Data protection

GDPR. La compliance non basta, DPO figura ancora in fieri

di Bibiana Rocco - Privacy Italia |

Venerdì 29 settembre si è tenuto a Viterbo il convegno “La protezione dei dati personali. Come le pubbliche amministrazioni, le società ed i professionisti devono applicare il Regolamento della Unione Europea 679/2016”.

La Giornata di studio è stata organizzata da Assotuscania con il Patrocinio della Provincia di Viterbo e la collaborazione della Scuola Nazionale di Amministrazione Digitale (SNAD); dell’Associazione ANDIG (Associazione Nazionale Docenti di Informatica Giuridica e diritto dell’informatica); dell’Associazione Privacy Italia.

Ha coinvolto tutti coloro che nelle istituzioni e negli enti pubblici, così come nelle organizzazioni private svolgono un ruolo che li coinvolge nel trattamento dei dati personali.

Ad aprire il Convegno, dopo il saluto di apertura di Pietro Nocchi, Presidente della Provincia, è stata la volta del Presidente di Assotuscania, Maria Rita Fiasco, che riveste inoltre la carica di socio fondatore di Gruppo Pragma.

A seguire vi sono state le relazioni del Prof. Donato A. Limone, Direttore della Scuola Nazionale di Amministrazione Digitale, Unitelma Sapienza, intervenuto su: “Il nuovo regolamento UE per la protezione dei dati personali 679/2016”.

Responsabilità dei dirigenti

Il prof. Limone ci ha tenuto a precisare che “In materia di semplificazione ossia in materia di trattamento dei dati, la responsabilità va in capo alla Dirigenza. Ed è proprio la dirigenza che ha l’obbligo di semplificare le attività, di analizzare i rischi e di occuparsi di trasparenza e di anticorruzione”. Il Prof. Limone ha ribadito che “proprio su tali attività che si vanno a fare le analisi di controllo. Quindi la dirigenza ha una responsabilità molto forte. La dirigenza è il soggetto strategico fondamentale per affrontare i problemi della protezione dei dati personali”.

Il Prof. Limone ha continuato dicendo che: “Il Regolamento Ue 679/2016 introduce alcune novità nella logica dello sviluppo di una più forte cultura della protezione. Si tratta di un approccio basato sul rischio e sulle misure di accountability (responsabilizzazione) di titolari e responsabili”. Si tratta dunque, a parere del prof. Limone, di un concetto di responsabilizzazione totale ed autonoma dei titolari e dei responsabili.

Quindi i titolari ed i responsabili in modo autonomo prendono decisioni sul trattamento dei dati, sulle misure di sicurezza e non si attendono le indicazioni dell’autorità. Tutto questo va documentato formalmente perché all’interno del sistema organizzativo il titolare può utilizzarli per affrontare meglio il tema del trattamento dei dati personali.

Il Prof. Limone ha sottolineato che si tratta di “un passaggio particolarmente innovativo e forte che comporta l’abbandono dell’approccio per adempimento e richiede una preparazione ed un’attenzione particolare al trattamento dei dati personali”.

Coordinamento fra Titolare del trattamento dati e DPO

Risulta, dunque, molto importante il coordinamento che va messo in piedi tra Titolare del trattamento, Responsabili e Data Protection Officer. Il DPO è colui che non risolve tutti i problemi della protezione dei dati, ma è colui che sorveglia, coordina ed indirizza nella sua piena autonomia ed indipendenza.

Il DPO rientra dunque nella logica della responsabilizzazione autonoma stabilita dal Regolamento. Deve essere indipendente, autorevole e competente e deve sorvegliare lo svolgimento dell’impatto dei rischi.

Il Prof. Limone ha aggiunto che: “Un altro criterio che viene introdotto nell’ambito del concetto di responsabilizzazione forte è la necessità di configurare il trattamento prevedendo fin dall’inizio le garanzie indispensabili, nel rispetto del regolamento e per tutelare i diritti degli interessati, tenendo conto del contesto complessivo ove si colloca il trattamento e dei rischi per i diritti e le libertà degli interessati”.

Si ha, quindi, a parere del prof. Limone “la necessità di un’analisi preventiva ed un impegno costante dei titolari che devono potersi verificare nel concreto e sotto il profilo formale”.

Questo è un meccanismo nuovo, sul quale bisogna farsi le ossa. E’ dunque un criterio particolarmente innovativo che viene introdotto dal Regolamento e rientra nel concetto di responsabilizzazione totale ed autonoma.

 

DPO, figura in working progress

A seguire l’intervento di Gianluigi Ciacci, Avvocato, nonché professore di diritto dell’informatica, LUISS, associato ANDIG, che si è soffermato sul tema “Il responsabile della protezione dei dati personali: una figura strategica per le PA, la sanità ed il settore privato”.

Ricollegandosi al principio di “accountability” richiamato dal prof. Limone, l’avvocato Ciacci ha affermato che “I titolari del trattamento devono porre in essere adeguate ed efficaci misure per garantire che i principi e gli obblighi stabiliti nel Regolamento siano rispettati.  Il titolare del trattamento dovrebbe dunque essere in grado di provare di aver adottato un insieme complessivo di misure giuridiche, organizzative, tecniche ed amministrative”.

L’avvocato Ciacci ha inoltre ribadito che la figura soggettiva del DPO è stata una delle più dibattute tra le novità introdotte dal Regolamento. Anche perché è una realtà che potrebbe portare ad un “business” di rilevanti dimensioni, almeno occupazionali.

I requisiti funzionali del DPO, che può essere interno o esterno alla struttura del titolare, sono professionalità ed indipendenza (anche nel rapporto di lavoro subordinato oltre che nel contratto di servizi).

E proprio su questo importante punto già è intervenuto nelle scorse settimane il Garante della protezione dei dati personali, Antonello Soro, in due occasioni, a luglio sulle certificazioni e a settembre sui requisiti.

Dunque a parere dell’Avv. Ciacci: “La figura del Data Protection Officer, come diversi aspetti della nuova disciplina in materia di protezione dei dati personali, deve essere considerata un working progress. Così come risulta il problema di implementare questa figura nell’ ambiente del nostro Paese, in cui ancora oggi l’attuazione della normativa in materia è problematica”.

A concludere la giornata di studio è stato l’intervento di Raffaele Barberio, Presidente di Privacy Italia, intervenuto su: “I Big Data, la protezione dei dati e il ruolo del Garante della Privacy”.

I veri dati siamo noi

Il Presidente di Privacy Italia ha tenuto a precisare che: “Il Regolamento Europeo è una straordinaria scadenza di cui noi ancora non percepiamo l’impatto e le conseguenze. Il Regolamento è stato pensato per proteggere i nostri dati ma i veri dati siamo noi”.

I dati vengono oggi indicati come il petrolio della nostra era e rappresentano la preda più ambita dai giganti del web.

Il Presidente Barberio ha precisato che: “La difesa di questi dati è affidata al ruolo e alle funzioni del Garante, anche se nel nostro Paese l’Autorità Garante della Protezione dei Dati Personali è coperto da appena 113 unità, un organico nettamente minore a quello di tutte le altre Autorità regolatorie nazionali”.

Leggi le altre notizie sull’home page di Key4biz