GDPR: cosa è importante sapere

In conseguenza del dinamico e costante progresso tecnologico che ha caratterizzato gli ultimi decenni, il concetto di privacy è stato considerevolmente ampliato. Esso si è evoluto e, dal rappresentare il mero diritto di proteggere la propria sfera privata, attualmente comprende anche il diritto di controllare l’uso e la circolazione dei propri dati personali.  Di pari passo all’ampliamento di tale concetto, si è verificato un aumento della rilevanza di tale diritto, che oggi rientra tra quelli fondamentali riconosciuti alla persona e tanto da ricevere una tutela costituzionale.

Il Regolamento UE 2016/679 (GDPR, General Data Protection Regulation) si inserisce in questo processo di innovazione e cambiamento: entrato in vigore il 24 maggio 2016, esso troverà piena applicazione a partire dal 25 maggio 2018. Il lasso temporale di due anni è stato ritenuto necessario per consentire agli operatori del settore, alle aziende ed a tutti i soggetti direttamente o indirettamente coinvolti dallo stesso, di adattarsi a tutte le novità previste.

Di privacy si parla molto e per farlo bene è necessario utilizzare termini appropriati. A tal fine abbiamo deciso di evidenziare alcune parole chiave ed abbiamo tentanto di spiegarne il concetto che esprimono in modo semplice e concentrato.

Cos’è un DATO PERSONALE?

Ai sensi dell’art. 4 Reg. UE 2016/679, per dato personale deve intendersi qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»);

Si considera identificabile la persona fisica che può essere determinata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale.

Cosa s’intende per TRATTAMENTO dei dati?

Il trattamento può sostanziarsi in una singola ovvero in un complesso di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione;

Chi è il TITOLARE DEL TRATTAMENTO?

Il titolare è il centro d’imputazione giuridica del trattamento dei dati personali ed è definito dall’art. 4 comma 1 n.7 come “la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali; quando le finalità e i mezzi di tale trattamento sono determinati dal diritto dell’Unione o degli Stati membri, il titolare del trattamento o i criteri specifici applicabili alla sua designazione possono essere stabiliti dal diritto dell’Unione o degli Stati membri”. Il titolare è il soggetto che decide in maniera autonoma le modalità e le finalità del trattamento ed è colui in capo al quale sorgono gli obblighi ed i doveri connessi alla tutela dei dati personali. In particolare, egli è il soggetto deputato ad adottare, nonché a dimostrare di aver adottato, tutte le misure tecniche ed organizzative idonee ad assicurare che il trattamento sia conforme alla normativa alla luce della natura, del contesto, delle finalità e dei rischi del trattamento.

Chi è il RESPONSABILE DEL TRATTAMENTO?

Il responsabile del trattamento è la persona fisica o giuridica, l’entità pubblica, il servizio o altro organismo che tratta i dati per conto del titolare del trattamento. E’ una figura a cui si ricorre nel momento in cui il titolare ha necessità che il trattamento sia effettuato da un soggetto differente per suo conto. Il responsabile deve essere dotato di una sufficiente autorità e di adeguate competenze e capacità tecniche volte a garantire che i dati siano trattati nel rispetto dei principi stabiliti dal Reg. UE 2016/679. Egli, tuttavia, deve attenersi alle indicazioni fornitegli dal titolare. Fondamentale è che la nomina del titolare avvenga per iscritto, mediante un documento ove sono riportati esattamente i compiti che gli sono affidati e gli obblighi a cui deve attenersi. La nomina del responsabile è assimilata nella prassi ad un contratto di mandato, si presume onerosa e richiede che l’incarico sia accettato dal soggetto individuato. Il titolare può revocare e/o sostituire il responsabile: in assenza di tali eventi, l’incarico si presume a tempo indeterminato.

Chi è l’INCARICATO DEL TRATTAMENTO?

L’incaricato del trattamento è una figura non espressamente definita dal Reg. UE 2016/679, tuttavia la si rinviene nel corpo dello stesso quando vi è il riferimento alle “persone autorizzate al trattamento”. La funzione che gli è propria non subisce rilevanti modifiche rispetto a quanto previsto dal Codice della Privacy.

L’incaricato è la persona fisica che svolge concretamente le operazioni di trattamento che sono state autorizzate dal titolare o dal responsabile.

La nomina di tali soggetti è obbligatoria, perché sono coloro i quali compiono in concreto le singole operazioni in cui si sostanzia il trattamento. All’interno dell’azienda sono incaricati tutti i dipendenti, gli stagisti, i consulenti, etc.

In virtù della specificità del loro ruolo è necessario che l’atto di nomina abbia forma scritta ed individui espressamente quali sono i compiti che ogni incaricato deve assolvere. Questi, infatti, non potranno porre in essere operazioni differenti da quelle puntualmente previste e accedere a banche dati differenti da quelle a cui sono autorizzati. L’atto di nomina è un conferimento di mansioni che deve essere controfirmato dall’incaricato e non ha una durata determinata, pertanto può essere revocato in qualsiasi momento. Inoltre, ogni singolo incaricato deve essere nominato con un’apposita lettera d’incarico che ne definisce esattamente i compiti in base al livello di competenza e di responsabilità, di modo che ciascuno possa accedere solo ai dati necessari all’espletamento della propria mansione.

Chi è il DATA PROTECTION OFFICER?

Il DPO ha principalmente il ruolo di osservare, valutare e assistere l’ente con riferimento alla corretta applicazione della normativa sulla privacy, nonché all’adeguata tutela dei dati trattati.

L’art. 37 del GDPR, infatti, prevede l’obbligatorietà della nomina da parte del titolare e del responsabile nel caso in cui:

1. il trattamento sia effettuato da un’autorità pubblica o da un organismo pubblico, eccettuate le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali;
2. le attività principali del titolare del trattamento o del responsabile del trattamento consistano in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala;
3. le attività principali del titolare del trattamento o del responsabile del trattamento consistano nel trattamento, su larga scala, di categorie particolari di dati personali di cui all’articolo 9 o di dati relativi a condanne penali e a reati di cui all’articolo 10.

Il comma 5 dell’art. 37 prevede espressamente che il DPO sia designato tenendo conto delle sue qualità professionali, della sua conoscenza specialistica in materia di protezione dei dati personali, nonché in funzione della sua capacità di assolvere ai compiti che gli sono propri.

Non sono richieste al DPO specifiche conoscenze e competenze, ad esempio non si fa riferimento ad alcun titolo di studio o specifica qualifica professionale (e.g. avvocato, ingegnere, dottore, etc). Tuttavia, si ritiene che tale soggetto debba aver acquisito, nell’ambito del suo percorso professionale, una puntuale conoscenza della normativa sulla privacy e delle pratiche in uso presso il Garante, nonché sviluppato una particolare sensibilità a quelle che sono le tematiche e problematiche connesse con il trattamento dei dati personali. Il DPO deve avere un’approfondita conoscenza della normativa nazionale ed europea in tema di privacy, al fine di compiere valutazioni comparative (soprattutto nei casi in cui il titolare trasferisca dati all’estero) e competenze informatiche e di analisi, per comprendere appieno l’operatività dei sistemi utilizzati (al giorno d’oggi, la maggior parte dei trattamenti, se non tutti, è operata con modalità informatiche).

Assumerà un ruolo di rilievo anche la partecipazione da parte del DPO agli eventi di formazione continua promossi dalle autorità di controllo nazionali ed europee.

Inoltre, non trascurabile è la necessità che il DPO abbia delle specifiche competenze anche nel campo di attività del titolare, di modo che egli sia in grado di comprendere gli aspetti critici connessi alle operazioni di trattamento poste in essere quotidianamente ed abbia familiarità con i sistemi informativi e le procedure di sicurezza adottate.

Oltre ad avere capacità tecnico-specialistiche, il DPO deve essere in grado di assolvere ai compiti che gli sono attribuiti dall’art. 39 del Reg. UE 2016/679. Pertanto, egli non solo deve avere irreprensibili doti morali e deontologiche, ma deve essere anche in grado di sensibilizzare tutti coloro che lavorano all’interno dell’azienda o vi collaborano sulla tematica in esame.

L’articolo 39 del Reg. UE 2016/679 definisce i compiti del DPO, statuendo che egli deve:

1. informare e fornire consulenza al titolare del trattamento o al responsabile del trattamento nonché ai dipendenti che eseguono il trattamento in merito agli obblighi derivanti dal presente regolamento nonché da altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati;
2. sorvegliare l’osservanza del presente regolamento, di altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati nonché delle politiche del titolare del trattamento o del responsabile del trattamento in materia di protezione dei dati personali, compresi l’attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo;
3. fornire, se richiesto, un parere in merito alla valutazione d’impatto sulla protezione dei dati e sorvegliarne lo svolgimento ai sensi dell’articolo 35;
4. cooperare con l’autorità di controllo;
5. fungere da punto di contatto per l’autorità di controllo per questioni connesse al trattamento, tra cui la consultazione preventiva di cui all’articolo 36, ed effettuare, se del caso, consultazioni relativamente a qualunque altra questione.

Si evince da tale elencazione che il DPO svolge un ruolo assimilabile a quello di sorveglianza e controllo e che deve, prima di tutto, raccogliere informazioni circa i trattamenti svolti e, dopo averli analizzati, verificarne la conformità alla normativa sulla privacy. Ove egli riscontri delle inesattezze o violazioni della normativa vigente,è tenuto ad informare il titolare e indirizzare lo stesso verso le attività necessarie per essere compliant con il Reg. UE 2016/679.

L’elencazione riportata non deve considerarsi tassativa, pertanto, al DPO potranno essere affidati compiti ulteriori da parte del titolare e del responsabile del trattamento, come ad esempio l’inventario dei trattamenti e la gestione del registro degli stessi.

Dovendo essere anche il punto di contatto con l’autorità di controllo, il DPO deve anche occuparsi della predisposizione della documentazione da inviare alla stessa, ad esempio in caso di richieste di informazioni, controlli, violazione dei dati, etc. Per quanto concerne, invece, la promozione e la diffusione in azienda della cultura della protezione dei dati personali, il DPO deve organizzare corsi formativi e di sensibilizzazione tra i dipendenti, nonché controllare e gestire i flussi informativi nei suoi confronti inerenti a tale argomento.

Abbiamo maturato una buona esperienza nella gestione della privacy in piccole e medie aziende. Contattaci per una consulenza preliminare gratuita.

Studio Legale Salata