Maggio Giugno 2018 -

Waiting for General Data Protection Regulation

Posted on Scarica PDF

Filippo Lorè

Filippo Lorè

Università degli Studi di Bari

Autore Corrispondente:
Dott. Filippo Lorè
Docente a contratto
Università degli Studi di Bari
e-mail: Filippo.lore@yahoo.it

 

Sorry, this entry is only available in Italiano.

Il Considerando 97 al Regolamento recita che “…il titolare o il responsabile del trattamento dovrebbe essere assistito da una persona che abbia una conoscenza specialistica della normativa e delle pratiche in materia di protezione dei dati personali nel controllo del rispetto a livello interno del presente regolamento”. E’ evidente che la figura di supporto richiamata dal legislatore europeo è rappresentata dal Responsabile per la protezione dei dati personali.

L’importanza del RPD all’interno della normativa privacy si evince dall’art. 39 del Regolamento (1), il quale, a sua volta, assegna allo stesso dei compiti bene precisi.

Al professionista privacy è richiesto fornire un’attenta analisi sullo stato dell’arte sotto il profilo della tutela dei dati personali, attraverso un dialogo continuo con le figure di vertice nell’amministrazione, con un’attività di acquisizione delle informazioni al fine di comprendere e verificare i trattamenti svolti per poi, alla fine della ricomposizione del quadro unitario, fornire una corretta informazione e consulenza al titolare del trattamento e a tutto il personale dipendente impiegato in attività di trattamento dei dati personali.

Sempre al RPD, per espressa disposizione dell’art.39, paragrafo 2, è richiesto di “sorvegliare sull’osservanza” del Regolamento. Questo compito può dar spazio ad errate interpretazione. Chi è personalmente responsabile in caso di inosservanza? Un elemento utile a fornire una risposta a tale quesito viene dall’art. 24, paragrafo 1, che espressamente chiarisce “il titolare del trattamento mette in atto misure tecniche ed organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al presente regolamento”. Alla luce di quanto appena espresso, il rispetto delle norme in materia di protezione dei dati personali spetta al titolare del trattamento.

Altro compito fondamentale per il Responsabile della protezione dei dati personali è sensibilizzare alla tematica privacy e organizzare un piano di formazione per tutto il personale impiegato nell’amministrazione di riferimento.

Questa attività rappresenta un elemento di novità e di rottura rispetto al passato. Gli Enti pubblici, così come l’opinione pubblica, in passato, non hanno realmente compreso quanto la tematica privacy fosse importante per garantire diritti, libertà e riservatezza dei cittadini. In questi anni difficili per il modo di intendere la privacy, un ruolo strategico e fondamentale lo ha ricoperto il Garante per la protezione dei dati personali che, in questi venti anni di vita, ha riposto particolare attenzione sulla sensibilizzazione alla materia privacy e sull’importanza della formazione per la pubblica amministrazione italiana, spesso impreparata ad assorbire le disposizioni del Codice in materia di protezione dei dati personali.

Riconducendo la trattazione al nuovo quadro normativo europeo, la pubblica amministrazione e i suoi dirigenti devono supportare il RPD investendo in programmi di formazione continua per tutto il personale che partecipa alle attività di trattamento (art. 38, paragrafo 3 del Regolamento, “il titolare del trattamento e il responsabile del trattamento sostengono il responsabile della protezione dei dati personali nell’esecuzione dei compiti…fornendogli le risorse necessarie per assolvere tali compiti”).

Come si è già ribadito in precedenza, la nostra società assiste ad un’evoluzione tecnologica senza precedenti e, la pubblica amministrazione, come ogni altra realtà aziendale, si avvale nell’attività quotidiana di strumenti informatici di ultima tecnologia che pur risultando estremamente utili, presentano rischi per i diritti e le libertà delle persone fisiche.

In questi casi, in pieno rispetto del principio Privacy by Design e come da previsione dell’art. 35, paragrafo 1 del Regolamento, il titolare del trattamento deve condurre una valutazione di impatto sulla protezione dei dati personali. In questo senso, preziosa è l’attività di supporto dell’Autorità che, riprendendo uno schema del Garante francese, ha provveduto, sul proprio sito istituzionale, a mettere a disposizione, un modello di software per la valutazione di impatto privacy utile per i titolari e i responsabili del trattamento (2).

Il RPD, in merito, deve coadiuvare e, nel caso, fornire un parere al titolare del trattamento circa lo svolgimento della DPIA (Data Protection Impact Assessment) (3). In particolare nelle linee guida in materia di valutazione di impatto privacy del Gruppo art. 29, il Responsabile della protezione dei dati personali deve essere interpellato sulle seguenti materie:

  1. se è necessario o meno condurre una DPIA;
  2. come affrontare una DPIA;
  3. se condurre una DPIA internamente alla pubblica amministrazione o in outsourcing;
  4. le misure tecniche-organizzative necessarie per ridurre al minimo i rischi per i diritti e le libertà degli interessati;
  5. se la DPIA sia stata condotta correttamente e in piena adesione al Regolamento.

Tra gli altri compiti, il Responsabile della protezione dei dati personali (art. 39, paragrafo 1, lett. d) ed e) deve assumere anche un ruolo istituzionale per l’amministrazione di appartenenza. Infatti, il RPD “deve cooperare con l’autorità di controllo” e “fungere da punto di contatto per l’autorità di controllo per le autorità di controllo per questioni connesse al trattamento, tra cui la consultazione preventiva di cui all’art. 36, ed effettuare, se del caso, consultazioni relativamente a ogni altra questione”, proponendosi come primo interlocutore per il Garante per la protezione dei dati personali in caso di richiesta di documenti e/o informazioni utili per l’assolvimento dei compiti ispettivi o per l’esercizio dell’art. 58 del Regolamento da parte dell’Autorità. Sarà necessario, inoltre, che il Responsabile della protezione dei dati conosca approfonditamente il ruolo e i compiti dell’Autorità Garante per la protezione dei dati personali al fine di instaurare un dialogo ed una collaborazione utili per l’ottimizzazione delle policy privacy.

Infine, il Regolamento prevede all’art. 30 che il titolare del trattamento tenga un registro di attività svolte “sotto la propria responsabilità”. Nell’espletare tale obbligo, il titolare si avvale della collaborazione del RPD che cura l’inventario dei trattamenti sulla base delle informazioni comunicate dagli uffici che operano attività di trattamento di dati personali.

Una volta analizzati ruolo, compiti e responsabilità, è necessario provare a fornire qualche spunto di natura operativa. Quali saranno le azioni da mettere in campo da parte del RPD?

A tal riguardo, non esistono delle regole precise da seguire poiché ogni professionista opera secondo un proprio approccio metodologico. Sicuramente il Responsabile della protezione dei dati personali di una struttura pubblica deve:

  1. conoscere approfonditamente la realtà aziendale presso la quale dovrà prestare la propria prestazione lavorativa o consulenza, studiare ed analizzare i tipi di trattamento effettuati al fine di consigliare al meglio il titolare o il responsabile del trattamento;
  2. mappare e classificare i trattamenti dei dati per la corretta compilazione del registro dei trattamenti;
  3. redigere un organigramma privacy al fine di individuare in maniera chiara e precisa compiti e responsabilità. Questa è un’attività fondamentale e strategica per verificare l’insorgenza di criticità all’interno della struttura;
  4. stilare policy di trattamento dati anche per settori che richiedono particolare attenzione a causa dell’utilizzo di strumenti altamente tecnologici (videosorveglianza, Rfid, big data, cloud computing, ecc.);
  5. analizzare l’impatto delle nuove tecnologie sotto il profilo della tutela dei dati personali al fine di supportare il titolare del trattamento nella predisposizione di una DPIA;
  6. coadiuvare il titolare del trattamento nel predisporre un’efficace politica di sicurezza;
  7. predisporre un programma di formazione continua all’interno dell’ente e sensibilizzazione alla tematica privacy;
  8. fungere da punto di raccordo tra l’ente e l’Autorità Garante per la protezione dei dati personali;
  9. fungere da punto di raccordo tra l’ente e gli interessati al fine di garantire una risposta a richieste di informazioni, chiarimenti e ricorsi da parte di questi ultimi;
  10. programmare periodicamente attività di audit privacy, utili a verificare lo stato dell’arte sotto il profilo della tutela dei dati personali;

Concludendo, lo studio della privacy e della normativa che ne regolamenta la tutela, ha permesso di approfondirne i molti aspetti, focalizzando l’attenzione sugli attori e le prospettive di tale tematica: la persona, in quanto soggetto di diritto, sia individuo (persona fisica), sia ente (persona giuridica), il Garante e i riferimenti normativi in materia di protezione dei dati personali elaborati in ambito sia italiano che comunitario e internazionale, e l’applicazione di tale normativa negli enti e/o aziende pubbliche e private.

Ciò comporta un’analisi accurata dei rapporti (di interdipendenza) che si intrecciano in questa triade: Persona- Garante (normativa)-Aziende/Enti.

La sfera pubblica e privata della vita personale e socio-relazionale degli individui che abitano la Terra, ha necessità, oggi più che nel passato, di essere tutelata da una normativa che garantisca un corretto utilizzo dei dati personali di ognuno e ne assicuri la protezione da ogni controllo o interferenza.

Il tema del diritto alla privacy, quale diritto fondamentale dell’individuo, trova riconoscimento e tutela sia nell’ordinamento costituzionale che nel quadro giuridico europeo. Il diritto alla privacy, pur nascendo come mero diritto alla riservatezza rispetto alle ingerenze esterne, grazie ad un percorso giurisprudenziale, ha raggiunto, nella società moderna e tecnologizzata, la dimensione del diritto alla protezione dei dati personali, inteso come diritto all’autodeterminazione informativa. In questa nuova ottica, al consenso dell’individuo, quale presupposto del trattamento, si aggiunge (ritenuta necessaria e addirittura obbligatoria) la previsione di una garanzia “paragiurisdizionale” che si basa sulla difesa dei diritti offerta dall’apposita Autorità Garante per la protezione dei dati personali.

Nelle “strette pieghe” dei diritti riconosciuti, si inserisce la normativa privacy degli ultimi decenni.

L’attenzione del Gruppo di lavoro delle persone fisiche, in questi mesi, si è accentata sul principio di responsabilizzazione (accountability) di alcuni titolari e responsabili del trattamento di dati personali, i RPD e di altri soggetti che si interessino su larga scala di persone fisiche e di categorie particolari di dati personali (dati sensibili).

Già in passato l’Unione Europea aveva inquadrato l’affermazione e la pratica del diritto fondamentale alla privacy e alla protezione dei dati, come una necessità prioritaria che obbligava tutte le organizzazioni a fornire il loro contributo per contrastare o comunque ridurre i rischi di violazione del diritto alla tutela in maniera adeguata. Il General Data Protection Regulation (GDPR) ricalca quest’ottica di prevenzione, definendo gli strumenti e le strategie per organizzare in maniera predefinita la protezione delle informazioni, sin dalla progettazione dei processi. Attraverso la nomina del responsabile unico della protezione dei dati (D.P.O.); la sicurezza dei sistemi delle reti, il concetto di privacy by design e privacy by default; la previsione di tenuta dei registri dei trattamenti; la preventiva valutazione d’impatto sulla protezione dei dati personali; apposite certificazioni di qualità dei trattamenti dati. Il Responsabile della protezione dei dati personali è la figura principale che deve permettere il governo della protezione dei dati personali in aderenza alla normativa europea. Perché questo modello funzioni correttamente, richiede la contestuale valorizzazione di forme di cooperazione tra Autorità nazionali ed il rafforzamento dei poteri di vigilanza, di controllo e sanzionatori.

 

BIBLIOGRAFIA / SITOGRAFIA

  1. http://www.garanteprivacy.it/regolamentoue/guida-all-applicazione-del-regolamento-europeo-in-materia-di-protezione-dei-dati-personali
  2. Regolamento UE. La valutazione di impatto privacy (http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/8581268)
  3. Guidelines on Data Protection Impact Assessment (DPIA) and determining whether processing is”likely to result in a high risk” for the purposes of Regulation 2016/679, wp248rev.01 As last Revised and Adopted on 4 October 2017 (http://www.garanteprivacy.it/DPIA)