Il nuovo regolamento europeo (Regolamento Ue 2016/679), meglio conosciuto con l’acronimo inglese GDPR è obbligatoria in tutti i suoi elementi e direttamente applicabile in ciascuno degli Stati membri, con la conseguenza di rendere automaticamente obsolete le normative interne ad essa incompatibili.
Per questo motivo, nel nostro paese, il Garante della Privacy, ha lavorato e sta lavorando, per una ricognizione della compatibilità del nuovo regolamento con il nostro Codice della privacy (d.lgs. 196/2003), che deve ad esso essere adeguato, con il rischio di essere quasi totalmente soppiantano dalle norme sovranazionali.
Il Regolamento riscrive integralmente la disciplina della privacy a livello europeo: i 99 articoli toccano temi come il diritto d’accesso, rettifica e cancellazione (c.d. diritto all’oblio) dei dati personali, nonché la sicurezza degli stessi che va correlata con il diritto alla riservatezza e con il dovere di trasparenza delle autorità competenti.
Il documento è la risposta alla rapidità dell’evoluzione tecnologica e la globalizzazione, che mettono a rischio i dati personali, la cui condivisione e raccolta è aumentata in modo significativo. Rendendo quindi necessaria l’introduzione di regole più solide e coerenti in materia di protezione di tali dati, che abbiano un’efficacia non limitata ad un ristretto ambito territoriale, ma che siano valide in tutti gli Stati Membri dell’Unione.
È necessario che le persone fisiche abbiano il controllo dei dati personali che li riguardano e che la certezza giuridica e operativa sia rafforzata tanto per le persone fisiche quanto per gli operatori economici e le autorità pubbliche.
Per questo, la normativa tende ad assicurare un’applicazione coerente e omogenea delle norme a protezione dei diritti e delle libertà fondamentali delle persone fisiche con riguardo al trattamento dei dati personali in tutta l’Unione.
Il Regolamento lascia comunque un certo margine ai legislatori nazionali, dunque gli Stati membri, dovrebbero rimanere liberi di mantenere o introdurre norme nazionali al fine di specificare ulteriormente l’applicazione delle norme del regolamento.
USA LEGALDESK, IL GESTIONALE PER L’AVVOCATO CHE PROTEGGE I DATI SENSIBILI
DPO: Data Protection Officer
Tra i principali obblighi previsti dal nuovo regolamento europeo sulla privacy c’è quello, per alcune società, di adeguare il proprio organigramma privacy inserendo all’interno dello stesso la figura del DPO, acronimo di Data Protection Officer, ovvero il responsabile della protezione dei dati personali
L’introduzione del DPO non è una novità assoluta nel panorama legislativo europeo. Nonostante mai prima d’ora una legge comunitaria avesse previsto l’obbligatorietà di tale figura professionale, numerosi Stati dell’Unione l’avevano già ufficializzata recependo la direttiva 95/46/CE (si pensi, ad esempio, agli ordinamenti anglosassoni dove sono già presenti da anni il Chief Privacy Officer (CPO), il Privacy Officer e il Data Security Officer).
In Italia, tuttavia, il Codice della Privacy (d.lgs. n. 196/2003) non ha istituito il responsabile della protezione dati, motivo per cui è ora necessario introdurre tale nuova figura professionale seguendo non solo i dettami del Regolamento UE, ma anche considerando il contesto legislativo nazionale.
In relazione alla figura del DPO, esistono molteplici elementi poco chiari, soprattutto in merito all’obbligo di nomina e alle competenze dello stesso.
Ma andiamo con ordine.
LEGGI ANCHE: GDPR: il diritto all’oblio
Data Protection Order: chi è?
Il DPO è una figura professionale con particolari competenze in campo informatico, giuridico, di valutazione del rischio e di analisi dei processi e dotato di conoscenze specialistiche della normativa e delle prassi in materia di protezione dati.
Il compito principale del DPO è l’osservazione, la valutazione e la gestione del trattamento dei dati personali allo scopo di far rispettare le normative europee e nazionali in materia di privacy.
L’articolo 37 del Regolamento non specifica quali debbano essere le qualità professionali necessarie a rivestire la figura del DPO, ma si evince chiaramente che il soggetto prescelto debba possedere comprovata esperienza sulla legislazione relativa alla protezione dei dati personali sia nazionale che europea, oltre che una approfondita conoscenza del Regolamento.
Nel caso di un ente pubblico o di un organismo pubblico, il DPO dovrebbe anche avere una buona conoscenza delle regole e delle procedure dell’organizzazione amministrativa.
Tale figura può essere selezionata tra i dipendenti del titolare del trattamento oppure può essere un libero professionista, esterno e autonomo, ingaggiato in base a un contratto di servizi.
In ogni caso, i dati di contatto del DPO devono essere pubblicati e resi noti agli interessati oltre ad essere comunicati all’autorità di controllo competente.
L’articolo 38 del Regolamento, poi, sancisce che il lavoro del DPO deve svolgersi in assoluta autonomia e indipendenza: nessuno può dargli alcuna istruzione circa l’esecuzione dei suoi compiti e il responsabile della protezione dati non può svolgere altre mansioni o compiti in conflitto di interessi con quelle proprie del DPO.
In ordine al conflitto di interessi, il DPO potrà svolgere altre funzioni ma dovrà avere sufficiente tempo per svolgere i propri compiti e sempre evitando possibili situazioni di conflitto.
Le linee guida specificano, inoltre, che qualora la struttura dimensionale dell’organizzazione lo richieda oltre al DPO singolo, sempre inteso comunque come persona fisica, può essere previsto un DPO Team.
Tale DPO Team può essere interno alla struttura, e occorrerà definire puntualmente in tale caso i singoli compiti e responsabilità individuali dei componenti, senza necessariamente che ciascun componente dello staff del DPO disponga di tutti i requisiti normativi previsti per il ruolo di DPO.
Nel caso di DPO esterno, può essere previsto un DPO coordinatore, da intendersi con quest’ultimo un DPO che coordina l’attività degli altri DPO assistenti, con la particolarità che sebbene tutti debbano rispondere ai requisiti previsti dal regolamento, sarà solo il DPO coordinatore ad essere responsabile ed incaricato dal cliente.
Inoltre, deve essere tempestivamente e adeguatamente coinvolto in tutte le questioni inerenti la protezione dei dati. Nonché sostenuto nell’esecuzione dei suoi compiti dal titolare e dal responsabile del trattamento che gli devono fornire tutte le risorse necessarie sia per svolgere il suo lavoro, sia per permettergli di mantenere aggiornata la sua conoscenza specialistica.
PROVA LEGALDESK, IL GESTIONALE PER IL TUO STUDIO LEGALE
Quali sono in compiti del DPO?
Come detto, la responsabilità principale del Data Protector Order è quella di sovraintendere alla gestione del trattamento di dati personali effettuata dalle aziende, sia pubbliche che private, affinché questi siano trattati nel rispetto delle normative privacy europee e nazionali.
Più nel dettaglio, l’articolo 39 del Regolamento specifica che tale figura deve:
- informare e fornire consulenza al titolare e al responsabile del trattamento in merito agli obblighi derivanti dal Regolamento 679/2016 o dalle altre disposizioni legislative interne o europee in materia di protezione dati.
- sorvegliare l’osservanza del Regolamento da parte del titolare e del responsabile del trattamento in tutte le sue parti, compresi l’attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa al trattamento.
- fornire su richiesta pareri in merito alla valutazione d’impatto e sorvegliarne lo svolgimento.
- cooperare con l’autorità di controllo fungendo, tra le altre cose, da punto di contatto per questioni connesse al trattamento effettuando consultazioni di ogni tipo, con particolare riguardo e attenzione ad un’eventuale attività di consultazione preventiva.
Data protection officer è obbligatorio?
La designazione del DPO, ai sensi dell’art. 37, primo paragrafo, del GDPR, è obbligatoria in tre ipotesi.
- Se il trattamento di dati personali è effettuato da un’autorità pubblica o da un organismo pubblico (ad eccetto delle autorità giurisdizionali nell’esercizio delle loro funzioni).
- Quando le attività principali dell’organizzazione consistono in trattamenti che richiedono il monitoraggio regolare e sistematico degli interessati su larga scala.
- Quando le attività principali dell’organizzazione consistono nel trattamento su larga scala di dati sensibili o relativi a condanne penali e reati.
In tutti gli altri casi è facoltà dei titolari e responsabili del trattamento, nonché di loro associazioni o altri organismi che li rappresentano, designare il responsabile della protezione dati che può agire per dette associazioni e organismi.
LEGGI ANCHE: Protezione dati e avvocati: come difendere il segreto professionale
Dubbi interpretativi
La terminologia utilizzata nel regolamento, lascia non pochi dubbi interpretativi: pertanto, importanti indicazioni sui generici e indeterminati termini e criteri utilizzati nel GDPR sono state fornite dal Gruppo di Lavoro articolo 29 in materia di protezione dei dati personali (di seguito, WP29), nelle «Linee Guida sui responsabili della protezione dei dati (RPD)», che lasciano comunque aperte alcune lacune.
Il Regolamento non definisce cosa costituisce “autorità pubblica” o “organismo pubblico”.
Tale definizione, secondo il WP29, deve essere determinata in base al diritto nazionale.
Di conseguenza, la nozione ricomprende non solo autorità nazionali, regionali e locali ma anche, tutti gli enti gestiti secondo la normativa di diritto pubblico.
In ambito privato, l’articolo 37 del Regolamento europeo prevede, come detto, l’obbligo di designare il DPO “quando le attività principali del titolare e del responsabile richiedono su larga scala un monitoraggio regolare e sistematico”.
Attività principali (“core activities”): nel settore privato, le “attività principali” di un’impresa riguardano le sue “attività primarie” e non comprendono i casi in cui il “trattamento dei dati personali” è solo un’“attività accessoria”.
Con attività principali si possono, quindi, intendere le operazioni essenziali necessarie al raggiungimento degli obiettivi perseguiti dall’azienda.
Il Wp29 precisa che, tuttavia, l’espressione “attività principali” non va interpretata nel senso di escludere quei casi in cui il trattamento di dati, pur non costituendo attività principale, costituisce comunque una componente inscindibile dalle attività svolte.
Ad esempio, l’attività principale di un ospedale è quella di prestare di assistenza sanitaria, ma non sarebbe possibile svolgerla nel rispetto della sicurezza e in modo efficace senza trattare dati relativi alla salute, come quelli contenuti nella cartella sanitaria di un paziente.
Ne deriva che il trattamento di tali informazioni deve essere annoverato fra le attività principali di qualsiasi ospedale.
Monitoraggio regolare e sistematico degli interessati: tale non è definito all’interno del GDPR, si ritiene debbano farsi rientrare tutte le forme di tracciamento e profilazione su Internet, anche se, precisa il WP29, il tracciamento online va considerato solo uno dei possibili esempi di monitoraggio del comportamento degli interessati.
Larga scala: nel Regolamento non si rinviene nemmeno una definizione di trattamento “su larga scala”.
Secondo l’interpretazione fornita dal WP29, devono intendersi su larga scala qui trattamenti “di una notevole quantità di dati personali a livello regionale, nazionale o sovranazionale e che potrebbero incidere su un vasto numero di interessati e che potenzialmente presentano un rischio elevato” e precisando che, d’altra parte, “non dovrebbe essere considerato un trattamento su larga scala il trattamento di dati personali di pazienti o clienti da parte di un singolo medico, operatore sanitario o avvocato” .
Purtroppo, i dubbi interpretativi permangono con il rischio di comportare incertezze sul piano giuridico e quindi sul mercato.
L’auspicio è che la consultazione pubblica spinga verso maggiori precisazioni, e che, quantomeno il Garante italiano provveda a fornire qualche ulteriore indicazione e criterio interpretativo, per una migliore applicazione della normativa.