Regolamento privacy, come scegliere il DPO (Data Protection Officer)

European Union High Resolution No ConceptLe prime indicazioni del Garante: necessarie competenze specifiche non attestati formali.

Le pubbliche amministrazioni, così come i soggetti privati, dovranno scegliere il Responsabile della protezione dei dati personali (RPD) con particolare attenzione, verificando la presenza di competenze ed esperienze specifiche.

Non sono richieste attestazioni formali sul possesso delle conoscenze o l’iscrizione ad appositi albi professionali.

Queste sono alcune delle indicazioni fornite dal Garante della privacy alle prime richieste di chiarimento in merito alla nomina di questa nuova  importante figura  – introdotta dal Regolamento UE 2016/679 –  che tutti gli enti pubblici e anche molteplici soggetti privati dovranno designare non più tardi del prossimo maggio 2018.

Nella nota  inviata a un’azienda ospedaliera l’Ufficio del Garante ricorda che i Responsabili della protezione dei dati personali – spesso indicati con l’acronimo inglese DPO (Data Protection Officer) – dovranno avere un’approfondita conoscenza della normativa e delle prassi in materia di privacy, nonché delle norme e delle procedure amministrative che caratterizzano lo specifico settore di riferimento.

Nella selezione sarà poi opportuno privilegiare soggetti che possano dimostrare qualità professionali adeguate alla complessità del compito da svolgere, magari documentando le esperienze fatte, la partecipazione a master e corsi di studio/professionali (in particolare se risulta documentato il livello raggiunto).

Gli esperti individuati dalle aziende ospedaliere, ad esempio, in considerazione della delicatezza dei trattamenti di dati effettuati (come quelli sulla salute o quelli genetici) dovranno preferibilmente vantare una specifica esperienza al riguardo e assicurare un impegno pressoché esclusivo nella gestione di tali compiti.

L’Autorità ha inoltre chiarito che la normativa attuale non prevede l’obbligo per i candidati di possedere attestati formali delle competenze professionali.

Tali attestati, rilasciati anche all’esito di verifiche al termine di un ciclo di formazione, possono rappresentare un utile strumento per valutare il possesso di un livello adeguato di conoscenza  della disciplina ma, tuttavia, non equivalgono a una “abilitazione” allo svolgimento del ruolo del RPD.

La normativa attuale, tra l’altro, non prevede l’istituzione di un albo dei “Responsabili della protezione dei dati” che possa attestare i requisiti e le caratteristiche di conoscenza, abilità e competenza di chi vi è iscritto.

Enti pubblici e società private dovranno quindi comunque procedere alla selezione del RPD, valutando autonomamente il possesso dei requisiti necessari per svolgere i compiti da assegnati.

Il Garante si riserva di fornire ulteriori orientamenti, che saranno pubblicati sul sito istituzionale, anche all’esito dei quesiti e delle richieste di approfondimento sul Regolamento privacy, raccolti nell’ambito di specifici incontri che l’Autorità ha in corso con imprese e Pubblica Amministrazione.

Annunci

Privacy: nuovo Regolamento Ue, prime Linee guida dei Garanti europei


cxnpv1-veaaeadsIl Gruppo dei Garanti Ue (WP 29) ha approvato lo scorso 13 dicembre tre documenti con indicazioni e raccomandazioni su importanti novità del Regolamento 2016/679 sulla protezione dei dati, in vista della sua applicazione da parte degli Stati membri a partire dal maggio 2018.

Le linee guida, alla cui elaborazione il Garante italiano ha attivamente partecipato, riguardano:

  • il “responsabile per la protezione dei dati” (Data Protection Officer  – DPO),
  • il diritto alla portabilità dei dati,
  • l’“autorità capofila” che fungerà da “sportello unico” per i trattamenti transnazionali.

Data Protection Officer  – DPO)

Le Linee guida sul DPO specificano i requisiti soggettivi e oggettivi di questa figura, la cui designazione sarà obbligatoria per tutti i soggetti pubblici e per alcuni soggetti privati sulla base di criteri che il Gruppo ha chiarito nel documento. Nel documento vengono illustrate (anche attraverso esempi concreti) le competenze professionali e le garanzie di indipendenza e inamovibilità di cui il DPO deve godere nello svolgimento delle proprie attività di indirizzo e controllo all’interno dell’organizzazione del titolare.

Diritto alla portabilità

Per quanto riguarda il diritto alla portabilità, il Gruppo evidenzia il suo valore di strumento per l’effettiva  libertà di scelta dell’utente, che potrà decidere di trasferire altrove i dati personali forniti direttamente al titolare del trattamento (piattaforma di social network, fornitore di posta elettronica etc.) oppure generati dall’utente stesso navigando o muovendosi sui siti o le piattaforme messe a sua disposizione. Il documento esamina anche gli aspetti tecnici legati soprattutto ai requisiti di interoperabilità fra i sistemi informatici e alla necessità di sviluppare applicazioni che facilitino l’esercizio del diritto.

Sportello unico

Infine, i Garanti Ue hanno chiarito i criteri per la individuazione della “Autorità capofila” che deve fungere da “sportello unico” per i trattamenti transnazionali (se il titolare o il responsabile tratta dati personali in più stabilimenti nell’Ue o offre prodotti o servizi in più Paesi Ue anche a partire da un solo stabilimento).  Si tratta di un elemento importante del nuovo quadro normativo, e le Linee guida vogliono aiutare i titolari o responsabili del trattamento a individuare correttamente l’Autorità competente in questi casi così da evitare controversie e garantire un’attuazione efficace del Regolamento.

Su ciascuno di questi documenti, disponibili per ora solo in lingua inglese, il Garante predisporrà delle apposite schede di approfondimento volte a far meglio comprendere e utilizzare i nuovi strumenti introdotti dal Regolamento.

Privacy, Data Protection Officer incompatibile con il Manager IT

È una delle novità introdotte dal nuovo Regolamento Ue: si rischiano pesanti multe per i doppi ruoli e i conflitti d’interessi. E una società bavarese è già inciampata sulle nuove norme. 

eu-dpoUna delle novità introdotte dal nuovo Regolamento UE 2016/679, è quella relativa al Data Protection Officer (DPO). Anche se prima la direttiva 95/46/CE non obbligava imprese ed enti a designare questa figura, in realtà essa esisteva già da diversi anni in numerosi Stati membri dell’UE, tra i quali la Germania, dove tuttora il Federal Data Protection Act la impone ad esempio alle aziende che hanno almeno 10 persone che sono coinvolte nel trattamento automatizzato di dati personali.

E proprio in Germania, di recente il Garante per la privacy bavarese ha multato una società che aveva designato il proprio IT manager come data protection officer, e questo nonostante la normativa prevedesse la possibilità di nominare sia un dipendente che un professionista esterno.

Perché allora la società è stata sanzionata?

Il motivo per cui è scattata la sanzione non interessa solo le aziende tedesche ma tutte quelle dell’intera UE che ricadono nell’obbligo di dotarsi del cosiddetto privacy officer: se è vero che la contestazione sollevata dall’Autorità bavarese si basa sul Federal Data Protection Act, d’altra parte essa poggia sul principio dettato dall’articolo 38 del nuovo Regolamento Europeo, che dal 25 maggio 2018 sarà direttamente applicabile in tutti gli Stati membri, e che riguardo la posizione del data protection officer richiede che il titolare del trattamento “si assicura che tali compiti e funzioni non diano adito a un conflitto d’interessi”.

Nonostante sia consentito al dpo di svolgere anche altre mansioni, queste non devono però risultare incompatibili con la stessa posizione di data protection officer, che in casi come quello preso in esame dal Garante tedesco avrebbe dovuto in pratica controllare se stesso, verificando se le proprie attività di IT manager erano conformi alla normativa in materia di protezione di dati personali, e una forma di auto-monitoraggio contrasta con l’assenza di conflitti d’interessi e l’indipendenza richiesti al soggetto che svolge questo ruolo

Poiché i compiti del data protection officer comportano obblighi di controllo che generalmente sono prerogativa delle autorità, l’indipendenza di questo è un aspetto fondamentale, e come il conflitto d’interessi è stato rilevato in relazione alla sua funzione parallela di IT manager, ciò non esclude che lo stesso problema possa presentarsi anche in casi in cui l’intenzione del management sia quella di individuare il dpo tra dipendenti che sono già a capo di altri reparti significativamente implicati nel trattamento dei dati personali, come possono esserlo le risorse umane e l’amministrazione del personale, l’ufficio legale, o anche la direzione marketing.

A tal proposito, le Linee Guida WP 243 adottate il 13 dicembre dal Working Party articolo 29,  hanno sottolineato che, seppure sia permesso al data protection officer di svolgere allo stesso tempo altre funzioni, l’organizzazione deve garantire che “tali compiti e doveri non diano luogo ad un conflitto di interessi”, e ciò comporta che di caso in caso debba essere preventivamente accertato che la persona scelta per essere nominata DPO non ricopra funzioni in cui essa concorra a determinare le finalità e le modalità del trattamento dei dati personali.

Per tale ragione, le linee guida dettate dal Working Party 29 evidenziano che, a seconda delle attività, delle dimensioni e della struttura dell’organizzazione, per i titolari del trattamento che si apprestano a designare il data protection officer, può essere buona pratica identificare le posizioni incompatibili con la funzione di dpo, stabilire delle regole interne per evitare situazioni di conflitto d’interesse, sensibilizzare il tema fornendo una spiegazione generale su questo requisito, dichiarare specificamente che il proprio dpo non ha alcun conflitto per quanto riguarda questa funzione, e precisare che per ricoprire tale ruolo è indispensabile evitare qualsiasi forma di conflitto d’interessi.

Non è ancora noto a quanto ammonti la sanzione comminata alla società tedesca che aveva nominato il proprio IT manager come data protection officer, tuttavia quella del conflitto d’interessi con il nuovo Regolamento Europeo è una questione di primaria importanza che aziende pubbliche e private devono valutare attentamente per evitare violazioni che in questi casi potrebbero comportare multe fino a 10 milioni di euro o al 2% del fatturato globale annuo.

Il Privacy Officer quale figura obbligatoria

imagesAutonomo, specializzato e con un budget di spesa. Sono le caratteristiche principali del responsabile della protezione dei dati personali (Data Protection Officer, DPO) presentate in una scheda diffusa dal Garante della privacy sul suo sito.

Il DPO è previsto nella proposta di regolamento Com(2012)11, destinato a sostituire la direttiva 95/46 e con essa il Codice italiano della privacy (dlgs 196/2003). L’iter per l’approvazione definitiva del regolamento dovrebbe concludersi nei primi mesi del 2016. Ci sarà poi tempo per adeguarsi.

Nel frattempo la figura del responsabile privacy comincia a farsi strada anche a legislazione vigente. Nella scheda sul DPO si spiega, salvo modifiche, quando sarà prevista la nomina, come deve essere scelto e che compiti avrà.

Va, però, ricordato che già, a legislazione vigente, è possibile istituire una figura assimilabile al DPO, con deleghe specifiche nella materia della protezione dei dati. Si tratta di una opzione organizzativa, che ha trovato applicazione in realtà aziendali medio-grandi.

Qualche esperienza analoga (creazione di uffici ad hoc per la privacy) si trova anche nel settore pubblico, ma si tratta di unità organizzative che molto spesso accorpano più funzioni, tra cui quello relativo alla gestione dei trattamenti. Vediamo in sintesi il contenuto della scheda predisposta dal garante.

NOMINA OBBLIGATORIA

Secondo la proposta di regolamento (suscettibile di emendamenti) dovranno designare obbligatoriamente un responsabile della protezione dei dati:

  • tutte le amministrazioni e gli enti pubblici;
  • le imprese con 250 o più dipendenti;
  • tutti i soggetti la cui attività principale consiste in trattamenti che richiedono il controllo regolare e sistematico degli interessati.

Ciò non toglie che possa essere nominato un DPO anche fuori da questi casi, per scelta dell’impresa.

Va sottolineato che nel settore pubblico non vi sarà esonero in base al numero dei dipendenti e che, quindi, tutte le p.a. dovranno dotarsene, valorizzando propri dipendenti o ricorrendo a consulenze esterne.

REQUISITI

Il responsabile della protezione dei dati deve essere uno specialista della privacy e deve essere collocato in una posizione di autonomia, visto che esercita funzioni di controllo e vigilanza.

Godrà di una relativa inamovibilità per un termine di due anni e dovrà avere a disposizione risorse umane e finanziarie necessarie all’adempimento dei suoi compiti.

COMPITI

Il DPO dovrà:

  • gestire tutti gli adempimenti di privacy, svolgendo formazione e consulenza, vigilando anche su attività di controllo interno;
  • avere parola anche sulle decisioni organizzative e sull’attribuzione dei compiti e delle responsabilità
  • curare l’attuazione delle misure di sicurezza e dovrà predisporre il sistema informativo in maniera tale da essere conforme alla disciplina della protezione dei dati.

Il DPO avrà il compito di:

  • garantire la conservazione della documentazione relativa ai trattamenti effettuati;
  • controllare che le violazioni dei dati personali siano documentate, notificate e comunicate (data breach).

Il DPO avrà la responsabilità della valutazione d’impatto dei trattamenti sulla protezione dei dati e sarà il punto di contatto per il Garante per la protezione dei dati personali.

Se poi il Garante rivolge richieste alla p.a. o all’impresa, il DPO dovrà curare che venga data tempestiva risposta.

Sull’inquadramento della figura si discute:

  • se si tratterà di una funzione con compiti gestionali (con conseguente coinvolgimento nelle responsabilità) o
  • se invece sarà una funzione di controllo esterno.

 

La Nuova Privacy Europea

Portabilità del dato, obbligo per le Aziende di nominare un “Data Protection Officer” e di redigere un “Privacy Impact Assessment”, queste alcune tra le più rilevanti novità della privacy prossima (e dietro l’angolo) che maggiormente andranno ad impattare sui Modelli privacy  adottati in Azienda. 

Ma diamo un’occhiata più da vicino.

Il 25 gennaio 2012 la Commissione europea ha presentato ufficialmente le proposte relative al nuovo quadro giuridico europeo in materia di protezione dei dati. Si tratta di un Regolamento, che andrà a sostituire la vecchia direttiva 95/46/CE, e di una Direttiva che dovrà disciplinare i trattamenti per finalità di giustizia e di polizia (attualmente esclusi dal campo di applicazione della direttiva 95/46/CE).

Sul sito della Direzione Generale “Giustizia”  sono raccolte tutte le informazioni e la documentazione pertinenti: http://ec.europa.eu/justice/newsroom/data-protection/news/120125_en.htm.

Va ricordato che i Regolamenti UE sono immediatamente esecutivi, non necessitando di recepimento da parte degli Stati membri, a differenza delle direttive. Per lo stesso motivo essi possono garantire una maggiore armonizzazione a livello dell’intera UE. 

 

Il Regolamento

Queste, in sintesi, alcune tra le maggiori novità della proposta di Regolamento:

  • restano ferme le definizioni fondamentali, ma con alcune significative aggiunte (dato genetico, dato biometrico);
  • viene introdotto l’obbligo di nominare un “data protection officer” (incaricato della protezione dati, secondo la terminologia della direttiva 95/46) per tutti i soggetti pubblici e per quelli privati al di sopra di un certo numero di dipendenti, mentre scompare l’obbligo per i titolari di notificare i trattamenti di dati personali;
  • viene introdotto il principio dell’applicazione del diritto UE anche ai trattamenti di dati personali non svolti nell’UE, se relativi all’offerta di beni o servizi a cittadini UE o tali da consentire il monitoraggio dei comportamenti di cittadini UE;
  • si stabilisce il diritto degli interessati alla “portabilità del dato” (ad. es. nel caso in cui si intendesse trasferire i propri dati da un social network ad un altro) ma anche il “diritto all’oblio”, ossia di decidere quali informazioni possano continuare a circolare (in particolare nel mondo online) dopo un determinato periodo di tempo, fatte salve specifiche esigenze (ad esempio, per rispettare obblighi di legge, per garantire l’esercizio della libertà di espressione, per consentire la ricerca storica);
  • viene introdotto il requisito del “privacy impact assessment” (valutazione dell’impatto-privacy) oltre al principio generale detto “privacy by design” (cioè la previsione di misure a protezione dei dati già al momento della progettazione di un prodotto o di un software);
  • si stabilisce l’obbligo per tutti i titolari di notificare all’autorità competente le violazioni dei dati personali (“personal data breaches”);
  • si fissano più specificamente poteri (anche sanzionatori) e requisiti di indipendenza delle autorità nazionali di controllo, il cui parere sarà indispensabile qualora si intendano adottare strumenti normativi, comprese le leggi, che impattino sulla protezione dei dati personali.

 

La Direttiva

Per quanto riguarda la proposta di Direttiva, essa sostituirà, una volta adottata, la Decisione-Quadro (la 2008/977/GAI) attualmente in vigore che disciplina i trattamenti di dati da parte delle autorità giudiziarie e di polizia.

Va sottolineato che le disposizioni della Direttiva si applicheranno, in via generale, a tutti i trattamenti di dati personali svolti in uno Stato Membro per tali finalità “istituzionali”, mentre la Decisione-Quadro disciplina esclusivamente lo scambio di dati fra autorità competenti degli Stati Membri ed il trattamento successivo dei dati scambiati in tale contesto.

La Direttiva riprende l’impostazione del Regolamento che richiama in molte delle sue previsioni, a cominciare dalle definizioni di interessato, dato personale, trattamento, titolare del trattamento ecc.. Essa  contiene, tuttavia, disposizioni specifiche sulle responsabilità dei titolari e sugli obblighi che ad essi incombono in materia di trasparenza ed accesso, e fissa i criteri di legittimità dei trattamenti in oggetto nonché i meccanismi di mutua cooperazione e i poteri delle autorità nazionali di controllo. Come già ricordato, le sue disposizioni dovranno essere recepite attraverso apposite norme nazionali.

L’iter per l’approvazione definitiva dei due strumenti normativi proposti comporterà l’intervento congiunto di Parlamento europeo e Consiglio UE in base alla procedura detta di “codecisione” (ora definita dal Trattato di Lisbona “procedura legislativa”).