GDPR, manca poco. Il DPO? Ancora nella “nebbia”
Il Regolamento Europeo per la Protezione dei Dati Personali (GDPR 2016/679) diventa pienamente applicabile dal 25 maggio 2018. Questo introduce nuovi obblighi per enti, aziende e Pubbliche Amministrazioni, come la privacy by design e by default, e richiede la nomina di un Data Protection Officer (DPO) in alcuni casi. La figura del DPO deve avere competenze giuridiche, tecniche e organizzative, ma la normativa lascia ancora alcune incertezze interpretative. La mancata conformità al GDPR comporta sanzioni significative, fino al 4% del fatturato globale.
Introduzione al Regolamento Europeo sulla Protezione dei Dati Personali e applicabilità
A poco più di due mesi dalla piena applicabilità del Regolamento Europeo per la Protezione Dati Personali (UE 2016/679) in tutti gli stati dell’unione, permangono ancora molte “zone d’ombra” interpretative sulla nuova normativa, nonostante gli sforzi profusi, a livello nazionale e internazionale, dalle diverse Autorità Garanti per far conoscere e comprendere questa nuova (anche se non del tutto) e delicatissima materia cercando così di spostare l’indicatore da “preoccupazione/terrore” a “consapevolezza/opportunità”.
Come oramai abbiamo imparato a ricordare, dal 25 maggio 2018, il Regolamento Europeo diverrà pienamente applicabile sul territorio nazionale, e, a partire da questa data, i suoi effetti, con nuovi obblighi e nuovi diritti ricadranno in capo a enti, aziende, Pubbliche Amministrazioni e soggetti privati con quanto ne conseguirà;
Chiariamo: chi confida in una qualche deroga o proroga (secondo le più nobili italiche tradizioni) dovrà, ricredersi e arrendersi all’evidenza!
Per questo, in numerose occasioni e eventi pubblici, l’Autorità Garante per la Protezione Dati Personali ha ribadito e, al tempo stesso, spronato i convenuti a che la data del 25 maggio 2018 venisse vista più come un TRAGUARDO che non, come in molte realtà italiane è ancor oggi considerata, un PUNTO DI PARTENZA.
Questo perché, è innegabile che i processi di analisi e adeguamento alla nuova normativa, la definizione di procedure (spesso da riscrivere ex-novo) che percorrano la strada verso l’essere conformi (compliance) alla nuova normativa, siano percorsi lunghi, complessi e, a volte, disseminati di “trabocchetti” che richiedono lassi temporali consistenti.
La Privacy by Design e la Privacy by Default: principi fondamentali del GDPR
Come, a tal proposito, non ricordare in tema di nuovi obblighi due concetti che oramai la fanno da padrona sul web e negli incontri sul tema: la privacy by design & privacy by default (art. 35 GDPR)
Vediamoli in breve: la protezione dei dati deve essere considerata come elemento indispensabile fin dalla progettazione di un sistema nonché considerata come impostazione predefinita dei trattamenti effettuati ; per questo, il legislatore precisa che il titolare del trattamento debba mettere in campo misure tecnico- organizzative adeguate (es. minimizzazione, pseudonomizzazione) a garantire i diritti degli interessati nonché impone tipologia, quantità, tempistiche in merito ai dati da trattare sulla base delle varie finalità indicando al tempo stesso come i dati stessi debbano essere resi accessibili esclusivamente a un numero ristretto di soggetti autorizzati. Si può facilmente comprendere quanto, questi due “obblighi” possano impattare pesantemente sull’organizzazione, sui processi, sui sistemi informativi, sulla “vita” di una azienda, di una PA di un’organizzazione in genere.
Ruolo, obblighi e requisiti del Data Protection Officer (DPO)
Altra novità (quantomeno per il nostro paese) prevista, è quella inerente la nuova figura (a volte obbligatoria, a volte consigliata), del DPO (Data Protection Officer) o RPD (Responsabile Protezione Dati) di cui agli artt. 37, 38, 39, figura intorno la quale, per la verità, la già citata “nebbia” persiste a vario titolo.
Procedendo per gradi sul DPO/RPD , troviamo all’interno della Sezione 4 del Regolamento , all’art. 37, indicato il Responsabile della protezione dei dati – designazione; in questo articolo vengono indicati una serie “soggetti” per i quali nominare l’RPD sarà OBBLIGATORIO [“… autorità o organismi pubblici – eccezion fatta per quelle giurisdizionali per l’esercizio delle proprie funzioni, chi effettua monitoraggio sistemico e regolare degli interessati su larga scala ( ancora ben lontana dall’essere “quantificata”), chi tratta su larga scala particolari categorie di dati (di cui all’art. 9) o dati relativi a condanne penali e reati (art . 10)…]
Va chiarito che, in tutti gli altri casi, l’eventuale nomina di un DPO/RPD può essere comunque effettuata su base volontaria considerato anche che tale decisione può, in caso di verifica, essere considerata come azione positiva in un percorso di adeguamento alla normativa. NB: Nel caso si proceda alla nomina su base volontaria ricadono in capo al Titolare del Trattamento e al DPO/RPD obblighi e diritti identici a quelli prefissati per la nomina obbligatoria.
Al comma 5 dell’Art. 37 vengono riportati dal legislatore europeo “i requisiti base” cui far riferimento per la scelta/designazione del RPD: “…è designato in funzione delle qualità professionali, in particolare della conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati, e delle capacità di assolvere i compiti di cui all’art. 39…”.
Sul Comma 5 la discussione è tuttora accesa. Non esistendo, infatti, ad oggi, un preciso decalogo/vademecum delle caratteristiche che un curriculum di un futuro DPO/RPD dovrebbe contener per poter adempiere al meglio all’incarico, ha ritenuto di intervenire anche il Gruppo di Lavoro art. 29 per la protezione dei Dati che ha rilasciato le “linee guida sui responsabili della protezione dei dati” proprio per cercare di dare una comune linea di interpretazione e “regolamentare” in qualche modo le numerose ( e a tratti fantasiose) definizioni in merito.
In ultimo, nel mese di Dicembre 2017 anche l’Autorità garante nazionale ha rilasciato un documento chiarificatore titolato “nuove faq sul responsabile della Protezione dei dati (RPD) in ambito pubblico” in aggiunta a quello del citato WP29.
La complessità delle competenze richieste al DPO
Da una attenta lettura dei tre articoli appare abbastanza improbabile ( seppur questa sia una possibilità contemplata) che l’incarico di DPO/RPD potrà essere ricoperto da un soggetto singolo, sia in ragione dell’ampiezza delle conoscenze che questa figura dovrà possedere per poter al meglio svolgere questo incarico, sia in base alla valutazione della “dimensione” dell’organizzazione di cui si dovrà occupare (dimensione nel senso più ampio possibile ossia sia riguardo la collocazione/distribuzione geografica sul territorio, sia la mole/tipologia di dati trattati, sia sulle tecnologie utilizzate ecc).
Per citarne alcune:
- Conoscenza approfondita del Regolamento Europeo UE 2016/679;
- Conoscenza approfondita della materia e normativa specifica (privacy e data protection) sia nazionale che degli altri paesi dell’unione;
- Conoscenze giuridiche;
- Conoscenze tecnico informatiche in ambito sicurezza informatica;
- Conoscenze legate alle dinamiche del settore economico ove opera l’organizzazione per la quale si andrà a ricoprire l’incarico di RPD;
- Conoscenza delle procedure e norme amministrative di riferimento (in caso di nomina da parte di un’autorità pubblica).
In aggiunta ai punti precedenti: formazione e aggiornamento specialistica continua (anche tramite il conseguimento di certificazioni volontarie rilasciate da enti esterni accreditati che comprovino le conoscenze acquisite), qualità morali e di condotta elevate nonché la capacità di assolvere al proprio compito senza subire pressioni o ingerenze (per questo ultimo punto fondamentale è la collocazione del DPO/RPD all’interno dell’organigramma aziendale – se interno all’organizzazione).
Certificazioni e titoli per il ruolo di DPO
Sulla questione certificazioni doverosa è la precisazione fatta dall’Autorità nazionale che ribadisce che al momento non esiste alcuno schema di certificazione (rientranti nella disciplina dell’art. 42 del regolamento) che “abilitino” un soggetto allo svolgimento del ruolo di DPO/RPD.
Altro nodo da sciogliere in merito alla figura del RPD riguarda il/i titolo/i di studio che questo professionista deve detenere. In alcun articolo o linea guida ad oggi pubblicata vi è una chiara indicazione in merito all’obbligatorietà di possedere l’uno o l’altro titolo di studio (diploma, laurea, certificazioni varie). Il riferimento chiaro, che viene più volte fatto, riguarda conoscenze, esperienze e capacità che il soggetto individuato deve detenere, con la precisazione che, titoli rilasciati da enti riconosciuti/accreditati, possono essere un utile strumento per la valutazione della preparazione e delle conoscenze possedute dal/dai candidati da tenere in debita considerazione al momento della selezione.
Nomina di un team multidisciplinare e il rapporto tra Ente e DPO
Nel caso in cui, si decida di nominare una persona giuridica/società di servizi in maniera da poter attingere alle professionalità di un team multidisciplinare, le caratteristiche citate dovranno essere in possesso di ciascuno dei membri del team e, in ogni caso, andrà nominato un membro (persona fisica) come referente che deve adempiere a quanto previsto dall’art. 39 c. d) ed e).
Ancora una precisazione nel caso di nomina a personale interno all’organizzazione: particolare attenzione a quanto indicato all’art. 38 c. 6 riguardo ulteriori incarichi ricoperti all’interno dell’organizzazione che possano dare atto a conflitti di interessi esponendo l’organizzazione all’aspetto sanzionatorio previsto.
Il rapporto fra Ente/Azienda e DPO/RPD deve essere oggetto di una attenta disamina in quanto vanno chiaramente indicati i rispettivi diritti e obblighi; il Titolare del Trattamento deve, infatti, mettere a disposizione del DPO/RPD risorse tali (in termini finanziari e di collaboratori) tali da consentire di adempiere nel miglior modo all’incarico, non deve penalizzare o rimuovere il DPO/RPD a seguito dello svolgimento del proprio incarico, deve garantire un rapporto diretto con il vertice aziendale.
Responsabilità del DPO in caso di violazione del GDPR
In merito alle responsabilità si precisa che in caso di mancata nomina l’Ente/azienda rischia una sanzione pecuniaria amministrativa fino a 20 milioni di Euro o, se del caso, fino al 4% del fatturato totale annuo mondiale e che, in caso di ulteriori violazioni, la responsabilità ricade sempre e comunque in capo al Titolare del Trattamento, che potrà, nel caso di DPO/RPD esterno, rivalersi per eventuale inadempimento contrattuale e risarcimento del danno in base a quanto prescritto dal Codice Civile sul DPO/RPD.
Nel merito delle responsabilità, appare, al contrario, difficoltosa la valutazione di una possibile responsabilità extra-contrattuale del DPO/RPD nei confronti dei terzi che dovessero risultare danneggiati da suoi errori/mancanze durante l’espletamento dell’incarico. Pare tuttavia percorribile questa strada, nel caso in cui venissero ad essere rilevate condotte dolose da parte del DPO/RPD che quindi aprirebbero la strada a questo ulteriore scenario sanzionatorio.
BIBLIOGRAFIA/SITOGRAFIA
- Regolamento (UE) 2016/679, http://eur-lex.europa.eu/legal-content/IT/TXT/?uri=uriserv:OJ.L_.2016.119.01.0001.01.ITA&toc=OJ:L:2016:119:TOC , ultima consultazione 20/11/2017;
- Linee Guida del Gruppo WP 29 sul DPO/RPD: http://194.242.234.211/documents/10160/0/WP+243+-+Linee-guida+sui+responsabili+della+protezione+dei+dati+%28RPD%29.pdf;
- Scheda informativa Autorità Garante su DPO/RPD: http://194.242.234.211/documents/10160/0/Data+Protection+Officer+Scheda+infomativa;
- Faq sul DPO/RPD in ambito pubblico rilasciate dall’Autorità Nazionale: http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/7322110;
A cura di: Leonardo Scalera
Laureato e specializzato presso l’Università Unitelma Sapienza di ROMA in Scienze dell’Amministrazione con tesi sull’evoluzione dei sistemi informativi nella PA e sull’innovazione digitale in sanità. Specializzato c/o l’Università di Teramo in Sicurezza informatica e informatica giuridica con focus sugli aspetti legati alla sicurezza dei sistemi informativi, delle reti e sulla sicurezza, riservatezza e tutela dei dati trattati.
Ha frequentato numerosi corsi di formazione riguardanti sicurezza informatica , privacy & data protection. Ha conseguito la certificazione volontaria delle competenze secondo lo schema UNI CEI EN ISO/IEC 17024 certificato da Bureau Veritas/CEPAS a seguito del percorso formativo come Corso di Alta Specializzazione DATA PROTECTION OFFICER- PRIVACY SPECIALIST.
Tutor in diversi corsi in tema D.Lgs. 81/01, incaricato come docente in ambito formazione GDPR per quanto attiene al “trattamento di particolari categorie di dati personali; diritti degli interessati, modalità di esercizio, tutele” per aziende di formazione professionale, autore del corso “ Il Nuovo Pacchetto Protezione Dati Personali. Obblighi della P.A. Ricadute sul Dipartimento Amm.ne Penitenziaria”.
Presta la propria opera c/o il Ministero della Giustizia Dipartimento dell’Amministrazione Penitenziaria e dando il suo apporto anche in ambito privacy e data protection, in diversi settori/aree dell'amministrazione di appartenenza.