Blog Ticosoci

GDPR – PRIVACY 2019: una nuova era di formalismi inutili oppure una rivoluzione della cultura della sicurezza dei dati personali?

22 Marzo 2019
Avv. Marco Vianello  

Come noto, il 25 maggio 2018 è divenuto efficace il nuovo GDPR (Regolamento UE 2016/679), la normativa che a livello di Unione europea ha riformato le regole della privacy.

Dal 19 settembre 2018 è quasi totalmente in vigore il DECRETO LEGISLATIVO 10 agosto 2018, n. 101, una sorta di adattamento della normativa italiana al GDPR, con alcune precisazioni, abrogazioni e un generale coordinamento con il precedente – e in larga parte ancora in vigore – codice privacy (decreto legislativo 30 giugno 2003, n. 196).

Molti titolari del trattamento si sono adeguati, rinnovando gli adempimenti formali, molti esperti sono sorti dal nulla, anche riciclandosi dalle professioni che storicamente mai avevano avuto a che fare né con le questioni giuridiche né con gli aspetti tecnico-informatici di sicurezza informatica propri della privacy. Il che non è necessariamente negativo né sintomo di incompetenza, ma potrebbe, invece, significare attenzione al tema da parte di tutti e, quindi, generale sensibilizzazione.

Alcuni, seguendo taluni tra i moltissimi corsi, possono anche fregiarsi del titolo di “data protection officer certificato”.

L’aspetto più importante per le aziende, che desiderino affrontare seriamente l’argomento, rimane l’impegno nel campo del training, non solo come momento di somministrazione della formazione, ma soprattutto investimento in termini di cultura della privacy.

Come si può fare?

Anzitutto è importante effettuare un’analisi della situazione, senza necessariamente buttar via ciò che è stato, ma anzi valorizzando ciò che è utile e conforme alla normativa attuale.

Un custode delle password che funzionava rimarrà custode delle password, il precedente incaricato del trattamento cambierà solo nome e diverrà autorizzato al trattamento, purché i compiti vengano aggiornati (non stravolti), se necessario, per renderli attualmente validi.

Il consulente GDPR del 2019 che si occuperà di accompagnarVi nel percorso di adeguamento, tramite un “vestito su misura” per la Vostra realtà pretenderà di effettuare un’analisi delle risorse, pretenderà di avere con Voi un colloquio, prima con un responsabile a conoscenza di tutta la struttura (ed eventuali realtà partecipate, affilate, collegate) e subito dopo con i responsabili della sicurezza e i responsabili IT.

Va preteso un preventivo chiaro, che tenga conto non solo della documentazione esibita, delle struttura societaria esistente e dell’organizzazione aziendale, ma anche degli adempimenti privacy pregressi, compreso il livello di sensibilizzazione esistente, anche a livello di formazione degli addetti.

ÐÑÐÑÐÑÐÑÐÑÐÑÐÑÐÑÐÑ

Una breve check-list di elementi da mettere subito a disposizione:

  • Elenco struttura organizzativa privacy (responsabili, incaricati, amministratore di sistema, custode delle psw, ecc. - numero addetti per ciascuna figura e settori ove sono impiegati, ambiti aziendali individuabili da organigramma/funzionigramma -)
  • Organigramma/funzionigramma aziendale ove siano individuabili i soggetti di cui sopra
  • Informazioni figura di riferimento nell’organizzazione della gestione dei dati (operativo, es. responsabile sistemi informativi)
  • Incarichi (modello incarico utilizzato per ciascuna figura privacy)
  • Informative utilizzate e consensi con indicazione dei diversi utilizzi (dipendenti, collaboratori, fornitori, ecc.)
  • Delibere e/o statuti e/o procure dai quali risultino le responsabilità privacy e dotazioni di ciascuno
  • Elenco modalità trattamento e residenza dati (profilazioni, archivi informatici, cartacei, server interno, cloud computing, trasferimento in Paesi terzi) ed eventuali dati interconnessi con soggetti terzi (affiliati, clienti, fornitori, ecc.)
  • Ultimo DPS redatto
  • Eventuali modelli (qualità, 231/2001, HACCP, ecc.)
  • Procedure di emergenza attualmente approntate (cd. data breach)
  • Eventuale adesione a codici di condotta di categoria
  • Coperture assicurative (e/o riserve) per eventi relativi o connessi alla sicurezza dei dati personali

L’attività da svolgere per approntare gli adeguamenti sarà sempre del titolare, tramite suoi delegati, secondo i suggerimenti del consulente, grazie a un lavoro in progressione che crei consapevolezza e condivisione.  

Un suggerimento particolare merita la nomina del DPO (data protection officer - Responsabile della protezione dei dati, art. 37 e seguenti del regolamento).

E’ obbligatoria per “trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala” oppure quando avvengono trattamenti, su larga scala, di categorie particolari di “dati personali che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, nonché trattare dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona” o ancora trattamenti relativi alle “condanne penali e ai reati”.

 “Il responsabile della protezione dei dati è designato in funzione delle qualità professionali, in particolare della conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati, e della capacità di assolvere i compiti di cui all’articolo 39”, “Il titolare del trattamento o il responsabile del trattamento pubblica i dati di contatto del responsabile della protezione dei dati e li comunica all’autorità di controllo”, ma quel che risulta più delicato è l’aspetto seguente: “Il titolare del trattamento e il responsabile del trattamento si assicurano che il responsabile della protezione dei dati non riceva alcuna istruzione per quanto riguarda l’esecuzione di tali compiti. Il responsabile della protezione dei dati non è rimosso o penalizzato dal titolare del trattamento o dal responsabile del trattamento per l’adempimento dei propri compiti. Il responsabile della protezione dei dati riferisce direttamente al vertice gerarchico del titolare del trattamento o del responsabile del trattamento”.

In due parole: competenza e indipendenza.

Se io dovessi nominare un DPO o consigliare un DPO segnalerei:

  1. un professionista (in senso stretto, cioè un soggetto iscritto a un albo professionale – art. 2229 cod. civ. -)
  2. che si è occupato e si occupa professionalmente di questioni privacy
  3. che sia sufficientemente collocato in prossimità rispetto alle sedi del committente (“sia facilmente raggiungibile” e anche si riesca facilmente a raggiungere)
  4. garantisca una buona e costante collaborazione con i consulenti privacy e della sicurezza, al fine di consentire di essere “tempestivamente e adeguatamente coinvolto in tutte le questioni riguardanti la protezione dei dati personali”.

Diffiderei in prima battuta dalle nomine interne per risparmiare o da chi promette di raggiungere Bari da Aosta, sventolando certificazioni fornite da soggetti sconosciuti.

Opterei piuttosto, in caso di gruppi imprenditoriali, per un DPO esterno con le qualità di cui sopra, magari affiancato per alcune aziende (per esempio partecipate, di minori dimensioni oppure meno prossime geograficamente) da un DPO interno (pure competente), il quale, lavorando assieme, nel tempo può essere fatto crescere professionalmente.

Ultima notazione circa il registro del trattamento.

Non è obbligatorio per “imprese o organizzazioni con meno di 250 dipendenti, a meno che il trattamento che esse effettuano possa presentare un rischio per i diritti e le libertà dell’interessato, il trattamento non sia occasionale o includa il trattamento di categorie particolari di dati”, cioè dati personali che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, nonché dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona o ancora trattamenti relativi alle condanne penali e ai reati.

ÐÑÐÑÐÑÐÑÐÑÐÑÐÑÐÑÐÑ

Chi scrive è sempre stato un fautore della conservazione dell’ex documento programmatico della sicurezza aggiornato anche dopo la sua abolizione, per cui non può che esprimere accordo quando il Garante ha suggerito caldamente di redigere detto documento anche da parte di chi non rientri negli obblighi normativi.

Il vecchio DPS può costituire un ottimo spunto di partenza, per l’analisi dei rischi, per l’inventario delle risorse, per la ricognizione periodica delle misure adottate e da adottare per affinare le tecniche di protezione. Naturalmente con gli adeguamenti stabiliti dal GDPR.

Ad adeguamento avvenuto il titolare potrebbe ritenere utile farsi affiancare da un consulente, meglio se diverso da chi ha aiutato ad approntare gli adeguamenti.

Il consulente in questa fase potrebbe proporre consulenza e assistenza, affiancando il responsabile interno negli adempimenti, anche ai fini di aggiornamento, oppure in caso di eventi straordinari (es. data breach).

Detta attività dovrebbe per esempio include a titolo esemplificativo:

- possibilità di consulenze (telefoniche e/o per email);

- accessi presso la sede indicativamente a tal fine;

- segnalazioni di novità normative che richiedano adeguamenti e/o incombenti;

- assistenza e consulenza per gli adempimenti straordinari o di adeguamento sopraggiunto;

- eventuale tenuta di rapporti a distanza con il Garante privacy italiano nell’interesse della società, nonché con il professionista che ha curato e cura per conto del titolare l’adeguamento GDPR e con gli altri soggetti apicali dell’organigramma privacy.

Potrebbe comprendere, inoltre, un programma di formazione del personale amministrativo su questi temi.

In sostanza un lavoro di squadra che contempli sensibilizzazione, responsabilizzazione, formazione, organizzazione e, non ultimo, coordinamento con le altre figure e gli altri sistemi di gestione: RSPP, sistemi HACCP, D. Lgs. 231/2001, qualità ISO 9001 e/o altri.

Venezia – Treviso, 22 marzo 2019

                                                                                              
Da Marco Vianello
Avvocato in Venezia e Treviso
marcovianello@ticosoci.it
www.ticosoci.it