Il nuovo GDPR, la cui approvazione è prevista per questa primavera ormai alle porte, riconosce il valore di “privacy sul campo”, imponendo alle imprese di fornire idonee garanzie di tutela e protezione dei dati personali dei cittadini dell’Unione per il tramite dell’adozione di adeguate misure di sicurezza.
L’attuale impianto normativo nazionale distingue tra misure di sicurezza minime e idonee. Le prime si rendono necessarie al fine di una prevenzione minima del rischio, sono elencate principalmente nel Disciplinare Tecnico, Allegato B del Codice Privacy, sono obbligatorie per tutti i Data Controller (Titolari del Trattamento), e in caso di mancata adozione sono previste sanzioni amministrative e penali. Le seconde sono volte ad una ulteriore riduzione del grado di rischio, si tratta di accorgimenti non obbligatori, ma la loro mancata applicazione può comportare una sanzione di tipo civile. Il GDPR non prevede un elenco così dettagliato come il nostro attuale Disciplinare Tecnico e soprattutto prescrive le misure di sicurezza solo in termini di adeguatezza dei relativi standard: solo sicurezza idonea e non più minima!
Il GDPR richiede alle imprese, tra i vari obblighi, la c.d. valutazione di impatto (Data Protection Impact Assessment), un’azione che si rende necessaria proprio per una corretta e adeguata individuazione degli interventi indispensabili e relative adeguate misure di sicurezza da adottare.
Il Data Protection Officer
Per queste e altre ragioni, che saranno affrontate prossimamente, il GDPR richiede la designazione di un Responsabile della Protezione dei Dati, il Data Protection Officer o DPO. I Data Controller (Titolari del Trattamento) e i Data Processor significativi (Responsabili del Trattamento) al fine di conformarsi al nuovo GDPR devono nominare un DPO.
Quando si rende necessaria tale nomina?
Tale figura professionale è obbligatoria per la Pubblica Amministrazione, quando l’attività principale del Data Controller o del Data Processor prevede “un monitoraggio regolare e sistematico di soggetti interessati su larga scala” o qualora il trattamento dei dati possa essere considerato delicato in quanto effettuato sempre su larga scala e consista nella “lavorazione” di “categorie particolari di dati personali”, quali l’origine razziale o etnica, le opinioni politiche e/o sindacali, le convinzioni religiose o filosofiche, stato di salute, informazioni medico-sanitarie, vita e orientamento sessuale, e così via.
Non sono previste caratteristiche ben precise, il GDPR si limita a richiedere che il DPO debba avere una “conoscenza approfondita della normativa e delle pratiche in materia di protezione dei dati, e della capacità di adempiere” ad una serie di compiti, tra cui la valutazione di impatto, l’individuazione degli interventi necessari e la definizione delle misure di sicurezza in termini di adeguatezza. Il GDPR precisa, inoltre, che il DPO debba anche avere una conoscenza specialistica del settore di attività del Data Controller o del Data Proccesor, in quanto la sua nomina dovrebbe anche basarsi sulla effettiva padronanza dei loro “trattamenti effettuati” e della relativa “protezione richiesta” per tali dati personali.
Oltre ai compiti di cui prima, il GDPR ne prevede di ulteriori e ben precisi per il Data Protection Officer:
- informare e consigliare il Data Controller o il Data Processor nonché i dipendenti che trattano dati personali in merito agli obblighi derivanti dal presente regolamento nonché da altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati;
- sorvegliare l’osservanza del presente regolamento, delle altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati nonché delle politiche del Data Controller o del Data Processor in materia di protezione dei dati personali, compresi l’attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e gli audit connessi;
- fornire, se richiesto, un parere in merito alla valutazione d’impatto sulla protezione dei dati e sorvegliarne lo svolgimento;
- cooperare con l’autorità di controllo;
- fungere da punto di contatto per l’autorità di controllo per questioni connesse al trattamento di dati personali, tra cui la consultazione preventiva, ed effettuare, se del caso, consultazioni su qualunque altra questione.
Per il DPO sono previsti, oltre a specifici doveri e relative responsabilità che derivano proprio dal suo ruolo chiave, anche dei precisi diritti, quali l’autonomia e l’indipendenza:
- Il Data Controller o il Data Processor sostiene il Data Protection Officer nell’esecuzione dei compiti fornendogli le risorse necessarie per adempiere a tali compiti nonché l’accesso ai dati personali e ai trattamenti e per mantenere la propria conoscenza specialistica.
- Il Data Controller o il Data Processor si assicura che il Data Protection Officer non riceva alcuna istruzione per quanto riguarda l’esecuzione dei propri compiti… Il Data Protection Officer riferisce direttamente ai massimi superiori gerarchici del Data Controller o del Data Processor.
Il DPO avrà quindi autonomia di spesa finalizzata al raggiungimento e mantenimento di standard idonei di conformità del proprio Modello Organizzativo Privacy e per la propria formazione continua, e sarà un soggetto indipendente all’interno della propria organizzazione, in quanto gli unici soggetti ai quali sarà tenuto a riportare, saranno solo coloro che rappresentano il “più alto livello di gestione”.
E non solo, il DPO potrà essere sia un soggetto interno che un professionista esterno, purché in assenza di conflitto di interessi, non potrà essere rimosso o penalizzato nell’esercizio dei suoi compiti, e non si pone nessuna limitazione al suo mandato.
Una società con più filiali (un “gruppo di imprese”) può designare un unico DPO a condizione che questo soggetto sia “facilmente accessibile da ogni stabilimento”.
Conclusioni
Il ruolo del DPO è centrale nel nuovo Regolamento: molteplici sono le valutazioni e le considerazioni che si rendono necessarie su questa figura professionale così come prevista attualmente e soprattutto a seguito dell’intesa raggiunta a dicembre che ha “modificato” in maniera sostanziale per molti aspetti il suo ruolo e la sua obbligatorietà così come previsto in origine dalla prima proposta di Regolamento che risale ormai a oltre 4 anni fa.
Per tale ragione, in questo articolo ci si limiterà ad analizzare il c.d. principio di armonizzazione normativa, e prossimamente affronteremo altri interessanti aspetti attraverso una serie di ulteriori valutazioni e approfondimenti.
La prima “bozza” di Regolamento proposta dalla Commissione LIBE, nel lontano inizio del 2012, in realtà prevedeva un ulteriore casistica di obbligatorietà del DPO. Tutte le imprese con almeno 250 dipendenti sarebbero state tenute a tale nomina. Si trattava di un vincolo che di fatto avrebbe però potuto escludere imprese che, pur avendo un numero di addetti inferiore, effettuavano trattamenti rilevanti e delicati. Per questa ragione, nella successiva proposta di testo del Parlamento Europeo, tale vincolo viene sostituito e fissato in almeno 5000 soggetti interessati trattati di continuo in un periodo di tempo di 12 mesi. Ma questo nuova condizione presentava da subito evidenti difficoltà applicative.
Il nuovo e recente testo definitivo demanda di fatto alle singole DPA nazionali (Data Protection Autority) la possibilità di prevedere ulteriori casi di obbligatorietà, individuando e fissandone anche i rispettivi vincoli. E questo è un’ulteriore elemento che conferma, purtroppo e sempre di più, che il nuovo GDPR altro non è che una Direttiva mascherata da Regolamento.
L’armonizzazione delle singole 28 norme nazionali in materia di Data Protection per il tramite di un unico Regolamento che fissa principi, regole generali e misure di sicurezza in maniera uniforme e uguale per tutti i 28 stati membri dell’Unione appare sin da subito come uno dei principali obiettivi che difficilmente potrà però essere raggiunto.
GDPR: Direttiva o Regolamento?
Facebook Comments