di Gloriamaria Paci e Luciano Delli Veneri

 

Registro dei trattamenti e Data Protection Impact Assessment (DPIA)

I due adempimenti in parola sono ben noti a quanti, vigente l’obbligo del Documento Programmatico sulla Sicurezza, il ben noto DPS, avevano il compito di redigerlo e/o aggiornarlo: il DPS prevedeva una tabella contente l’elenco dei trattamenti effettuati, della tipologia dei dati trattati, dei sistemi sui quali veniva effettuato il trattamento, la specificazione di eventuali altri soggetti che partecipavano ai trattamenti. Nel Registro dei trattamenti, di cui all’art. 30 del Regolamento, il Titolare dovrà indicare anche le finalità del trattamento, le categorie dei destinatari ai quali i dati potranno essere comunicati, eventuali trasferimenti extra UE e gli strumenti adottati per le appropriate garanzie, i termini previsti per la cancellazione delle diverse categorie di dati, una descrizione generale delle misure di sicurezza tecniche ed organizzative poste a protezione dei dati. È inoltre previsto che anche il Responsabile del trattamento rediga un proprio Registro dei trattamenti nel quale dovrà indicare, per ciascun Titolare dal quale ha ricevuto la designazione, le categorie dei trattamenti effettuati, se i dati sono oggetto di trasferimento extra UE e le misure di protezione adottate, una descrizione generale delle misure di sicurezza tecniche ed organizzative adottate. La compilazione del registro dei trattamenti ha anche come obiettivo quello di permettere al Titolare di condurre una analisi sulle caratteristiche dei trattamenti effettuati e delle misure di sicurezza adottate in modo da poter effettuare una valutazione circa la opportunità o necessita di procedere alla realizzazione di una DPIA. Accanto a questa autodeterminazione del Titolare l’art. 35 c. 3 del Regolamento prescrive che la DPIA debba essere effettuata quando i trattamenti prevedono i) analisi sistematica ed estesa di aspetti personali di individui basata su un trattamento automatizzato, profilazione inclusa, sulla quale si fondano decisioni che hanno effetti giuridici o incidono  similarmente in modo significativo sugli individui; ii) trattamento, su larga scala, di categorie particolari di dati (dati sensibili, dati giudiziari); iii) sorveglianza sistematica su larga scala di una zona accessibile al pubblico. È inoltre previsto che la DPA possa redigere un elenco di trattamenti per i quali ritiene necessario procedere comunque con la DPIA ed un ulteriore elenco per il quale valuta che non ricorra tale esigenza. Nel caso in cui il Titolare dovesse riscontrare che la DPIA evidenzi particolari livelli di criticità e rischiosità dei trattamenti che intende effettuare per le quale non è in grado di individuare idonee misure di sicurezza dovrà, ai sensi dell’art. 36 del Regolamento, presentare una istanza di “Consultazione preventiva” alla DPA chiedendo un parere che dovrà essere fornito per iscritto entro un congruo termine (otto settimane alle quali se ne possono aggiungere altre sei in casi particolarmente complessi).

 

Codici di condotta e Certificazioni

Visto il cambio di paradigma che vede il Titolare dover dimostrare di aver adottato le “misure idonee” a proteggere i dati personali dai rischi il Regolamento pone una grande attenzione al tema dei Codici di Condotta e delle Certificazioni dedicandovi gli artt. dal 40 al 43. In particolare fermo restando che sia i Codici di condotta che le Certificazioni rientrano nel potere di autodeterminazione del Titolare la loro adozione persegue l’obiettivo di fornire una chiara evidenza dell’attenzione posta nell’affrontare in modo strutturato e sistematico, sulla base di parametri oggettivi definiti da Enti terzi, il trattamento dei dati personali e tutti gli aspetti connessi con particolare riferimento agli questioni di sicurezza quali i rischi connessi, la probabilità e la gravita degli accadimenti, l’individuazione e l’applicazione delle migliori prassi disponibili: il tutto allo scopo di poter fornire chiara e documentata evidenza che il Titolare del trattamento rispetti gli obblighi e le prescrizioni previste dal Regolamento. Sia i Codici di Condotta, che potranno essere adottati da Associazioni ed Organismi rappresentativi di particolari categorie di Titolari, come anche le Certificazioni, rilasciate dagli appositi Enti di certificazione o dalle stesse DPA, rappresenteranno, quindi, una sorta di “bollino blu” o sigillo, di immediata utilizzabilità da parte degli Interessati i quali potranno celermente verificare l’affidabilità del soggetto al quale affidano il trattamento dei propri dati così come potrà aiutare i Titolari nella scelta dei soggetti ai quali affidare i propri trattamenti.

 

Responsabile del trattamento

Il ruolo del Responsabile del trattamento, al quale anche la precedente normativa dedicava ampio spazio, viene dal Regolamento reso ancora più rilevante. Infatti l’art. 28 traccia con dovizia di particolari, tutti gli aspetti che il Titolare deve tenere in debita considerazione nel momento in cui decide di assegnare uno o più trattamenti ad un soggetto sia esso una persona fisica, giuridica o struttura organizzativa. Come già richiesto dalla precedente normativa, la scelta deve ricadere su “responsabili del trattamento che presentino garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del presente regolamento e garantisca la tutela dei diritti dell’interessato”. L’affidamento dei trattamenti deve essere regolamentato da apposito accordo contrattuale o altro atto giuridico dal quale si possano evincere con chiarezza gli obblighi ed i doveri posti in capo al Responsabile e dei quali sarà chiamato a rispondere anche direttamente sia nei confronti dell’Interessato che della DPA. In via esemplificativa il contratto deve disciplinare almeno quanto relativo a oggetto, durata, natura, finalità e tipologia dei dati oggetto del trattamento, le categorie di interessati nonché obblighi e diritti del Titolare. È necessario, inoltre, che siano disciplinati gli aspetti relativi al rispetto delle istruzioni ricevute dal Titolare, al controllo delle persone autorizzate ad effettuare i trattamenti, all’adozione delle misure idonee, al fornire adeguato supporto al Titolare nei riscontri all’Interessato, al collaborare con il Titolare relativamente agli obblighi in materia di misure idonee, data breach e notificazione, DPIA. È inoltre possibile, a differenza di quanto previsto dalla attuale normativa, che il Responsabile si possa avvalere di un proprio fornitore nell’ambito dei trattamenti a lui assegnati dovendo informare il Titolare di tale circostanza ed assumendo nei suoi confronti la piena responsabilità dell’operato del proprio fornitore. Come già descritto anche per il Responsabile l’adozione di Codici di condotta o di Certificazioni costituisce un elemento utile a dimostrare la propria accountability.

 

Il Responsabile della protezione di dati personali o DPO

Costituisce sicuramente una delle principali innovazioni introdotte dal Regolamento anche se in diversi Stati europei la figura del DPO era già presente e prevista dalla normativa nazionale. Anche in Italia numerose aziende, soprattutto quelle più grandi e con rilevanti volumi di dati trattati, avevano già da tempo inserito figure analoghe con compiti di Privacy Manager. Il Regolamento pone grande enfasi sul DPO e sulla opportunità che i Titolari lo inseriscano nelle proprie organizzazioni. Va chiarito che non tutti i Titolari sono tenuti alla designazione del DPO ma solo quelli che rispondono alle caratteristiche indicate dall’art. 37 c. 1 ed in particolare i) amministrazioni ed enti pubblici, fatta eccezione per le autorità giudiziarie; ii) tutti i soggetti la cui attività principale consiste in trattamenti che, per la loro natura, il loro oggetto o le loro finalità, richiedono il controllo regolare e sistematico degli interessati; iii) tutti i soggetti la cui attività principale consiste nel trattamento, su larga scala, di dati sensibili, relativi alla salute o alla vita sessuale, genetici, giudiziari e biometrici sono i soggetti tenuti a prevedere tale ruolo. In estrema sintesi il DPO è chiamato a svolgere una attività di consulenza nei confronti del Titolare e del Responsabile del trattamento, nonché dei dipendenti, informando e consigliando in merito agli obblighi derivanti dal Regolamento europeo e da altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati; ha, inoltre, il dovere di verificare  l’attuazione e l’applicazione del Regolamento, delle altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati nonché delle politiche del titolare o del responsabile del trattamento in materia di protezione dei dati personali, inclusi l’attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale coinvolto nelle operazioni di trattamento, e gli audit relativi; dovrà i) fornire, se richiesto, pareri in merito alla valutazione d’impatto sulla protezione dei dati e sorvegliare i relativi adempimenti; ii) fungere da punto di contatto per gli interessati in merito a  qualunque problematica connessa al trattamento dei loro dati o all’esercizio dei loro diritti; iii) fungere da punto di contatto per la DPA oppure, eventualmente, consultarla di propria iniziativa su aspetti attenenti i trattamenti svolti dal Titolare e/o dal Responsabile. Per il ruolo che è chiamato a svolgere il DPO dovrà avere delle competenze che non si limitano ai soli aspetti legali poiché la protezione di dati personali, vista la pervasività dei trattamenti, richiede una discreta dimestichezza con la tecnologia che supporta i trattamenti e con i macro processi organizzativi e di funzionamento delle aziende. Il Regolamento prevede che il DPO sia una persona fisica ma il ruolo può essere assegnato anche ad una struttura organizzativa o una persona giuridica sul convincimento che vista la complessità degli adempimenti è verosimile che si dovrà costituire una team che possegga le adeguate competenze. Per gli ulteriori approfondimenti si rinvia alle “Linee Guida sul DPO” predisposte dal WP Art29[1] e pubblicate nella traduzione italiane sul sito del Garante privacy.

 

Per approfondire l’argomento:

Formazione

L’applicazione della normativa sulla privacy negli Enti Pubblici: dal Decreto Legislativo n. 196/2003 al Regolamento UE 2016/679

Bologna, 30 maggio 2017

http://www.formazione.maggioli.it/corso/3831/l-applicazione-della-normativa-sulla-privacy-negli-enti-pubblici/

Roma, 8 giugno 2017

http://www.formazione.maggioli.it/convegno/1660/il-regolamento-generale-sulla-protezione-dei-dati-personali-quali-adempimenti-per-la-pubblica-amministrazione/

 

[1] WP_ART29  “Linee Guida sul Responsabile della protezione dei dati”,  http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/5930287

 

Volume consigliato:

La nuova privacy

La nuova privacy

Nadia Arnaboldi, 2016, Maggioli Editore

Dopo oltre quattro anni di negoziati tra Commissione Eu- ropea, Parlamento e Consiglio, in data 4 maggio 2016 si è giunti alla pubblicazione del Regolamento europeo 2016/679 del 27 aprile 2016 “relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati...




CONDIVIDI
Articolo precedenteTar a giudizio sui direttori dei musei
Articolo successivoL’istituzione dell’albo per gli affidamenti in house e il restyling degli statuti delle società partecipate

SCRIVI UN COMMENTO

Please enter your comment!
Please enter your name here