GDPR, manca poco. Il DPO? Ancora nella “nebbia”

A poco più di tre mesi dalla piena applicabilità del GDPR (Regolamento Europeo per la Protezione Dati Personali, UE 2016/679) in tutti gli stati dell’unione, permangono ancora molte “zone d’ombra” interpretative sulla nuova normativa, nonostante gli sforzi profusi, a livello nazionale e internazionale, dalle diverse Autorità Garanti per far conoscere e comprendere questa nuova (anche se non del tutto) e delicatissima materia, cercando così di spostare l’indicatore da “preoccupazione/terrore” a “consapevolezza/opportunità”.

Come ormai abbiamo imparato a ricordare, dal 25 maggio 2018 il Regolamento Europeo diverrà pienamente applicabile sul territorio nazionale, e, a partire da questa data, i suoi effetti, con nuovi obblighi e nuovi diritti, ricadranno in capo a enti, aziende, Pubbliche Amministrazioni e soggetti privati con quanto ne conseguirà.

Chiariamo: chi confida in una qualche deroga o proroga (secondo le più nobili italiche tradizioni) dovrà, ricredersi e arrendersi all’evidenza!

Per questo, in numerose occasioni e eventi pubblici, l’Autorità Garante per la Protezione Dati Personali ha ribadito e, al tempo stesso, spronato i convenuti a che la data del 25 maggio 2018 venisse vista più come un TRAGUARDO che non, come in molte realtà italiane è ancor oggi considerata, un PUNTO DI PARTENZA.

Questo perché, è innegabile che i processi di analisi e adeguamento alla nuova normativa, la definizione di procedure (spesso da riscrivere ex-novo) che percorrano la strada verso l’essere conformi (compliance) alla nuova normativa, siano percorsi lunghi, complessi e, a volte, disseminati di “trabocchetti” che richiedono lassi temporali consistenti.

Come, a tal proposito, non ricordare in tema di nuovi obblighi due concetti che ormai la fanno da padrona sul web e negli incontri sul tema: la privacy by design & privacy by default (art. 35 GDPR).

Vediamoli in breve: la protezione dei dati deve essere considerata come elemento indispensabile fin dalla progettazione di un sistema, nonché considerata come impostazione predefinita dei trattamenti effettuati; per questo, il legislatore precisa che il titolare del trattamento debba mettere in campo misure tecnico- organizzative adeguate (es. minimizzazione, pseudonomizzazione) a garantire i diritti degli interessati nonché impone tipologia, quantità, tempistiche in merito ai dati da trattare sulla base delle varie finalità, indicando al tempo stesso come i dati stessi debbano essere resi accessibili esclusivamente a un numero ristretto di soggetti autorizzati. Si può facilmente comprendere quanto, questi due “obblighi” possano impattare pesantemente sull’organizzazione, sui processi, sui sistemi informativi, sulla “vita” di un’azienda, di una PA o di un’organizzazione in genere.

Altra novità (quantomeno per il nostro paese) prevista, è quella inerente la nuova figura (a volte obbligatoria, a volte consigliata),  del DPO (Data Protection Officer) o RPD (Responsabile Protezione Dati) di cui agli artt. 37, 38, 39, figura intorno la quale, per la verità, la già citata “nebbia” persiste a vario titolo.

Procedendo per gradi sul DPO/RPD, troviamo all’interno della Sezione 4 del Regolamento, all’art. 37, indicato il Responsabile della protezione dei dati – designazione; in questo articolo vengono indicati una serie di “soggetti” per i quali nominare l’RPD sarà OBBLIGATORIO [“…  autorità o organismi pubblici – eccezion fatta per quelle giurisdizionali per l’esercizio delle proprie funzioni, chi effettua monitoraggio sistemico e regolare degli interessati su larga scala (ancora ben lontana dall’essere “quantificata”), chi tratta su larga scala particolari categorie di dati (di cui all’art. 9) o dati relativi a condanne penali e reati (art . 10)…]

Va chiarito che, in tutti gli altri casi, l’eventuale nomina di un DPO/RPD può essere comunque effettuata su base volontaria, considerato anche che tale decisione può, in caso di verifica, essere considerata come azione positiva in un percorso di adeguamento alla normativa.

NB: Nel caso si proceda alla nomina su base volontaria ricadono in capo al Titolare del Trattamento e al DPO/RPD  obblighi e diritti identici a quelli prefissati per la nomina obbligatoria.

Al comma 5 dell’Art. 37 vengono riportati dal legislatore europeo “i requisiti base” cui far riferimento per la scelta/designazione del RPD: “…è designato in funzione delle qualità professionali, in particolare della conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati, e delle capacità di assolvere i compiti di cui all’art. 39”.

Sul Comma 5 la discussione è tuttora accesa. Non esistendo, infatti, ad oggi, un preciso decalogo/vademecum delle caratteristiche che un curriculum di un futuro DPO/RPD dovrebbe contenere per poter adempiere al meglio all’incarico, ha ritenuto di intervenire anche il Gruppo di Lavoro art. 29 per la protezione dei Dati che ha rilasciato le “linee guida sui responsabili della protezione dei dati” proprio per cercare di dare una comune linea di interpretazione e “regolamentare” in qualche modo le numerose ( e a tratti fantasiose) definizioni in merito.

In ultimo, nel mese di Dicembre 2017 anche l’Autorità garante nazionale ha rilasciato un documento chiarificatore titolato “nuove faq sul responsabile della Protezione dei dati (RPD) in ambito pubblico” in aggiunta a quello del citato WP29.

Da un’attenta lettura dei tre articoli appare abbastanza improbabile (seppur questa sia una possibilità contemplata) che l’incarico di DPO/RPD potrà essere ricoperto da un soggetto singolo sia in ragione dell’ampiezza delle conoscenze che questa figura dovrà possedere per poter al meglio svolgere questo incarico, sia in base alla valutazione della “dimensione” dell’organizzazione di cui si dovrà occupare (dimensione nel senso più ampio possibile ossia sia riguardo la collocazione/distribuzione geografica sul territorio), sia per la mole/tipologia di dati trattati, sia sulle tecnologie utilizzate ecc.

Per citarne alcune:

  • Conoscenza approfondita del Regolamento Europeo UE 2016/679;
  • Conoscenza approfondita della materia e normativa specifica (privacy e data protection) sia nazionale che degli altri paesi dell’unione;
  • Conoscenze giuridiche;
  • Conoscenze tecnico informatiche in ambito sicurezza informatica;
  • Conoscenze legate alle dinamiche del settore economico ove opera l’organizzazione per la quale si andrà a ricoprire l’incarico di RPD;
  • Conoscenza delle procedure e norme amministrative di riferimento, in caso di nomina da parte di un’autorità pubblica.

In aggiunta ai punti precedenti: formazione e aggiornamento specialistica continua (anche tramite il conseguimento di certificazioni volontarie rilasciate da enti esterni accreditati che comprovino le conoscenze acquisite), qualità morali e di condotta elevate nonché la capacità di assolvere al proprio compito senza subire pressioni o ingerenze( per questo ultimo punto fondamentale è la collocazione del DPO/RPD all’interno dell’organigramma aziendale – se interno all’organizzazione ).

Sulla questione certificazioni, doverosa è la precisazione fatta dall’Autorità nazionale che ribadisce che al momento non esiste alcuno schema di certificazione (rientranti nella disciplina dell’art. 42 del regolamento) che “abilitino” un soggetto allo svolgimento del ruolo di DPO/RPD.

Altro nodo da sciogliere in merito alla figura del RPD riguarda il/i titolo/i di studio che questo professionista deve detenere. In alcun articolo o linea guida ad oggi pubblicata vi è una chiara indicazione in merito all’obbligatorietà di possedere l’uno o l’altro titolo di studio (diploma, laurea, certificazioni varie). Il riferimento chiaro, che viene più volte fatto, riguarda conoscenze, esperienze e capacità che il soggetto individuato deve detenere, con la precisazione che, titoli rilasciati da enti riconosciuti/accreditati, possono essere un utile strumento per la valutazione della preparazione e delle conoscenze possedute dal/dai candidati da tenere in debita considerazione al momento della selezione.

Nel caso in cui, si decida di nominare una persona giuridica/società di servizi in maniera da poter attingere alle professionalità di un team multidisciplinare, le caratteristiche citate dovranno essere in possesso di ciascuno dei membri del team e, in ogni caso, andrà nominato un membro (persona fisica) come referente che deve adempiere a quanto previsto dall’art. 39 c. d) ed e).

Ancora una precisazione, nel caso di nomina a personale interno all’organizzazione: particolare attenzione a quanto indicato all’art. 38 c. 6 riguardo ulteriori incarichi ricoperti all’interno dell’organizzazione che possano dare atto a conflitti di interessi esponendo l’organizzazione all’aspetto sanzionatorio previsto.

Il rapporto fra Ente/Azienda e DPO/RPD deve essere oggetto di un’attenta disamina, in quanto vanno chiaramente indicati i rispettivi diritti e obblighi; il Titolare del Trattamento deve, infatti, mettere a disposizione del DPO/RPD risorse tali (in termini finanziari e di collaboratori) tali da consentire di adempiere nel miglior modo all’incarico, non deve penalizzare o rimuovere il DPO/RPD a seguito dello svolgimento del proprio incarico, deve garantire un rapporto diretto con il vertice aziendale.

In merito alle responsabilità, si precisa che in caso di mancata nomina l’Ente/azienda rischia una sanzione pecuniaria amministrativa fino a 20 milioni di Euro o, se del caso, fino al 4% del fatturato totale annuo mondiale e che, in caso di ulteriori violazioni, la responsabilità ricade sempre e comunque in capo al Titolare del Trattamento, che potrà, nel caso di DPO/RPD esterno, rivalersi per eventuale inadempimento contrattuale e risarcimento del danno in base a quanto prescritto dal Codice Civile sul DPO/RPD.

BIBLIOGRAFIA/SITOGRAFIA

A cura di: Leonardo Scalera

tratto da: ictsecuritymagazine.com