IL DATA PROTECTION OFFICER, QUESTO SCONOSCIUTO

Il nuovo Regolamento Europeo relativo al Trattamento dei Dati personali è stato approvato dalla commissione LIBE il 21/10/2013 e successivamente dal Parlamento Europeo il 12 marzo 2014, prevedendo la sua entrata in vigore all’inizio del 2015.

Molte sono le novità introdotte tra le quali l’adozione della figura del Data Protection Officer (art. 35), le imprese coinvolte in Italia saranno obbligate nella designazione di tale figura, saranno oltre 23.000.

Tale figura non è nuova, infatti fu istituita per la prima volta nel 1999 da una società americana specializzata in e-commerce. La figura fu istituita per una forte preoccupazione dei consumatori sul trattamento dei loro dati personali. Sempre negli Stati Uniti tale figura è prevista in società che trattano dati assicurativi e sanitari.

Nel maggio 2013 il DPO è stato introdotto, per volontà di Obama, nello staff della Casa Bianca affidando l’incarico a Nicole Wong (già responsabile dell’ufficio legale di Twitter e di Google).

In Germania questa figura esiste da tempo ed è obbligatoria per tutte le società con 10 o più dipendenti. La mancata nomina comporta una sanzione di 50.000 €. Il Garante Italiano si è espresso favorevolmente all’inserimento di questa figura professionale promuovendo azioni di sensibilizzazione.

Ma chi sarà questo fantomatico DPO?

Il DPO avrà un ruolo fondamentale e dovrà possedere competenze giuridiche e informatiche. La responsabilità principale è monitorare, valutare e organizzare la gestione del trattamento di dati personali, affinché questi siano gestiti nel rispetto della normativa (art 36 e 37). Quindi spazierà a 360° su tutta l’organizzazione considerando la normativa vigente e le tecnologie (informatiche e non) che servono per il trattamento del dato. Ma con l’arrivo del nuovo Regolamento dovrà essere coinvolto da parte di tutta l’azienda per tutte le attività che impattano sulla privacy: ricordiamo principalmente:

• L’obbligo di “privacy impact assessment” (valutazioni preventive di impatto sulla tutela dei dati) in caso di trattamenti rischiosi con verifiche periodiche entro e non oltre due anni dall’implementazione. Analisi puntuale dei Rischi.
• L’introduzione del principio della cosiddetta “accountability”, per il quale ogni titolare, in caso di problemi o controlli, dovrà dimostrare nei fatti, al di là dei formalismi, di avere adottato i modelli organizzativi e le misure logiche, fisiche, elettroniche di sicurezza per proteggere i dati (onere della prova).
• L’obbligo di attenersi, nell’ideazione di nuovi prodotti o servizi, ai principi della “data protection by design” e della “data protection by default”.
• Il diritto all’oblio, per cui ogni interessato potrà richiedere la rimozione di propri dati  personali per motivi legittimi (per esempio, potremo chiedere di essere “dimenticati”  on line).
• Il diritto alla portabilità dei dati da un provider a un altro, in formato neutro.
• La previsione delle figure dei “joint controllers” (titolari congiunti), che potranno “spartirsi” le responsabilità privacy in un apposito contratto, di cui si dovrà tenere conto in caso di controlli o contenziosi: questa novità sarà d’aiuto, in particolare, nel settore del cloud computing providing (fino ad oggi difficilmente inquadrabile nei vecchi schemi titolare/responsabile).
• La previsione del concetto di “stabilimento principale” del titolare, per evitare che un’impresa attiva in più Stati UE debba fronteggiare gli adempimenti nazionali di ogni singolo Stato.
• La previsione del ruolo di “lead authority”, in modo tale che vi sia un solo Garante di volta in volta responsabile dei procedimenti multi-Stato; One Stop Shot.
• Una severa disciplina di opt-in (consenso preventivo) per i cookie pubblicitari online.

Tale figura apicale, pur rispondendo al vertice aziendale, dovrà essere indipendente e possedere tutti gli strumenti e le risorse che permettano di operare correttamente. Sarà il punto di riferimento in materia di trattamento dei dati personali anche con le autorità. Sarà un gestore del Sistema Privacy con tutte le sue implicazioni.

Ma che caratteristiche deve possedere un DPO?

Innanzitutto deve possedere la capacità di visione sistemica, addirittura olistica, deve poter vedere come, dove, quando e perché viene trattato un dato personale, sempre con un occhio di riguardo alla sicurezza del trattamento. Il Privacy Officer si presenta quindi come un manager a 360° essendo in possesso di conoscenze, anche relazionali, in continuo aggiornamento: potrebbe essere descritto come un vero e proprio controllore aziendale. Il suo ruolo si qualifica sostanzialmente dei doveri di informazione, sorveglianza e controllo in ambiti più svariati che passano dal trattamento dati Clienti, statuto lavoratori, videosorveglianza, geolocalizzazione, informatica, sicurezza fisica, gestione e redazione documenti, all’analisi dei rischi ed altro ancora.

Che cosa deve fare un buon DPO?

Sicuramente vigilare sulla corretta applicazione della normativa e sulla sicurezza adottata ma per far questo deve avere costantemente sotto controllo la situazione.

Il primo passo consiste nel portare a termine una dettagliata analisi dei rischi in merito alle attività aziendali, mapparli ed evidenziarne prassi e procedure per ridurli, realizzare una check list completa delle attività correlate ai rispettivi rischi tenendo conto che, oltre alla gestione documentale, sarà necessario assicurarsi quali attività investono i dati.

Successivamente dovranno essere mappati i flussi del trattamento dei dati prendendo come punto di origine il loro ingresso e accertandone la sicurezza nei singoli passaggi: il tutto in una costante collaborazione con l’IT per verificare eventuali falle nella sicurezza logica.

Infine è richiesto un controllo dei documenti esistenti, ovvero quelli che circolano e quelli che non circolano, constatandone conformità ed esaustività, tenendo conto se le responsabilità e le nomine siano state assegnate correttamente e se rese note.

Per gestione documentale non si intende solo quella cartacea, anzi, si richiede che la sua attenzione sia rivolta alle comunicazioni elettroniche sia in entrata che in uscita, siti web, iscrizioni, etc.

In uno scenario così complesso l’adozione di un Sistema di Gestione o meglio di integrazione con Sistemi di Gestione già esistenti, Qualità, Ambiente, OHAS, etc., facilita la comprensione, lo svolgimento ed il controllo. Un aiuto si ottiene mediante l’adozione di un sistema PDCA, Plan Do Check Act, e di miglioramento continuo. Il DPO dovrebbe avere le competenze per impostare un sistema PDCA, mantenerlo vivo e monitorarlo riportandone l’avanzamento all’Alta Direzione.

Da questo iniziale inquadramento si può comprendere effettivamente quanto sia importante avere una visione sistemica, la capacità di vedere tutta la foresta e di cogliere il particolare con zoomate appropriate.

Riportiamo una breve lista delle attività che deve svolgere:

• Analisi del Sistema e sua collocazione «merceologica»
• Analisi dei rischi
• Analisi della sicurezza
• Analisi dei flussi e del tipo dei dati
• Gestione documentale
• Controllo documentale
• Controllo ed aggiornamento normativo/legislativo
• Controllo «informatico»: log, web, cookies,……
• Effettuare Audit
• Interfacciarsi con tutti i livelli organizzativi
• Supportare a tutti i livelli l’organizzazione
• Relazionarsi con le istituzioni
• Formare il personale
• Redigere il rapporto Privacy
• Informare il Titolare e i Responsabili
• Diffondere la cultura «Privacy»

E quali aspetti allora verificare?

• Dati interni/dipendenti
• Dati dei Clienti
• Videosorveglianza/Geolocalizzazione
• Sicurezze fisiche
• Sicurezze logiche (integrità, disponibilità, confidenzialità)
• Web/Cloud/dispositivi mobili
• Nomine
• Informative
• Consensi
• Notificazioni
• Formazione
• DPS

Ricordiamo che l’articolo 79 punto 2 bs, 2 quarter v) del Regolamento Europeo, art. 6 punto j) recita che: se l’organizzazione non designa un DPO (art. 35, 36 e 37) la sanzione amministrativa è pari a: 1 000 000 € o fino al 2% del fatturato mondiale annuo.

Appendice

Articolo 35

Designazione del responsabile della protezione dei dati

1) Il responsabile del trattamento e l’incaricato del trattamento designano sistematicamente un responsabile della protezione dei dati quando: il trattamento è effettuato da un’autorità pubblica o da un organismo pubblico, oppure

1. b) il trattamento è effettuato da un’impresa con 5000 interessati per 12 mesi consecutivi, oppure
2. c) le attività principali del responsabile del trattamento o dell’incaricato del trattamento consistono in trattamenti che, per la loro natura, il loro oggetto o le loro finalità, richiedono il controllo regolare e sistematico degli interessati.
3. d) Le attività riguardano trattamenti particolari art 9 (dati particolari).

2) Nei casi di cui al paragrafo 1, lettera b), un gruppo di imprese può nominare un unico responsabile della protezione dei dati.

3) Qualora il responsabile del trattamento o l’incaricato del trattamento sia un’autorità pubblica o un organismo pubblico, il responsabile della protezione dei dati può essere designato per più enti, tenuto conto della struttura organizzativa dell’autorità pubblica o dell’organismo pubblico.

4) Nei casi diversi da quelli di cui al paragrafo 1, il responsabile del trattamento, l’incaricato del trattamento o le associazioni e gli altri organismi rappresentanti le categorie di responsabili del trattamento o di incaricati del trattamento possono designare un responsabile della protezione dei dati.

5) Il responsabile del trattamento o l’incaricato del trattamento designa il responsabile della protezione dei dati in funzione delle qualità professionali, in particolare della conoscenza specialistica della normativa e delle pratiche in materia di protezione dei dati, e della capacità di adempiere ai compiti di cui all’articolo 37. Il livello necessario di conoscenza specialistica è determinato in particolare in base al trattamento di dati effettuato e alla protezione richiesta per i dati personali trattati dal responsabile del trattamento o dall’incaricato del trattamento.

6) Il responsabile del trattamento o l’incaricato del trattamento si assicura che ogni altra funzione professionale del responsabile della protezione dei dati sia compatibile con i compiti e le funzioni dello stesso in qualità di responsabile della protezione dei dati e non dia adito a conflitto di interessi.

7) Il responsabile del trattamento o l’incaricato del trattamento designa un responsabile della protezione dei dati per un periodo di almeno 4anni. Il mandato del responsabile della protezione dei dati è rinnovabile. Durante il mandato può essere destituito solo se non soddisfa più le condizioni richieste per l’esercizio delle sue funzioni.

8) Il responsabile della protezione dei dati può essere assunto dal responsabile del trattamento o dall’incaricato del trattamento oppure adempiere ai suoi compiti in base a un contratto di servizi.

9) Il responsabile del trattamento o l’incaricato del trattamento comunica il nome e le coordinate di contatto del responsabile della protezione dei dati all’autorità di controllo e al pubblico.

10) Gli interessati hanno il diritto di contattare il responsabile della protezione dei dati per tutte le questioni relative al trattamento dei loro dati personali e presentare richieste per esercitare i diritti riconosciuti dal presente regolamento.

11) Alla Commissione è conferito il potere di adottare atti delegati conformemente all’articolo 86 al fine di precisare i criteri e i requisiti concernenti le attività principali del responsabile del trattamento o dell’incaricato del trattamento di cui al paragrafo 1, lettera c), e i criteri relativi alle qualità professionali del responsabile della protezione dei dati di cui al paragrafo 5.

Articolo 37

Designazione del responsabile della protezione dei dati

1.Il titolare del trattamento e il responsabile del trattamento designano sistematicamente un responsabile della protezione dei dati ogniqualvolta: a) il trattamento è effettuato da un’autorità pubblica o da un organismo pubblico, eccettuate le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali; b) le attività principali del titolare del trattamento o del responsabile del trattamento consistono in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala; oppure c) le attività principali del titolare del trattamento o del responsabile del trattamento consistono nel trattamento, su larga scala, di categorie particolari di dati personali di cui all’articolo 9 o di dati relativi a condanne penali e a reati di cui all’articolo 10. 2.Un gruppo imprenditoriale può nominare un unico responsabile della protezione dei dati, a condizione che un responsabile della protezione dei dati sia facilmente raggiungibile da ciascuno stabilimento.

3.Qualora il titolare del trattamento o il responsabile del trattamento sia un’autorità pubblica o un organismo pubblico, un unico responsabile della protezione dei dati può essere designato per più autorità pubbliche o organismi pubblici, tenuto conto della loro struttura organizzativa e dimensione.

4.Nei casi diversi da quelli di cui al paragrafo 1, il titolare e del trattamento, il responsabile del trattamento o le associazioni e gli altri organismi rappresentanti le categorie di titolari del trattamento o di responsabili del trattamento possono o, se previsto dal diritto dell’Unione o degli Stati membri, devono designare un responsabile della protezione dei dati. Il responsabile della protezione dei dati può agire per dette associazioni e altri organismi rappresentanti i titolari del trattamento o i responsabili del trattamento.

5.Il responsabile della protezione dei dati è designato in funzione delle qualità professionali, in particolare della conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati, e della capacità di assolvere i compiti di cui all’articolo 39.

6.Il responsabile della protezione dei dati può essere un dipendente del titolare del trattamento o del responsabile del trattamento oppure assolvere i suoi compiti in base a un contratto di servizi.

7.Il titolare del trattamento o il responsabile del trattamento pubblica i dati di contatto del responsabile della protezione dei dati e li comunica all’autorità di controllo.

Articolo 38

Posizione del responsabile della protezione dei dati

1.Il titolare del trattamento e il responsabile del trattamento si assicurano che il responsabile della protezione dei dati sia tempestivamente e adeguatamente coinvolto in tutte le questioni riguardanti la protezione dei dati personali.

2.Il titolare e del trattamento e il responsabile del trattamento sostengono il responsabile della protezione dei dati nell’esecuzione dei compiti di cui all’articolo 39 fornendogli le risorse necessarie per assolvere tali compiti e accedere ai dati personali e ai trattamenti e per mantenere la propria conoscenza specialistica.

3.Il titolare del trattamento e il responsabile del trattamento si assicurano che il responsabile della protezione dei dati non riceva alcuna istruzione per quanto riguarda l’esecuzione di tali compiti. Il responsabile della protezione dei dati non è rimosso o penalizzato dal titolare del trattamento o dal responsabile del trattamento per l’adempimento dei propri compiti. Il responsabile della protezione dei dati riferisce direttamente al vertice gerarchico del titolare del trattamento o del responsabile del trattamento.

4 Gli interessati possono contattare il responsabile della protezione dei dati per tutte le questioni relative al trattamento dei loro dati personali e all’esercizio dei loro diritti derivanti dal presente regolamento.

5.Il responsabile della protezione dei dati è tenuto al segreto o alla riservatezza in merito all’adempimento dei propri compiti, in conformità del diritto dell’Unione o degli Stati membri. 6.Il responsabile della protezione dei dati può svolgere altri compiti e funzioni. Il titolare del trattamento o il responsabile del trattamento si assicura che tali compiti e funzioni non diano adito a un conflitto di interessi.

Articolo 39

Compiti del responsabile della protezione dei dati

1.Il responsabile della protezione dei dati è incaricato almeno dei seguenti compiti: a) informare e fornire consulenza al titolare del trattamento o al responsabile del trattamento nonché ai dipendenti che eseguono il trattamento in merito agli obblighi derivanti dal presente regolamento nonché da altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati; b) sorvegliare l’osservanza del presente regolamento, di altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati nonché delle politiche del titolare del trattamento o del responsabile del trattamento in materia di protezione dei dati personali, compresi l’attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo; c) fornire, se richiesto, un parere in merito alla valutazione d’impatto sulla protezione dei dati e sorvegliarne lo svolgimento ai sensi dell’articolo 35; d) cooperare con l’autorità di controllo; e e) fungere da punto di contatto per l’autorità di controllo per questioni connesse al trattamento, tra cui la consultazione preventiva di cui all’articolo 36, ed effettuare, se del caso, consultazioni relativamente a qualunque altra questione. 2.Nell’eseguire i propri compiti il responsabile della protezione dei dati considera debitamente i rischi inerenti al trattamento, tenuto conto della natura, dell’ambito di applicazione, del contesto e delle finalità del medesimo.

Scritto da: Dott. Stefano Gorla, Esperto privacy, delegato ANDIP e Centro Studi di Informatica Giuridica di Ivrea Torino

Scopri il Master di 40 ore “Data Protection Officer”