Ruoli, privacy e certificazioni nel GDPR

gdpr

Il nuovo regolamento europeo sulla privacy (GDPR) affianca ai consolidati ruoli di “titolare” (controller) e “responsabile” (processor), già previsti dalla attuale normativa, quello del data protection officer (DPO)

Il mantenimento di definizioni coerenti a quelle del Dlgs 196 (e alla 675/96) è merito della nostra Autorità Garante, intervenuta prima della pubblicazione della versione ufficiale del Regolamento che, per tutto il corso del suo dibattimento, traduceva “data controller” e “data processor” rispettivamente come “responsabile” e “incaricato”. Si rischiava quindi di introdurre un forte elemento di discontinuità con il passato con notevoli rischi circa la corretta interpretazione della norma. Purtroppo, la stessa attenzione non è stata posta nell’individuare un termine, meno ambiguo per la traduzione del DPO, che nella versione italiana suona come “responsabile della protezione dei dati”, il che può indurre a confondere i ruoli di “responsabile” e di “responsabile della protezione dei dati”. A rafforzare questa confusione può contribuire anche il fatto che, il ruolo del “responsabile” cambia rispetto alla normativa attuale, in quanto il GDPR attribuisce a tale figura una reale corresponsabilità con il “titolare”, che si traduce anche nell’essere sottoposto alle stesse pesantissime sanzioni (20 milioni di euro o 4% del fatturato annuo mondiale se superiore).

Questo farà sì che i responsabili esterni (in particolare outsourcer) chiederanno un compenso economico in cambio dell’aumentato rischio e che i soggetti interni alle aziende eviteranno di accettare un ruolo così rischioso dal punto di vista sanzionatorio. È quindi probabile che, per definire un organigramma privacy articolato, oltre alla possibile soluzione di utilizzare figure con incarichi diversi si ricorra al DPO anche là dove questo non è obbligatorio (pur essendo i due ruoli, quello di “controller” e quello di DPO, per nulla coincidenti).

Quale sarà il reale ruolo del DPO?

L’obbligo di un DPO ricade essenzialmente sulle PA e sui privati che trattano su larga scala[1] categorie particolari di dati (art. 37 1c). Difficile è invece individuare i possibili soggetti che possono rientrare nella definizione prevista dall’art. 37 1b dove si legge che “le attività principali[2] del “titolare” del trattamento o del “responsabile” del trattamento consistono in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala…”.

Per meglio capire quale sarà il reale ruolo del DPO, sarà comunque necessario attendere l’emanazione delle linee guida rispetto alle quali Isabelle Falque Pierrotin (presidente del CNIL e del WP29) ha dichiarato:

Leggi anche:  Italia bersagliata da malware e ransomware

«Here, we believe the DPO is key levy of this compliance scheme; he/she is the “chef d’orchestre” of the tool box. The WP29 wants to support this function and will deliver guidelines in 2016».

Giova ricordare che il GDPR non prevede che il DPO sia in possesso di alcuna certificazione per poter svolgere il proprio ruolo e non introduce alcuna altra figura (quale per esempio l’auditor privacy).

Per contro, considerando l’obbligo del DPO per tutte le PA, sarà necessario definire qualche criterio per verificare la reale capacità di un soggetto di svolgere tale ruolo, e in tal senso la presenza di qualificazioni professionali riconosciute potrebbe essere utile.

Attenzione alle certificazioni

Infine, in merito alle certificazioni di “responsabili” e “titolari”, le uniche previste dal GDPR (art. 42), va ricordato che la possibilità di accreditare enti per il rilascio di certificazioni conformi al GDPR (art. 43) può aver luogo solo dopo l’entrata in vigore dello stesso (24 maggio 2016) e dopo l’emanazione di specifiche linee guida, come riporta la stessa Isabelle Falque Pierrotin: «Last but not least, certification, because there is a high expectation on that from the data controllers. They want something to translate the regulation into a simple-to-use tool, simple towards the end-users also. There are already discussions on the certification schemes. So we want to position the roles of the DPAs on this issue».

Quanto offre già oggi il mercato su tali temi è quindi da valutare con particolare prudenza e attenzione, evitando di farsi attrarre da soluzioni miracolose: «Of course, once we have defined our guidelines, with you and all the stakeholders, there will be room for market offers, providing data controllers with operational tools like dash board, accountability programs… But these offers have to be framed by the guidelines we well define».

Giancarlo Butti


[1] Ciò dovrebbe applicarsi in particolare ai trattamenti su larga scala, che mirano al trattamento di una notevole quantità di dati personali a livello regionale, nazionale o sovranazionale e che potrebbero incidere su un vasto numero di interessati e che potenzialmente presentano un rischio elevato, per esempio, data la loro sensibilità, laddove, in conformità con il grado di conoscenze tecnologiche raggiunto, si utilizzi una nuova tecnologia su larga scala, nonché ad altri trattamenti che presentano un rischio elevato per i diritti e le libertà degli interessati, specialmente qualora tali trattamenti rendano più difficoltoso, per gli interessati, l’esercizio dei propri diritti.

[2] Nel settore privato le attività principali del titolare del trattamento riguardano le sue attività primarie ed esulano dal trattamento dei dati personali come attività accessoria.