il Regolamento, come noto, richiede espressamente, all’art. 37, par. 5, che il RPD sia designato in funzione della conoscenza approfondita della normativa e delle prassi in materia di protezione dei dati, e della capacità di assolvere i compiti a lui affidati (consulenza e sorveglianza sul rispetto delle regole di protezione dati da parte del titolare/responsabile del trattamento, sensibilizzazione e formazione del personale, punto di contatto per gli interessati e cooperazione con l’Autorità). Le competenze giuridiche sono quindi necessarie a verificare la conformità degli adempimenti e delle soluzioni adottate dal titolare/responsabile del trattamento che lo hanno designato (ad esempio, la rispondenza del registro delle attività del trattamento al modello astratto indicato dalle disposizioni oppure l’adeguatezza di una valutazione di impatto ex art. 35 del Regolamento, nella parte in cui si esaminano i rischi del trattamento dei dati per i diritti e le libertà dell’interessato e si prevedono le misure atte a prevenirli). In un contesto caratterizzato da un sempre più pervasivo impiego di soluzioni tecnologiche avanzate, occorre però anche la capacità di comprendere il funzionamento dei sistemi attraverso i quali i dati sono trattati, per essere in grado di valutare l’adeguatezza delle misure adottate (pensiamo, ad esempio, al rilievo che l’art. 25 del Regolamento dà all’attuazione di misure di protezione dei dati fin dalla progettazione o per impostazione predefinita).
L’approfondimento della disciplina di settore e degli orientamenti che perverranno, oltre che dal Garante, anche dalle decisioni delle altre autorità europee, dal Comitato europeo di protezione dei dati e dalla giurisprudenza (nazionale e della Corte di giustizia europea) costituirà la parte più rilevante dell’aggiornamento professionale del RPD.
Per coloro che non hanno maturato ancora una profonda esperienza in materia, si sottolinea l’importanza di evitare un approccio meramente casistico, partendo dagli adempimenti; la disciplina va invece affrontata avendo acquisito piena consapevolezza del significato dei principi generali e all’interno di una prospettiva più ampia ed organica, eventualmente acquisita anche attraverso una specifica formazione che privilegi un approccio integrato (giuridico e tecnico) alla materia.
RPD, le competenze organizzative
Per quanto riguarda le competenze organizzative, è bene sottolineare che un RPD, oltre a possedere una visione complessiva del trattamento dei dati effettuato presso lo specifico titolare/responsabile del trattamento, deve, al tempo stesso, avere capacità operative per essere in grado, non solo di individuare tempestivamente le eventuali difformità rispetto alla linea ideale di condotta richiesta dalle norme, ma anche di suggerire soluzioni in grado di massimizzare la compliance al più basso “costo organizzativo possibile”.
Attraverso la propria credibilità e professionalità, il RPD dovrà quindi guadagnarsi la considerazione dell’organizzazione ed essere in grado di gestire la propria attività in modo da aggiungere valore. Dedicare parte delle energie nell’individuazione di “metodi di soluzione” ai problemi anziché solo “soluzioni” potrebbe contribuire ad accrescere l’efficacia dalla propria attività.
Un esempio può essere costituito dal registro delle operazioni di trattamento. Esso può essere realizzato come mero adempimento burocratico, da esibire al Garante in eventuali attività di controllo, oppure può essere concepito come uno strumento dinamico di monitoraggio e mappatura dei trattamenti e, contestualmente, attraverso le opportune integrazioni, anche come sistema di valutazione sistematica del rischio con individuazione delle priorità, in linea con il nuovo risk based approach che individua, proprio nella maggiore o minore rischiosità del trattamento, il criterio per l’individuazione delle priorità.
Questo approccio può rivelarsi molto efficace per l’affermazione del ruolo del RPD in seno all’organizzazione nella quale è chiamato a operare e può contribuire a valorizzarlo, facendolo percepire come una risorsa e non come un corpo estraneo.
RPD, le competenze relazionali
Un’altra competenza (molto sottovalutata) che un RPD deve possedere è quella relazionale. Avere la capacità di comunicare e relazionarsi con efficacia costituisce sicuramente un requisito fondamentale dell’attività del RPD, ruolo caratterizzato da un’elevata intensità di relazioni:
- (interne) sia con il vertice dell’organizzazione, che deve coinvolgerlo tempestivamente e adeguatamente in tutte le questioni riguardanti la protezione dei dati personali, sia con tutti coloro che sono autorizzati a trattare dati personali, per chiarire i dubbi circa gli obblighi derivanti dall’applicazione delle disposizioni normative e sensibilizzarli al rispetto della disciplina, anche mediante idonee iniziative formative;
- (esterne) con gli “interessati” i quali possono contattare il RPD, per tutte le questioni relative al trattamento dei loro dati e all’esercizio dei diritti, nonché con l’Autorità di controllo, con la quale il RPD deve cooperare e di cui rappresenta il punto di contatto.
Con ognuno di questi interlocutori occorrerà adottare un atteggiamento e forme di comunicazione adeguati alla specifica funzione esercitata nei loro confronti, in relazione ai compiti che il Regolamento attribuisce al RPD che sono di natura molto diversa tra loro: informazione, consulenza, supporto, sensibilizzazione, formazione ma anche sorveglianza, per quanto riguarda gli interlocutori interni; cura (caring) nei confronti degli interessati; interlocuzione e cooperazione, per quanto attiene all’Autorità di controllo.
La relazione più complessa è proprio quest’ultima in quanto il RPD, in considerazione dell’indipendenza rispetto al titolare/responsabile del trattamento che lo ha designato e del ruolo di cooperazione con l’Autorità, dovrà saper gestire il rapporto nel modo più “istituzionale” e neutro, mediando, quando occorre, ed evitando di assumere un atteggiamento dialettico, anche in caso di eventuale contenzioso.
Oltre a queste relazioni, per così dire “istituzionali”, mille saranno le occasioni di riunioni, confronti, chiarimenti con tutti i soggetti che, per diversi motivi, si relazionano con l’organizzazione presso la quale il RPD opera: fornitori di servizi e di beni, consulenti, legali, altri titolari, contitolari e responsabili del trattamento ecc. È inoltre molto probabile (e forse anche auspicabile) che il RPD tenga degli incontri, nell’ambito dei corsi di formazione interna, al fine di sensibilizzare e coinvolgere tutte le persone, a vario titolo autorizzate al trattamento dei dati, al rispetto delle politiche in materia di protezione dei dati adottate dal titolare/responsabile del trattamento.
Una strategia comunicativa efficace
Ecco quindi che una parte dei successi (o degli insuccessi) del RPD dipenderanno anche, in maniera rilevante, dalla sua capacità di attivare una strategia comunicativa (interna ed esterna) efficace e di instaurare un rapporto empatico con i propri interlocutori.
Si rivelerà inoltre imprescindibile per il RPD saper ascoltare, dimostrando attenzione e disponibilità a fornire tutti i chiarimenti necessari, nella consapevolezza che l’interlocutore che si sente ascoltato è sicuramente più disponibile al confronto, rendendo così più facile l’individuazione di una soluzione.
Non si può trascurare infine che l’applicazione delle regole di protezione dei dati personali richiederà, soprattutto in questa fase di transizione e tenendo conto della rapidità dell’evoluzione tecnologica, grossi sforzi di adattamento e comprensione da parte di tutti gli interlocutori: occorrerà quindi essere in grado di “vendere” bene le proprie idee.
RPD, la competenza etica
Ho lasciato per ultimo la trattazione di un requisito essenziale della professionalità del RPD: la competenza etica. Il Considerando n. 92 del Regolamento prevede che i “responsabili della protezione dei dati, dipendenti o meno del titolare del trattamento, dovrebbero poter adempiere alle funzioni e ai compiti loro incombenti in maniera indipendente”.
Indipendenza è prima di tutto un atteggiamento mentale: ascoltare tutti, senza essere subordinati ad altri. Tale indipendenza si traduce nelle disposizioni, contenute nell’art. 38 del Regolamento, che tutelano la posizione del RPD:
- garantendogli le risorse necessarie per assolvere i propri compiti e per mantenere la propria conoscenza specialistica;
- sottraendolo a possibili condizionamenti da parte del titolare/responsabile del trattamento nell’esercizio delle sue funzioni (divieto di ricevere istruzioni, tutela rispetto a rimozioni o penalizzazioni, divieto del conferimento di compiti e funzioni in conflitto di interessi).
Potrà accadere che il RPD verifichi che una certa attività effettuata (o che si intende effettuare) non è conforme alle regole di protezione dati; in questi casi sarà suo preciso dovere farlo rilevare, anche quando questa posizione entra in conflitto con gli interessi del management che lo ha designato.
Ciò presuppone quindi, in capo al RPD, oltre a una solida preparazione, anche un forte senso di responsabilità e un’elevata considerazione del proprio ruolo, specificamente finalizzato ad aumentare, nei contesti in cui più alti possono essere i rischi per la tutela del diritto alla protezione dei dati personali, le garanzie per gli interessati.
In conclusione il RPD potrà dare un contributo significativo in questa materia solo se interpreterà il proprio ruolo con competenza ma anche con passione, nella consapevolezza di avere una missione complessa e un obiettivo importante: contribuire, in modo concreto ed efficace (dall’interno dell’organizzazione del titolare/responsabile del trattamento), all’attuazione della protezione dei diritti e delle libertà fondamentali delle persone fisiche e, in particolare, del diritto alla protezione dei dati personali che costituiscono, insieme alla libera circolazione dei dati, la finalità generale della regolazione in materia (art. 1 del Regolamento).
RPD, l’importanza di un approccio cooperativo
Quale potrebbe essere, in conclusione, un suggerimento pratico per tutti coloro che sono alle prese con questo complesso incarico? La risposta è semplice: fare rete!
I RPD dovrebbero cercare di non isolarsi all’interno delle singole realtà organizzative, ma confrontarsi e dialogare con i colleghi che operano nel medesimo settore (ad esempio enti di ricerca, ministeri, regioni, società inhouse, società farmaceutiche, telecomunicazioni, ecc.) nella consapevolezza che spesso i problemi, o le difficoltà, che si devono affrontare sono simili. Un atteggiamento cooperativo consente, da un lato, di rendere il processo di adeguamento più rapido e, dall’altro, di essere più sicuri rispetto alla correttezza delle decisioni che si devono assumere.
Diventa anche più facile l’interazione con l’Autorità di controllo, che potrebbe essere coinvolta solo su questioni che non hanno trovato un’adeguata soluzione all’interno della rete dei RPD, risultando molto più semplice ed efficace fornire chiarimenti generali, utili a un intero settore.
Questa è stata anche l’indicazione emersa nell’ambito del primo incontro tra il Garante e i RPD, tenutosi a Bologna il 24 maggio ultimo scorso, che speriamo possa trovare pratica attuazione nei prossimi mesi, con una missione ben precisa: accorciare rapidamente la distanza tra la prassi in atto e le nuove regole!
