Data protection officer, si chiariscono le novità del Regolamento privacy europeo
Si comincia a mettere a fuoco l’impatto pratico delle novità incluse nel Regolamento Europeo 679/2016. In particolare il ruolo dei Codici di Condotta e del Dpo, che avrà un ruolo fondamentale in questa rivoluzione privacy per aziende pubbliche e private
Il Regolamento inserisce quattro elementi fondamentali nel panorama giuridico: una maggiore proattività e prevenzione, la responsabilizzazione dei soggetti coinvolti nei trattamenti, importanti nuovi diritti come il diritto all’oblio e il diritto alla portabilità dei dati e regole uniformi in tutta l’Unione Europea. Questi quattro pilastri sono evidentemente essenziali ma rappresentano contemporaneamente una possibile debolezza. In un contesto italiano caratterizzato da un numero elevatissimo di piccole e piccolissime dove le aziende con più di 250 addetti rappresentano lo 0.1% delle imprese italiane, è difficile ritenere che il GDPR possa penetrare al punto da rendere effettiva la “proattività” e la “prevenzione” auspicata dall’Autorità garante della Privacy al convegno.
È vero invece che solo una nuova prospettiva di approccio alle piccolissime, piccole e medie imprese e ai professionisti potrà cambiare la prospettiva e tale nuovo approccio dovrebbe passare, sulla base del GDPR, dai Codici di Condotta. In particolare, essendo previsto che gli Stati membri e le autorità di controllo devono incoraggiare l’elaborazione di codici di condotta destinati a contribuire alla corretta applicazione del regolamento in funzione delle specificità dei vari settori di trattamento e delle esigenze specifiche delle micro, piccole e medie imprese, possono essere elaborati codici di condotta allo scopo di precisare l’applicazione del GDPR.
Lo scopo dei Codici di Condotta è quello di coinvolgere gli organismi istituzionali, aumentare la consapevolezza del problema e soprattutto raggiungere, tipicamente tramite le Associazioni, settori specifici di impresa in genere a margine dei percorsi di compliance normativa.
Tra l’altro, l’adesione ai Codici di Condotta o ai meccanismi di certificazione previsti dal GDPR può essere utilizzata come elemento per dimostrare il rispetto degli obblighi del titolare del trattamento con indubbio vantaggio visti i massimali sanzionatori fissati dal GDPR.
In particolare, la figura del DPO (Data protection officer) è essenziale e può servire a garantire ad aziende e pubbliche amministrazioni una costanza nell’applicazione normativa che, allo stato, non può più in alcun caso essere episodica.
Poiché il GDPR rappresenta una evoluzione normativa importante sia perché muta radicalmente la prospettiva dell’adeguamento normativo sia perché rappresenta uno stimolo fortissimo all’evoluzione tecnologica e digitale sicura avendo fra i suoi capisaldi la privacy by design e la responsabilità solidale dei soggetti esterni ai titolari che per conto delle aziende e delle pubbliche amministrazioni effettuano operazioni di trattamento, occorre approcciare nuovi servizi o prodotti che prevedono il trattamento di dati personali ragionando sulla privacy e la sicurezza fin dalla progettazione. Sotto questo profilo la nuova normativa sarà anche uno stimolo per i fornitori di servizi in outsourcing o di cloud computing a offrirsi al mercato con modalità che permettano un aumento del “trust” da parte dei clienti.
In questo contesto, la figura del DPO appare centrale perché per compiti attribuiti e posizione gerarchica potrebbe diventare determinante nell’imporre alle imprese e alle pubbliche amministrazioni la giusta attenzione sul tema della privacy e della sicurezza.
Recentemente il gruppo di lavoro Article 29 Data Protection Working Party ha emanato tre linee guida, fra cui una sul DPO, in cui si legge che sarà dovuta la sua nomina oltre che agli enti pubblici alle aziende private che effettuano trattamenti sul larga scala (come le banche e le assicurazioni) dove per valutare la sussistenza di trattamenti su “larga scala” occorre considerare una serie di elementi quali il numero di soggetti interessati al trattamento, il volume di dati, la durata delle operazioni di trattamento, oltre che l’estensione geografica di quest’ultime. Costituiscono dunque trattamenti su larga scala, ad esempio, quelli effettuati da un ospedale con riferimento ai dati dei pazienti, o quelli relativi ai dati di viaggio dei soggetti che utilizzano mezzi di trasporto pubblici.
Poiché fra i compiti previsti dal GDPR in capo al DPO ci sono anche quelli di informare e fornire consulenza al titolare del trattamento o al responsabile del trattamento nonché ai dipendenti che eseguono il trattamento in merito agli obblighi derivanti dalla legge e di sorvegliare l’osservanza della legge e delle politiche del titolare del trattamento o del responsabile del trattamento in materia di protezione dei dati personali, compresi l’attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo, è evidente che il DPO deve esser coinvolto in tutte le scelte aziendali che riguardano il trattamento dei dati e la sicurezza. Non per niente, il GDPR stabilisce che il DPO debba essere tempestivamente e adeguatamente coinvolto in tutte le questioni riguardanti la protezione dei dati personali, sia sostenuto nell’esecuzione dei suoi compiti fornendogli le risorse necessarie per assolvere tali compiti e accedere ai dati personali e ai trattamenti e per mantenere la propria conoscenza specialistica e debba riferire direttamente al vertice gerarchico.
In pratica, al DPO deve essere garantita autonomia e indipendenza per permetterne una azione priva di indebite ingerenze.
Insomma, il GDPR introduce fra le altre novità un ruolo e uno strumento che possono diventare centrarli in un percorso virtuoso di compliance e in questa direzione è bene interpretare e applicare la nuova normativa.