DPO – Nuova Privacy Europea GDPR2016 Aziende e Professionisti – Linee Guida

data-protection

Il GDPR2016 Privacy prevede per alcuni versi dei casi limitati di obbligatorietà per il DPO Responsabile della Protezione dei Dati: per esempio Pubblica Amministrazione e sue derivate dovranno necessariamente avvalersi di tale figura professionale, che si renderà indispensabile anche per trattamenti su larga scala di quei soggetti interessati dal suo trattamento e/o di dati particolari.

Al momento il GDPR non prevede ulteriori casi di obbligatorietà tassativa oltre le ipotesi summenzionate, e proprio in tale ambito si potranno e si dovranno pronunciare i singoli Stati membri UE che potranno prevedere nuove ed eventuali casistiche sulla base delle quali tale soggetto dovrà essere necessariamente individuato, valutato e nominato.

Però risulta doveroso constatare che l’orientamento della nostra Autorità di Controllo Nazionale è ben chiaro da diverso tempo: ed è decisamente a favore dell’introduzione del Data Protection Officer anche ove non previsto attualmente dal GDPR.

Ma per una Azienda o Studio Professionale la valutazione da farsi dovrebbe essere a prescindere dalla sua obbligatorietà o meno, attuale e futura, e gli elementi da considerare sono diversi e sostanzialmente uguali, se non superiori a quelli di una P.A. : la propria reputazione professionale agli occhi di clienti attuali o potenziali, od anche nel web con il nome di “WEB Reputation”.

La Valutazione di Impatto sul trattamento dati è solo una delle valutazioni che potrebbe coinvolgere indirettamente un DPO, ma anche direttamente se richiesto, nonchè la armonizzazione normativa italo-europea è tra uno dei principali obiettivi del Regolamento e che richiede quindi una buona conoscenza dell’iter procedurale.

Come facoltà il GDPR prevede anche la possibilità di incaricare un singolo comune DPO per lo stesso gruppo di imprese, “purché il DPO sia facilmente raggiungibile da ogni stabilimento produttivo”: ma ad esempio con stabilimenti ubicati in più paesi UE, potrebbe non essere di così semplice applicazione, come anche nell’ambito del territorio italiano dovendo magari in caso di Data Breach dei dati debba intervenire tra le 48 e le 72 ore, oppure avere un costante rapporto con la DirezioneAziendale.

La “Data Protection” è un campo interdisciplinare influenzato da molte altre discipline di settore come quelli delle Telecomunicazioni , della Tecnica e Sicurezza ICT e delle norme Giuslavoristiche. Pertanto, le disposizioni nazionali in materia di Data Protection (196/2003 Allegato B) che comunque “sopravviveranno” all’entrata in vigore del nuovo GDPR2016, perché alcune di queste di fatto rimarranno in essere, e le diverse norme nazionali che direttamente o indirettamente impattano sulla protezione dei dati non potranno essere ignorate come spesso finora fatto.

Il trattamento dei dati personali è prevalentemente, se non quasi solo ed esclusivamente di tipo digitale nonchè tramite il Cloud ed il Web. Pertanto nella scelta e valutazione delle caratteristiche che deve avere un “Responsabile della Sicurezza dei Dati” è impensabile attenersi alle sole indicazioni sommarie fornite dal GDPR2016, ma sarà doveroso andare ben oltre. Come potrebbe un soggetto magari già incaricato come avvocato dell’Azienda, ricoprire il ruolo del DPO senza avere competenze adeguate e specifiche in ambito ICT e di Cyber Security? Come potrebbe individuare, seguendo i dettami della normativa, prima le misure di sicurezza e valutarne poi anche la loro adeguatezza anche tecnica? Come potrebbe intraprendere adeguate pratiche in ambito di crittografia, pseudoanonimizzazione dei dati, strategie di data loss prevention, sicurezza delle informazioni, vulnerabilità, gestione di flussi di dati personali, trattamenti anche per il tramite di soluzioni particolari e trasferimenti delicati di dati personali?

Ma pensiamo anche a processi aziendali semplici o più complessi di marketing “tradizionale” e/o di Social Digital Media Marketing. Se il DPO non conoscerà nel dettaglio anche tali meccanismi, come potrà rendere e mantenere conformi tali processi?

Doverose saranno, quindi, competenze trasversali e multidisciplinari tecnico giuridiche, e non solo da un punto di vista normativo e nel caso processuale. Dovrà anche essere una figura professionale con spiccate capacità relazionali, motivazionali e di leadership, visto il numero dei soggetti e di parti interessate con le quali dovrà rapportarsi sia all’interno della organizzazione Aziendale che con le Istituzioni.

Semplificare, ottimizzare e rendere più efficaci i processi aziendali, generando valore sia per la propria organizzazione che per il cliente (Controller) che potrà avere anche un certo ritorno di investimento e di visibilità: la privacy da costo a valore in termini di ROI (Return ON Investment)

La normativa DPO Privacy in Italia ed in Europa

La Privacy e la Data Protection non hanno avuto l’attenzione necessaria in questi anni; tuttora è considerata un mero e fastidioso adempimento burocratico, e la stessa cultura della Sicurezza ICT è ad oggi ancora poco radicata. Ancora poco diffusa è anche la consapevolezza che parte del CoreBusiness più importante di ogni attività di impresa è riconducile ai propri dati ed a quelli di clienti e fornitori.

Se il nostro legislatore nazionale non renderà più chiari eventuali e ulteriori casi di obbligatorietà sarà difficile per il DPO avere il “giusto ascolto” dal tessuto produttivo e professionale nel quale andrà ad integrarsi. Professione che da subito è stata definita la nuova frontiera della Data Protection per l’Europa, ma sarà altrettanto così anche per l’Italia?

In Austria e in Germania la figura del DPO è stata introdotta nei rispettivi quadri giuridici ed aziendali già da tempo. In Germania è fissato un preciso vincolo di obbligatorietà del DPO: nel caso di 9 incaricati al trattamento digitale dei dati personali e 20 nel caso di trattamento non automatizzato. Poi ci si chiede perché la Germania è la locomotiva d’Europa!!

L’orientamento del nostro Garante Privacy è ben chiaro da diverso tempo, diversi sono i suoi interventi in tal senso, e negli stessi “Provvedimenti in materia di Fascicolo e Dossier Sanitario Elettronico” auspica e raccomanda caldamente alle organizzazioni esercenti le professioni medico-sanitarie, destinatarie di tale provvedimento, di dotarsi sin da subito di una tale figura professionale.

La nomina di un Data Controller “Delegato”, così come la nomina di un DPO, consentono attraverso un “meccanismo di deleghe” il trasferimento di ruoli, attività ed anche in parte relative responsabilità dai vertici apicali verso soggetti che dovrebbero, attraverso un’azione soprattutto collaborativa, adottare e mantenere nel tempo un adeguato modello organizzativo in materia di data protection.

Un’alternativa per le Aziende o Studi Professionali, che “valuteranno di non dotarsi della figura del DPO” tramite il contratto di servizi biennale obbligatorio in base al GDPR2016, può essere la possibilità di attivare un rapporto di consulenza esterna ad-hoc con un valido professionista con competenze similari, ma in assenza di autonomia e indipendenza tutelate dal “contratto di servizi”, difficilmente potrà fornire lo stesso tipo di supporto, autonomia e garanzia. In assenza di un DPO, che possa anche “ri-perimetrare” le responsabilità del Data Controller “Delegato”, quale soggetto interno potrà mai accettare tale ruolo? In questo caso, le relative responsabilità rimarranno sempre totalmente in capo alla Direzione della stessa impresa.

Anche la nomina di un soggetto non idoneo, il primo “malcapitato” all’interno della propria organizzazione (cosa che il GDPR2016 consente come ipotesi ma fortemente sconsigliata L’articolo 35 del Regolamento prescrive che il DPO possa essere un membro del personale http://www.corrierecomunicazioni.it/it-world/35685_sul-data-protection-officer-l-ombra-del-mobbing.htm ) , non sarà assolutamente una valida soluzione. Tale designazione sarà considerata come non adeguata, incorrendo nel rischio di culpa in eligendo, e nel caso, tali responsabilità ricadranno sugli stessi vertici apicali.

L’adozione del nuovo Regolamento UE sarà, pertanto, più impegnativa per le piccole organizzazioni che trattano molti dati c.d. sensibili o giudiziari, quali organizzazioni private nel campo della sanità (cliniche ed ambulatori privati, farmacie,studi di consulenza del lavoro, infortunistiche, studi legali, studi di consulenza fiscale, ecc., piuttosto che per aziende che trattano come unici dati sensibili i dati relativi ai propri dipendenti.
Anzi saranno proprio queste ultime, che dovranno pretendere da Società e Studi di Consulenza esterna che dimostrino adeguate garanzie di Privacy GDPR2016 per il trattamento dei dati di cui sono responsabili.

 

Licenza Creative Commons
Quest’opera è distribuita con Licenza Creative Commons Attribuzione – Non commerciale – Condividi allo stesso modo 4.0 Internazionale.

Advertisements