Quali sono le AREE su cui INTERVENIRE per il GDPR

Quali sono i CONCETTI CHIAVE del GDPR da tenere a mente

SOGGETTI del trattamento nel nuovo GDPR:

  • INTERESSATO al Trattamento: la persona fisica oggetto del trattamento dati
  • TITOLARE del Trattamento: la persona fisica o giuridica (azienda/ente) titolare del trattamento
  • RESPONSABILE del Trattamento: la persona fisica o giuridica  responsabile di un determinato trattamento. Può essere anche esterno mediante nomina (es. dati in Hosting, provider di posta, servizio paghe..) o interno (es. resp. reparto/processo interno o lo stesso Titolare del Trattamento)
  • DPO (Data Protection Officer) o RPD (Responsabile Protezione Dati) o Privacy Officer: è la nuova figuraintrodotta nel 2016 dal GDPR. La sua responsabilità principale è quella di osservare, valutare e organizzare la gestione del trattamento di dati personali (e dunque la loro protezione) all’interno di un’azienda (sia essa pubblica che privata), affinché questi siano trattati nel rispetto delle normative privacy europee e nazionali.

 

Entrambi, Titolare e Responsabile, rispondono legalmente.

Possono essere nominati anche più responsabili del trattamento.

Il Principio di “ACCOUNTABILITY” nel GDPR

Come già detto in apertura, il GDPR pone l’accento sui concetti di “Responsabilizzazione” (Accountability) e di “Misure Adeguate” in quanto, il Titolare del Trattamento deve garantire ed essere sempre in grado di dimostrare di rispettare i princìpi del Regolamento nonché, di aver messo in atto le misure ritenute idonee dal Titolare stesso

Anche se nel GDPR sparisce il concetto di “Misure Minime”, presente nel D.lgs 196/2003, si può comunque prevedere un insieme minimo di azioni per soddisfare le esigenze di Accountability il cui nucleo potrebbe essere così composto:

  • Assessment: valutazione iniziale legale e informatica
  • Registro dei Trattamenti: non obbligatorio fino a 250 dipendenti ma, “caldamente consigliato”
  • Funzionigramma privacy: definizione Ruoli e Compiti
  • Risk Assessment: valutazione del rischio sul dati da trattare
  • Privacy Impact Assessment: distinte valutazioni sull’impatto privacy relative a particolari processi, servizi, prodotti, sistemi che il Titolare può adottare, installare o fornire (ad es: installazione di impianti di videosorveglianza o di gps; organizzazione di campagne marketing; ecc.)
  • Documentazione: Informative, consensi e nomine
    Formazione: adeguata istruzione a chi dovrà trattare i dati
  • Gestione: mediante audit periodici di controllo

 

Il GDPR introduce un NUOVO RUOLO: il DPO

gdpr-dpo-responsabile-privacy

Il GDPR prevede l’inserimento di un nuovo ruolo nell’organigramma: il Responsabile della Protezione Dati o DPO (Data Protection Officer) detto anche Responsabile dellaSicurezza (Privacy Officer).

CHI è il DPO

Il DPO è una nuova figura specialistica, con cognizioni tecnicheinformatiche e giuridiche.

Viene nominato dal Titolare del Trattamento e, il suo compito, è quello di supportare il Titolare nell’applicazione delle procedure che riguardano il nuovo regolamento fungendo anche da interfaccia fra le Autorità di Controllo e i diretti interessati.

COMPITI del DPO

  • Informare e fornire consulenza al titolare del trattamento nonché ai dipendenti;
  • Sorvegliare l’osservanza del Regolamento GDPR
  • Fornire, se richiesto, un parere in merito alla valutazione d’impatto sulla protezione dei dati;
  • Cooperare con l‘Autorità di controllo (il Garante Privacy);
  • Fungere da punto di contatto per l‘Autorità di controllo per questioni connesse al trattamento;

QUANDO devo nominare un DPO

La designazione del DPO è obbligatoria per tutti gli enti pubblici mentre, per le aziende private solo per le seguenti tipologie di trattamenti:

  • effettuati su larga scala e sistematici (Es. Marketing, Profilazione..etc)
  • comandati da una Pubblica Autorità
  • che riguardano particolari categorie di dati sensibili

Anche se la nomina del DPO è, nella maggior parte dei casi facoltativa, se ne consiglia comunque l’introduzione, per agevolare l’inserimento, il monitoraggio e la corretta applicazione delle procedure nonché, per gestire ed aggiornare tutta la documentazione necessaria.

Inoltre il DPO assume un ruolo fondamentale, in caso di violazione dei dati (Data Breach), come interfaccia con le Autorità di Controllo.

INQUADRAMENTO del DPO

 Il Responsabile della Protezione dei Dati può essere:

  • un dipendente del titolare del trattamento o del responsabile del trattamento oppure assolvere i suoi compiti in base a un contratto di servizi

 

DPO e altri Ruoli Manageriali: possibile “Conflitto d’interesse”?

La materia, che sicuramente richiede anche competenze tecnico/sistemistiche, sta generando il dubbio in molte aziende sul fatto di delegare o meno il ruolo del DPO ad altri Ruoli Manageriali interni come ad es. il Responsabile IT o il Direttore Marketing, o a partner informatici esterni qualora non esistano questi ruoli all’interno.

È chiaro che il Responsabile CIO/Marketing o il Partner IT avrebbero un compito determinante nel supportare la privacy, vista la profonda conoscenza dell’infrastruttura dell’azienda, motivo per cui sono da considerare  figure chiave all’interno di un progetto Privacy.

È opinione condivisa però che, nel caso del doppio ruolo, il Resp.IT/DPO si troverebbe a svolgere contemporaneamente il ruolo di controllore e controllato, generando quindi un possibile conflitto d’interesse.

A tal proposito il “Gruppo di Lavoro Art.29″ del Garante Privacy precisa nelle linee guida sul DPO che:

“…A grandi linee, possono sussistere situazioni di conflitto all’interno dell’organizzazione con riguardo a ruoli manageriali di vertice (amministratore delegato, responsabile operativo, responsabile finanziario, responsabile sanitario, direzione marketing, direzione risorse umane, responsabile IT), ma anche rispetto a posizioni gerarchicamente inferiori se queste ultime comportano la determinazione di finalità o mezzi del trattamento…”

Un Progetto Privacy, per essere serio e sostenibile, deve essere condiviso in primis dai vertici aziendali per essere esteso, progressivamente, a tutti gli stakeholder e reparti che, in qualche modo, hanno a che fare con quei processi che trattano dati personali (Es. paghe, marketing, commerciale, amministrazione, Risorse Umane HR etc.).