La figura del responsabile della protezione dati (Dpo) introdotta dal Reg.UE 679/2016 (GDPR), si trova spesso a operare in perfetta solitudine, pur prevedendo il Regolamento UE che il titolare debba fornire supporto e strumenti per l’assolvimento dei suoi compiti.
Questa figura, pensata come un “supporto” nella gestione dei dati e nella applicazione della normativa per enti e aziende, è spesso vista come “un male necessario”, preferibilmente da evitare se non si rientra nei casi in cui la norma la rende obbligatoria.
In realtà il Dpo può essere un enorme vantaggio competitivo per le aziende. Il valore economico dei dati personali è riconosciuto. Acquisirli lecitamente, utilizzarli con basi giuridiche certe, mantenerli per un periodo definito e trattarli in sicurezza, preserva il titolare non solo dalle importanti sanzioni previste dal GDPR, ma dal danno reputazionale conseguente ad un trattamento non conforme.
La “fiducia” degli interessati è un presupposto imprescindibile per far sì che gli stessi ci consentano il trattamento dei loro dati. In un modo globalizzato, dove l’uso degli strumenti informatici avviene spesso inconsapevolmente, dove non vi è giorno che non si abbia notizia di una violazione di dati personali, la fiducia e la consapevolezza del concetto di “tutela del dato” sta assumendo sempre maggiore consistenza.
Ma può il solo Dpo, la sua sola presenza (nomina) garantire tutto ciò? Se non si istaura una collaborazione costante con altri soggetti che fanno parte dell’organizzazione del titolare, è molto difficile, in alcuni casi impossibile.
Chi è il Dpo, responsabile della protezione dati
Il Dpo, sulla base dei compiti assegnati dal Regolamento, non è un soggetto che materialmente assolve agli adempimenti privacy, ma ne verifica la corretta esecuzione e suggerisce al titolare le azioni da intraprendere. Nella maggior parte dei casi questa funzione viene assegnata a soggetti terzi rispetto al titolare, sia per evitare possibili conflitti di interesse della funzione, sia per questioni logistiche.
È abbastanza difficile per un’azienda assegnare questa funzione a un soggetto che all’interno della stessa goda di sufficiente autonomia, abbia conoscenza specialistica della materia e capacità di assolvere ai compiti assegnati, mantenendo la necessaria indipendenza, se lo stesso si trova in una posizione di “subordine” dovuta al fatto stesso di essere dipendente dell’azienda stessa.
Allo stesso modo, a meno che nell’azienda siano già presenti figure altamente qualificate per assolvere a tali funzioni, non è consigliabile inserire ex novo un dipendente le cui competenze si limitino a qualche corso di formazione sulla materia.
La complessità della normativa sulla protezione dei dati necessità di esperienza e approfondimenti costanti. Oltre a requisiti professionali (conoscenza specialistica della materia, capacità di assolvere ai compiti assegnati, buona conoscenza del funzionamento della struttura del titolare da cui il Dpo viene designato, abilità interpretativa delle norme relative alla protezione dei dati in tale contesto), il Dpo deve possedere delle qualità personali e relazionali ”Le qualità personali dovrebbero comprendere, per esempio, l’integrità ed elevati standard deontologici; Il responsabile protezione dati dovrebbe perseguire in via primaria l’osservanza delle disposizioni del GDPR” [1]
Sul punto il GEPD, la rete istituzionale dell’UE sui responsabili protezione dati, sottolinea che il Dpo deve essere capace di mediare e risolvere i problemi in maniera accettabile per l’organizzazione, ma nel pieno rispetto della legge.
Val la pena di ricordare che la responsabilità non grava sulle spalle del Dpo ma sul titolare, che da un lato ha l’obbligo di consultare il responsabile protezione dati e di coinvolgerlo ogni qual volta sia necessario o emergano problemi di conformità al GDPR, dall’altro, dovrà documentare e motivare l’eventuale disapplicazione dei pareri del responsabile protezione dati.
La figura del referente privacy
È possibile avere nel titolare in senso astratto un interlocutore in grado di comprendere sino in fondo le implicazioni pratiche di alcuni adempimenti? Può un amministratore delegato conoscere in dettaglio la modalità di trattamento di ciascun settore della propria azienda? È possibile impostare e verificare le procedure per il trattamento dati ignorando eventuali deleghe funzionali del titolare?
Nel passaggio di adeguamento dal D.Lgs.196/2003 al Regolamento UE 679/2016( GDPR), molti esperti si sono trovati di fronte a una novità quasi inaspettata. Era sparito il responsabile interno di specifici trattamenti, figura possibile ai sensi del D.Lgs.196/2003.
Infatti il GDPR indica espressamente che quale responsabile del trattamento si possa individuare solo un soggetto (terzo) cui il titolare affida il trattamento.
La novità non era di poco conto. È vero che gli obblighi ricadono in capo al titolare, ma chi, in fase di adeguamento può pensare di interloquire con un intero consiglio di amministrazione, chi potrebbe ignorare le deleghe operative dallo stesso assegnate? Fortunatamente a tutto ciò ha posto rimedio il D.L. 101/2018 che, nell’armonizzare il D.Lgs.196/2003 ha inserito all’art. 2-quaterdecies la figura del “referente privacy”, inteso come uno o più soggetti cui il titolare delega specifiche attività relative alla normativa privacy.
Attribuzione di funzioni e compiti a soggetti designati
1. Il titolare o il responsabile del trattamento possono prevedere, sotto la propria responsabilità e nell’ambito del proprio assetto organizzativo, che specifici compiti e funzioni connessi al trattamento di dati personali siano attribuiti a persone fisiche, espressamente designate, che operano sotto la loro autorità.
2. Il titolare o il responsabile del trattamento individuano le modalità più opportune per autorizzare al trattamento dei dati personali le persone che operano sotto la propria autorità diretta.
Si è quindi ripristinata una situazione che consente al DPO o (Responsabile della Protezione dei dati), figura introdotta dal Regolamento UE, di avere un interlocutore autorevole e attendibile all’interno della struttura aziendale. Ed ecco il ruolo del referente privacy. Che è sempre una persona fisica che opera sotto il controllo gerarchico del titolare del trattamento[2]. Un soggetto che conosce l’azienda e le sue procedure interne, che è in grado di fornire al responsabile trattamento dati tutte le informazioni necessarie per avere contezza dei trattamenti e che è in grado di verificare e gestire le procedure che il titolare attua per essere conforme alla normativa.
Il Garante Europeo per la Protezione dei dati ha elaborato una matrice (RACI- Responsible, Accountable, Consulted, Informed) dove compare appunto il Referente. [3]
“In pratica, il top management è responsabile del rispetto delle regole, ma la responsabilità è generalmente assunta a un livello inferiore (“la persona responsabile per conto del controller “/” controller in pratica “).[4]
Responsible | Accountable | Consulted | Informed | |
Top Management | X | |||
Referente | X | |||
RPD | X | |||
Dipartimento IT | X | |||
Responsabili, del caso | X |
La figura dell’IT manager
Un’altra figura chiave, con cui il responsabile protezione dati deve necessariamente collaborare è l’IT manager. È sottinteso dalla presenza del responsabile protezione dati (prevista per chi svolge determinati trattamenti su larga scala) che le aziende che sono obbligate alla sua nomina svolgono trattamenti che prevedono una significativa quantità di dati con l’ausilio di strumenti elettronici. Le enormi possibilità di trattamento che gli strumenti informatici consentono sui dati personali e in particolare le misure di sicurezza adottate per preservarli, sono un patrimonio di conoscenza dell’IT manager che spesso le custodisce gelosamente.
L’importanza e la delicatezza di questo settore dell’azienda è stata chiarita nel provvedimento del Garante “Misure e accorgimenti prescritti ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni delle funzioni di amministratore di sistema – 27 novembre 2008 (G.U. n. 300 del 24 dicembre 2008)”. Provvedimento che conserva tutta la sua efficacia e che non a caso impone che “L´attribuzione delle funzioni di amministratore di sistema deve avvenire previa valutazione dell´esperienza, della capacità e dell´affidabilità del soggetto designato, il quale deve fornire idonea garanzia del pieno rispetto delle vigenti disposizioni in materia di trattamento ivi compreso il profilo relativo alla sicurezza.”
Il ruolo dell’IT nelle aziende è ormai strategico, la quantità di informazioni che è possibile elaborare, l’utilizzo della robotica, dell’IoT, rendono possibili dei trattamenti che, se da un lato possono agevolare le aziende nel raggiungimento dei propri obiettivi di business, dall’altro possono essere molto invasivi delle libertà degli individui cui questi dati si riferiscono.
Conciliare ciò che è possibile con ciò che è lecito ai sensi della vigente normativa sulla protezione dei dati, è uno dei compiti più difficili che un DPO si trova ad assolvere.
Di fronte a sistemi operativi complessi, che consentono un dettaglio di dati incredibile, magari frutto della intraprendenza e genialità di un IT manager, dover applicare il concetto di “minimizzazione dei dati” è in alcuni casi un’impresa realmente complicata.
Il Dpo assume un ruolo cruciale: quello di condividere con il referente privacy e con L’IT manager i fondamenti della normativa, entrando nel dettaglio di tutti i trattamenti e delle modalità con cui gli stessi sono svolti. Sensibilizzando in particolare sui rischi del collezionismo di dati che espongono il titolare a sanzioni.
Quanto un Dpo sia visto come “censore” e quanto come “alleato dell’azienda nel prevenire sanzioni” dipende dal rapporto che instaura con il referente privacy e con l’IT manager.
Nella misura in cui questi due soggetti sono sensibilizzati sulla normativa, comprendono che il ruolo del Dpo è quello di preservare l’azienda da possibili sanzioni e non di limitarne le possibilità di sviluppo nel trattamento dati, di far sì che i trattamenti avvengano nelle migliori condizioni di sicurezza possibili (la sicurezza in assoluto, come dimostrano anche i recentissimi data breach, non esiste). Un Dpo che riesce a trasferire questi concetti ai suoi interlocutori potrà svolgere un ottimo lavoro e dare un senso concreto alla sua funzione.
- Linee guida WP 243 rev.01 “Linee Guida sui responsabili della protezione dati” ↑
- D.Lgs.196/2003 2-quaterdecies ↑
- GEPD, Accountability on the ground Part I: Records, Registers and when to do Data Protection Impact Assessments ↑
- GEPD, Accountability on the ground Part I: Records, Registers and when to do Data Protection Impact Assessments ↑