Blog

GDPR 2018 – Dove siamo arrivati? – parte 2

Figure chiave del Nuovo Regolamento

Il Nuovo Regolamento Europeo delinea nuove linee guida non solo rispetto alla protezione dei dati ma anche rispetto agli attori coinvolti. Vediamoli insieme:

  • TITOLARE DEL TRATTAMENTO: persona fisica o giuridica che singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento dei dati personali. E’ colui che decide in azienda e che ne paga le conseguenze.
  • RESPONSABILE DEL TRATTAMENTO: persona fisica o giuridica che tratta dati personali per conto del titolare del trattamento (es. commercialista o consulente del lavoro). Questa figura nel regolamento è sempre esterna mentre nella legislatura precedente poteva essere sia interno (un dipendente con maggiori responsabilità per es. il direttore amministrativo) che esterno. Il Responsabile ha una responsabilità diretta nei confronti dei soggetti danneggiati. Il rapporto tra Titolare del Trattamento e Responsabile del Trattamento deve essere normato da un accordo scritto tra le parti.
  • AUTORIZZATO AL TRATTAMENTO: persone fisiche che lavorano per un’organizzazione e che segue le indicazioni del titolare del trattamento. Queste figure sono estremamente importanti per un corretto e lecito trattamento dei dati in quanto solo le persone che quotidianamente utilizzano i dati degli interessati. Ed è per tale motivo che il Regolamento prevede per il Titolare l’obbligo di formare ed istruire coloro che sono autorizzati al trattamento. Ma come formare gli autorizzati? Deve essere una formazione non solo formale ma soprattutto sostanziale, che preveda non solo nozioni teoriche ma soprattutto in grado di fornire quelle informazioni indispensabili per poter trattare i dati in modo liceo.  La formazione diventa così uno dei più potenti strumenti di protezione.
  • RESPONSABILE DELLA PROTEZIONE DEI DATI: nuova figura introdotta in Italia di cui ne parleremo approfonditamente nel prossimo articolo.

 

DPO – DATA PROTECTION OFFICER

Il Nuovo Regolamento Europeo 679/16 introduce nel panorama normativo una figura completamente nuova per la giurisprudenza e che ancora, dopo quasi un anno dalla sua introduzione, confonde le organizzazioni.

Il Regolamento parla del DPO negli articoli 37, 38 e 39 definendone in modo chiaro ambiti di obbligatorietà, compiti e funzioni.
Il Gruppo di Lavoro WP29 (Gruppo di Lavoro dell’art. 29, in cui erano presenti i garanti dei diversi Stati Europei) ha definito già nel 2017 linee guida specifiche rispetto a questa figura per chiarire il ruolo rispetto alle organizzazioni.

Il Gruppo approfondisce un aspetto che negli ultimi mesi ha sollevato diverse discussioni, quello relativo alle conoscenze e alle competenze che deve possedere un DPO.

Art. 37, paragrafo 5: il DPO sia designato in base alle sue qualità professionali ed ad una conoscenza approfondita in materia di protezione dei dati. Non entra nel dettaglio di qualità e competenze professionali.

Questo ha dato adito a diverse interpretazioni ed ha lasciato aperta ed irrisolta una domanda fondamentale: il DPO deve essere un Giurista o un Ingegnere?

Pur non essendo individuate chiaramente le qualità professionali richieste, è evidente che il DPO debba possedere conoscenze in materia di protezione dei dati.  E contestualmente, deve avere familiarità con gli aspetti tecnologici usati nelle aziende e con gli strumenti di protezione di dati.

Indispensabile è la conoscenza del settore in cui opera l’azienda.

Come si muovono le cose in Italia? Esiste qualche definizione più specifica su questa nuova figura?

Ci viene in aiuto una delle prime sentenze, la n. 287/2018 emanata il 13 settembre 2018 dal Tribunale Amministrativo Regionale per il Friuli-Venezia Giulia. Essa va a delinearne le peculiarità.

Il Tribunale ha confermato la componente giuridica sottolineando che l’esercizio non può intendersi limitato esclusivamente ai giuristi. A prescindere dal titolo di studio, il DPO deve avere – ed essere in grado di dimostrarle –competenze nell’ambito giuridico così come delineato dall’Art. 29WP.

Egli deve poter dimostrare un’ampia conoscenza in materia giuridica, tecnico-informatica e di auditing, tutte abilità difficili da trovare in un’unica figura professionale ed è per questo che il Titolare del trattamento deve scegliere con grande cura ed attenzione il professionista o l’azienda da nominare come DPO.

Riassumendo, le caratteristiche fondamentali per questa figura sono

  • Buona base di conoscenza dell’area giuridica
  • Formazione ed aggiornamento costante in materia di trattamento dei Dati
  • Conoscenza del settore e del mercato di riferimento
  • Indipendenza materiale e intelletuale rispetto alle aziende in cui lavora o in cui è nominato.

 

Quali sono le aziende che hanno necessità di avere questa figura al suo interno o di nominarne uno esterno?

Il base al Regolamento il DPO deve essere nominato da

  • Autorità ed organizzazioni pubbliche, intendendo anche quelle aziende private che svolgono una funzione pubblica
  • Aziende la cui attività principale consiste nel monitoraggio regolare e sistematico dei dati degli interessati
  • Aziende che trattano Dati Particolari su larga scala, ancorché al momento l’idea di larga scala non è ancora stata definita numericamente.

 

Responsabili Esterni e Autorizzati

Partiamo dalla figura già prevista dalla legge precedente. L’incaricato che diventa autorizzato.
Per autorizzato si intende qualunque persona fisica che tratti dati e che operi secondo le indicazioni del Titolare del trattamento. Di questa figura il regolamento non parla in modo approfondito ma il tanto da darne la giusta importanza. L’autorizzato è colui che opera dati.

L’altra figura è un po’ più complessa e ricca di sfumature: il responsabile esterno.
Con tale nome si va ad indicare una persona, generalmente un consulente esterno, che tratta i dati dell’azienda.
I primi ad essere nominati responsabile esterno sono i commercialisti e i consulenti del lavoro.

Poi vengono subito dopo i consulenti a partita Iva che collaborano dall’esterno con l’azienda.

Il problema che è emerso in questo anno di applicazione del nuovo GDPR è la formazione e le garanzie che il titolare dovrebbe richiedere a tali consulenti.
Formazione: uno dei pilastri su cui di fonda il nuovo regolamento è la formazione obbligatoria per chi tratta dati.
Come accertarsi che i consulenti esterni siano formati?
Deve l’azienda fornire la formazione necessaria?
Deve servirsi di consulenti che siano in regola con il GDPR o deve dare servizi affinché si mettano in regola.

Il Garante ha chiarito nel corso di questi mesi che ogni azienda si può servire di consulenti esterni che deve nominare come Responsabili.
Sono i singoli consulenti a dover dimostrare di essere a norma ed adeguato.

Il titolare deve farsi garante della selezione dei consulenti esterni e della loro compliance e del loro adeguamento.

Sempre più si andrà nella direzione di avvalersi di collaboratori che siano adeguati.

Come fare tutto questo?
Per le tante partite Iva, micro e piccole imprese fino a 15 dipendenti che devono adeguarsi e che trattano solo dati personali, abbiamo ideato una piattaforma all’interno della quale puoi creare autonomamente i Tuoi Documenti con un’area dedicata alla Formazione obbligatoria.