Regolamento UE Privacy: Parte 4 – Quali i soggetti coinvolti?

Si parla spesso di nuovi soggetti, e relative definizioni, introdotte dal nuovo GDPR e in particolare del Data Controller, Joint Controller, Data Processor e Data Protection Officer.

Questo ultimo soggetto, relativi compiti, responsabilità e competenze è stato trattato in maniera approfondita nei due precedenti articoli (Data Protection Officer, possibile farne a meno? e Regolamento UE Privacy: Data Protection Officer); ora l’intento è più che altro contestualizzare tali figure nell’attuale quadro normativo e per fare questo sicuramente ci sarà di aiuto l’immagine sottostante:

trafic

Da una prima lettura dell’immagine appare evidente che forse non si tratta proprio di una novità, bensì degli stessi soggetti già “previsti” dal nostro attuale ordinamento giuridico e semplicemente “rinominati” per così dire. In realtà per tutti gli altri Stati membri è più o meno sempre stato così sin dal lontano 1995, anno di approvazione della c.d. Direttiva madre in materia di protezione dei dati personali (Direttiva 95/46) che prevedeva sin da subito uno schema costituito da due soli soggetti: il Data Controller e il Data Processor.

Ovviamente all’epoca non si parlava anche di Joint Controller e Data Protection Officer, ma l’attuale schema nazionale che prevede ben tre soggetti, Titolare del Trattamento o Data Controller, Responsabile del Trattamento o Data Processor e Incaricato del Trattamento o Data Handler è un’atipicità totalmente nostra, e di un solo altro Paese dell’Unione, che in fase di recepimento della Direttiva UE ha palesemente riconfermato la grande creatività del nostro bel Paese, compresa quella dei nostri legislatori.

Di fatto dovremmo abituarci semplicemente a utilizzare termini in maniera più appropriata e tenendo in dovuta considerazione anche la differenza di ruoli e soprattutto delle rispettive responsabilità che ne derivano.

Ovviamente dovremo prestare molta attenzione alla figura del Data Processor poiché non saranno tutti allo stesso livello e a seconda delle funzioni ad essi attribuiti e relative istruzioni potranno classificarsi in maniera differente tra Data Processor più significativi (attuali Responsabili del Trattamento) e Data Processor meno significativi (attuali Incaricati del Trattamento). Quello che farà la differenza saranno proprio i trattamenti dei dati e relativi compiti ad essi delegati, tramite nomine/incarichi e/o veri e propri contratti di servizi per mezzo dei quali il Data Controller (attuale Titolare del Trattamento) delegherà verso tali soggetti parte dei propri trattamenti di dati personali.

Novità di sicuro interesse è la figura del Joint Controller o Co-Responsabile del Trattamento (attualmente sarebbe definito Co-Titolare del Trattamento). Tale figura attualmente non è prevista, quanto meno in maniera chiara ed esplicita, dall’attuale framework normativo nazionale, anche se di fatto in molti casi tale soggetto potrebbe qualificarsi come tale, si pensi ad esempio ad un fornitore di servizi in Cloud. Oggi tali trattamenti, che con il nuovo GDPR, saranno governati tramite questa nuova co-titolarità o co-responsabilità di trattamento con le nuove responsabilità che ne deriveranno, sono effettuati da Responsabili Esterni di Specifici Trattamenti, ma presto tale scenario muterà e obbligherà tali soggetti, soprattutto a seguito delle nuove responsabilità che arriveranno, a trattare i dati personali a loro assegnati con maggiore attenzione e soprattutto con una conformità non solo formale, ma anche sostanziale. E questo è decisamente uno degli obbiettivi del nuovo GDPR.

Il Joint Controller è quindi un Responsabile congiunto del trattamento e, nello specifico, per un medesimo trattamento di dati personali potranno sussistere due responsabili del trattamento che determinano congiuntamente le finalità e i mezzi del trattamento stabilendo così le rispettive responsabilità in merito al rispetto degli obblighi derivanti dal Nuovo Regolamento.

Altra novità sarà la possibilità (in questo caso concessa  al Data Subject o Soggetto Interessato) di esercitare i propri diritti nei confronti di ciascun Data Controller Congiunto del trattamento o Joint Controller.

Per alcuni aspetti, anche se con importanti differenze nei compiti e responsabilità e in scenari completamente diversi che con l’arrivo del GDPR saranno fortemente caratterizzati anche da specifiche competenze e operatività in modalità autonoma e indipendente, siamo davvero sicuri che anche la figura del Data Protection Officer sia completamente una novità?

In Modelli Organizzativi Privacy efficacemente predisposti e adeguatamente applicati è prevista già attualmente la figura del Responsabile della Sicurezza dei Dati Personali, ovviamente con le limitazioni di cui prima e con caratteristiche anche ben lontane da quelle previste per il Data Protection Officer.

Spesso questo ruolo veniva ed è oggi ancora in parte assegnato al Responsabile dei Sistemi Informativi o IT Manager che, coadiuvato dalla funzione Affari Legali ove presente, cercava di garantire nel limite delle sue competenze un’adeguata protezione soprattutto informatica alle informazioni aziendali. Tra i suoi vari compiti anche la redazione dell’ex DPS e di alcune procedure e regolamenti soprattutto in ambito di trattamento digitale dei dati personali.

In realtà il nuovo GDPR richiede altre competenze, non solo normative, rispetto alla sicurezza informatica e alla più specifica Cyber Security, ma se le imprese non comprenderanno l’importanza di tale nuovo soggetto, che tra i vari compiti si assumerà anche quello di garantire la sicurezza delle informazioni e dei dati personali, e non solo da un punto di vista logico, chi continuerà a proteggere in maniera adeguata il loro assett più importante?

Data Protection Officer: continuate a pensare di farne a meno?

Facebook Comments

LEAVE A REPLY

Please enter your comment!
Please enter your name here