#GDPRnoPanic – Aspettando il DPO.

“Well, Shall we go?”

“Yes, let’s go”

They do not move.

( En Attendant Godot – Waiting for Godot, Samuel Beckett )

Le nuove frontiere raggiunte dalla tecnologia hanno motivato il legislatore europeo ad elaborare il c.d. “pacchetto protezione dati”, composto dal Reg. UE 2016/679 in materia di protezione dei dati personali e dalla Dir. UE 2016/680 in materia di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali.

Il nuovo regolamento generale sulla protezione dei dati (Reg. UE 2016/679)

O, secondo l’acronimo che ci dovremo abituare ad ascoltare sempre più spesso, RGPD o per gli anglofoni GDPR (General Data Protection Regulation), sarà direttamente applicabile in tutti gli Stati membri a partire dal 25 maggio 2018, con espressa abrogazione della direttiva 95/46/CE. La norma si pone quale fondamento per le normative nazionali, fra cui rientra anche il D.lgs. 196/03 (Codice della Privacy). Al riguardo, il “considerando” n. 9 è sufficientemente chiaro nel definire l’esigenza di conformità: «Sebbene i suoi obiettivi e principi rimangano tuttora validi, la direttiva 95/46/CE non ha impedito la frammentazione dell’applicazione della protezione dei dati personali nel territorio dell’Unione, né ha eliminato l’incertezza giuridica o la percezione, largamente diffusa nel pubblico, che in particolare le operazioni online comportino rischi per la protezione delle persone fisiche. La compresenza di diversi livelli di protezione dei diritti e delle libertà delle persone fisiche, in particolare del diritto alla protezione dei dati personali, con riguardo al trattamento di tali dati negli Stati membri può ostacolare la libera circolazione dei dati personali all’interno dell’Unione. Tali differenze possono pertanto costituire un freno all’esercizio delle attività economiche su scala dell’Unione, falsare la concorrenza e impedire alle autorità nazionali di adempiere agli obblighi loro derivanti dal diritto dell’ Unione. Tale divario creatosi nei livelli di protezione è dovuto alle divergenze nell’attuare e applicare la direttiva 95/46/CE».

Perseguendo in tal modo detti scopi di conformità applicativa ed efficace attuazione delle tutele, il Regolamento consentirà a Stati membri e a singole Autorità Garanti di dare precisazione a talune norme (in special modo su dati sensibili), specificando
condizioni, rilasciando autorizzazioni generali o altrimenti provvedendo anche mediante l’adozione di leggi settoriali ove la specificità della materia lo chieda. A titolo di esempio, può essere sufficiente citare il trattamento dei dati sanitari o altrimenti il trattamento dei dati dei dipendenti.

L’ambito di applicazione del RGPD

E’ estremamente ampio, e il combinato disposto degli artt. 2 e 3 ne definisce i margini. L’applicazione materiale (art. 2) consta nel trattamento automatizzato di dati personali, nel trattamento non automatizzato di dati personali purché destinati ad essere contenuti in archivio, purché tali attività rientrino nell’applicazione del diritto dell’Unione Europea. L’ambito applicativo territoriale (art. 3) coinvolge sia tutti i trattamenti svolti per un’attività con stabilimento nel territorio dell’Unione, sia tutti i trattamenti dei dati personali di interessati che si trovano (a qualsiasi titolo) nell’Unione purché le attività riguardino l’offerta di beni o servizi o il monitoraggio dei comportamenti.

Il “lessico familiare”, poi, utilizzato dal RGPD per fornire le definizioni, è utile per evitare problemi interpretativi nella transizione di un regime normativo di così vasta portata e facilitare l’opera di adeguamento per gli operatori economici, così come evidenziato dal Garante della privacy nel proprio comunicato stampa sull’argomento.

Il Data Protection Officer

Guardando proprio alle figure già note (i.e. titolare, responsabile, interessato, destinatario) si può agilmente scorgere che fra i soggetti che orbitano nell’universo privacy emerge (con gli articoli da 37 a 39 del RGPD) un attore totalmente nuovo: il responsabile della protezione dei dati (RPD), o data protection officer (DPO). Figura nota in alcuni Paesi membri, è stato assunto dal legislatore comunitario (parimenti al diritto all’oblio) come il precipitato normativo di una prassi per la responsabilizzazione dei titolari e dei responsabili, nell’ottica di garantire l’assolvimento dell’accountability di cui all’art. 24, parametro e chiave di volta a presidio dell’efficace attuazione della protezione dei dati.

Il gruppo di lavoro “articolo 29”

Formato dai Garanti Europei, attraverso il provvedimento n. 243 del 13 dicembre 2016 ha fornito le linee guida sul RPD, fornendo chiarimenti e raccomandazioni secondo lo schema del dettato normativo: nomina (art. 37), posizione (art. 38) e compiti (art. 39).

La designazione del RPD da parte del titolare o del responsabile del trattamento è obbligatoria per tre specifici campi di ipotesi tutti inerenti l’attività, ovverosia: se la stessa è svolta da un’autorità o un organismo pubblico (con eccezione espressa delle funzioni giurisdizionali), se richiede un monitoraggio regolare e sistematico degli interessati su larga scala o se altrimenti vengono svolti trattamenti su larga scala di dati sensibili o giudiziari.

In tutti questi casi è importante notare che diventa essenziale individuare compiutamente l’attività “principale” del titolare o responsabile al fine di inquadrare se vi sia o meno tale obbligo di nomina.

Alcuni parametri richiamati dalla norma richiedono però alcune specificazioni necessarie, anche e soprattutto al fine di assicurare una conformità applicativa. Il concetto di “monitoraggio regolare e sistematico” viene meglio esplicato nel considerando numero 24, il quale richiama il tracciamento e la profilazione quali espressioni emblematiche dell’attività di rilevazione e controllo dei comportamenti degli interessati, così come quello di “larga scala” determina rischiosamente una valutazione discrezionale: dunque l’individuazione di parametri standard è di indubbia utilità.

Le raccomandazioni elaborate individuano così dei fattori di cui poter tenere conto quali il numero di interessati, la consistenza dei dati, la persistenza e la dimensione geografica dell’attività.

Nelle ipotesi in cui la nomina non è obbligatoria, il caveat del gruppo di lavoro è rivolto alla correttezza e non ambiguità, a chiarire che designare un RPD è utile solo ove poi sia assicurata l’effettività di tale incarico e la perfetta
conformità dello stesso ai parametri propri della funzione e ai requisiti di legge. Insomma: ove vi sia la nomina di un RPD, sia essa obbligatoria o facoltativa, per effetto di detta nomina la figura è (e non può altrimenti essere) quella definita dagli artt. 37-39 del Regolamento. Nel caso invece in cui vi siano singole funzioni delegate o partizionate, viene espressamente raccomandato che “figure o consulenti non siano indicati con la denominazione di RPD”.

RPD di un gruppo di Enti e competenze richieste

La norma ammette inoltre che più autorità pubbliche o organismi pubblici possano consorziarsi per la designazione di un unico RPD, “tenuto conto della loro struttura organizzativa e dimensione”, e consente la medesima possibilità anche ad un gruppo imprenditoriale, purché il RPD sia “facilmente raggiungibile da ciascuno stabilimento”.
È chiaro che la designazione collettiva debba comunque essere compiuta lasciando intatta la piena funzionalità del RPD nel provvedere all’adempimento delle proprie funzioni a tutela e garanzia dei diritti e delle libertà fondamentali degli interessati.

Circa il soggetto designato, la norma richiede conoscenza della normativa e della prassi in materia di protezione dei dati, e capacità di assolvere i compiti propri della funzione, ed emerge così più il profilo di un giurista che di un informatico in quanto la competenza giuridica deve essere prevalente, specifica e aggiornata, mentre l’ambito tecnologico della security può essere limitato ad un livello sufficiente di comprensione e familiarità.

Per quanto riguarda la forma della designazione, la norma pone un onere di pubblicità dei contatti del RPD e di specifica comunicazione degli stessi all’autorità di controllo (i.e. il Garante). Sebbene tale nomina possa apparire prima facie affine all’istituto della delega di funzioni, è opportuno evidenziarne l’elemento caratteristico e distintivo: in nessun caso il titolare (e il responsabile) può fuggire dall’obbligo di garantire e dimostrare (art. 24 – c.d. “accountability”) la conformità normativa del trattamento svolto.
Il RPD opera come interlocutore e consulente, ed è compito fondamentale del titolare o del responsabile assicurare che sia posto nelle condizioni di svolgere efficacemente i compiti minimi ed essenziali declinati dall’art. 39, ovverosia: consulenza legale e sorveglianza degli adempimenti in materia di protezione dati; assistenza nella valutazione di impatto sulla protezione dei dati; consulenza strategica con approccio risk-based; cooperazione con l’autorità di controllo (unico caso di eccezione per l’altrimenti generale obbligo di segreto e riservatezza previsto dall’art. 38 comma 5).

È ad ogni modo evidente che il titolare o il responsabile possano assegnare, nell’ottica di una migliore allocazione degli incarichi aziendali, anche ulteriori compiti al RPD quali ad esempio quello di assicurare la corretta tenuta del registro dei trattamenti di cui all’art. 30, o il riesame e l’aggiornamento periodico delle misure predisposte.

La norma prevede alcuni obblighi direttamente in capo al titolare e al responsabile del trattamento al fine di assicurare effettività al ruolo del RPD (art. 38): in primo luogo, deve essere coinvolto in modo tempestivo e adeguato all’interno di ogni questione riguardante la protezione dei dati personali. Tanto premesso, la norma si limita ad indicare alcuni parametri operativi essenziali quali: allocare le risorse e il supporto necessario per l’assolvimento dei propri compiti, l’accesso ai dati, e l’aggiornamento professionale; assicurare l’autonomia e l’indipendenza nello svolgimento delle funzioni. Circa questa seconda categoria di garanzie relative alla posizione, viene espressamente sancito il divieto di penalizzazioni, dirette o indirette, derivanti dallo svolgimento dei compiti propri del RPD, così come di assicurare l’assenza di un conflitto di interessi evitando dunque che lo stesso possa essere anche in modo eventuale essere coinvolto nella definizione delle finalità o delle modalità di trattamento dei dati personali.

Le attività aziendali dovranno dunque necessariamente interrogarsi sugli eventuali obblighi emergenti correlati alla figura di questo nuovo attore, nonché sulle opportunità di designare il RPD ove la nomina sia facoltativa. Certo è che gli esiti di una piena valutazione potranno comunque essere più chiari avere un migliore definizione solo con il trascorrere del tempo. Per tale motivo è e sarà dunque comprensibile che l’attesa darà al responsabile della protezione dei dati in alcuni casi le vesti del terribile convitato di pietra pronto a chiamare alla redenzione (nello specifico: alla compliance) quanti sono o dovranno essere obbligati a tale designazione. Nelle ipotesi in cui la designazione è facoltativa, le proroghe e i rinvii sulla norma UNI nonché il rischio di confusione fra privacy e security fanno più pensare all’attesa del signor Godot.

Da parte nostra, partecipiamo al trend #GDPRnoPanic evidenziando come ad ogni modo, i più attenti ed aggiornati potranno guardare al 25 maggio 2018 come un’occasione per svelare o creare nuove opportunità conferendo un valore aggiunto al proprio data asset aziendale.

-> Qui il link per seguire in diretta il Webinar 2.0 sulla General Data Protection Regulation

Dott. Stefano Gazzella

Be Sociable, Share!
Ti è piaciuto questo articolo?
Richiedi consulenza su questo argomento:

info@centrosarg.com

Add a Comment

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Condivisioni:
CrestaProject