Il DPO o Data Protection Officer rappresenta una delle novità più importanti della nuova disciplina per la tutela dei dati personale, nota anche come GDPR. Dopo qualche mese di applicazione di quest’ultima e numerosi approfondimenti da parte degli addetti ai lavori, oggi è più chiaro quale sia il suo ruolo e chi sia tenuto a nominarlo su base obbligatoria.

Chi è il DPO e di cosa si occupa
Il Data Protection Officer è il responsabile per la protezione dei dati personali che l’azienda raccoglie, gestisce e tratta nell’ambito delle sue attività di business.  L’istituzione di tale figura è prevista dall’articolo 37 del regolamento UE 2016/679. Il profilo del DPO immaginato dal legislatore, è quella di un consulente tecnico con poteri esecutivi, in grado di analizzare le modalità di contatto con dati personali da parte dell’azienda, nonché le procedure di raccolta e stoccaggio dei medesimi, consigliando infine il responsabile del trattamento e della conservazione avendo come obiettivo fondamentale la garanzia degli standard imposti. Il suo ruolo non deve essere soggetto alla gerarchia aziendale ma piuttosto fungere da interfaccia con le autorità di controllo, in una relazione che è stata concepita come “motore” di una ottimizzazione continua.

I compiti del DPO in sintesi
Sulla base di quanto detto sopra, risulta chiaro che il DPO deve anzitutto informare i vari addetti sugli obblighi che derivano dal GDPR in quanto riferiti ai dati raccolti durante il normale espletamento delle operazioni di business aziendale. Successivamente deve proporre l’adozione di politiche in grado di garantire il rispetto della normativa comunitaria e di quella nazionale, sorvegliare sull’osservanza delle medesime e fungere da punto di contatto con le autorità di controllo fornendo loro le informazioni necessarie in caso di approfondimenti.

Chi ha l’obbligo di nominare il DPO
Nel rispetto del principio che prevede misure di protezione dei dati personali solo in funzione di effettive necessità, non tutte le aziende hanno l’obbligo di nominare il Data Protection Officer. In particolare non sono tenute alla nomina del DPO le piccole e medie imprese che abbiano contatto con dati personali unicamente per le attività connesse alla gestione corrente dei rapporti con fornitori e dipendenti. Al contrario devono nominare il DPO le aziende le cui principali attività consistono in trattamenti che richiedono il monitoraggio regolare e sistematico degli interessati su larga scala. In altri termini tutte le aziende che fanno del trattamento di dati personali una componente centrale del loro business. Ne sono un esempio le banche, le assicurazioni, le società finanziarie, gli istituti di vigilanza, le società che operano nella sanità e nella cura della salute in generale, le società informatiche e di marketing operativo e molte altre.

Quali competenze deve avere il DPO
Il Data Protection Officer svolge un ruolo molto delicato negli equilibri di un’azienda. Questo soprattutto in considerazione degli obblighi del GDPR e delle sanzioni ad esso connesse. Le competenze necessarie non possono che essere complesse e riconducibili come minimo ad una conoscenza specialistica della normativa e della prassi in materia di protezione dei dati, conoscenza del settore di attività e delle operazioni di trattamento svolte, nonché dei sistemi informativi preposti alla protezione dei dati stessi. Non è necessario che il DPO possieda attestati formali particolari o che sia iscritto ad un albo specifico, né sono previste abilitazioni dedicate. Ciò non toglie che il suo ruolo debba prevedere una competenza solida ed una capacità di relazionarsi direttamente con la Direzione Generale dell’azienda allo scopo di rappresentare le situazioni più complesse e pianificare i conseguenti interventi.

Il Data Protection Officer può essere nominato selezionando un dipendente dell’azienda o individuando un fornitore esterno alla stessa. La valutazione avverrà in funzione di considerazioni legate alle competenze richieste, alla necessità di indipendenza, ai costi correlati, al bisogno di un ruolo full-time o part-time e alla disponibilità contingente di figure adeguate.

Il Data Protection Impact Assessment per il GDPR, o DPIA può essere un documento da redigere in forma obbligatoria. Ma quali sono i casi in cui la sua assenza può provocare sanzioni importanti?

Il Garante della Privacy ha specificato le situazioni più comuni con provvedimento n° 467 dell’11 Ottobre 2018. Infatti le singole autorità nazionali hanno la libertà di integrare il regolamento con casistiche concrete ancorchè non esaustive.

Le casistiche individuate dal Garante della Privacy italiano identificano 12 tipologie di trattamento da sottoporre a valutazione di impatto. Queste configurano evidentemente un elevato rischio per le persone i cui dati personali sono oggetto di trattamento:

• Trattamenti valutativi o di scoring su larga scala, profilazione e attività predittive anche online o attraverso app;
• Decisioni automatizzate che producono effetti giuridici (come lo screening dei clienti di una banca per il tramite di dati di una centrale rischi);
• Osservazione, monitoraggio o controllo degli interessati, trattamento di identificativi univoci in grado di identificare gli utenti di servizi della società dell’informazione (compresi i trattamenti di metadati);
• Trattamenti su larga scala di dati aventi carattere estremamente personale;
• Trattamenti nel rapporto di lavoro mediante sistemi tecnologici (anche con riguardo ai sistemi di videosorveglianza e di geolocalizzazione);
• Trattamenti non occasionali di dati relativi a soggetti vulnerabili (minori, disabili, anziani, infermi di mente, pazienti, richiedenti asilo);
• Trattamenti effettuati attraverso l’uso di tecnologie innovative (IoT; intelligenza artificiale; assistenti vocali online attraverso lo scanning vocale e testuale; monitoraggi con dispositivi indossabili; tracciamenti di prossimità come il wi-fi tracking);
• Scambio tra diversi titolari di dati su larga scala con modalità telematiche; interconnessione, combinazione o raffronto di informazioni, compresi i trattamenti che prevedono l’incrocio dei dati di consumo di beni digitali con dati di pagamento (ad esempio mobile payment);
• Trattamenti di categorie particolari e di dati relativi a condanne penali e a reati interconnessi con altri dati personali raccolti per finalità diverse;
• Trattamenti sistematici di dati biometrici;
• Trattamenti sistematici di dati genetici.

Secondo il GDPR si intende per “dato personale” ogni informazione relativa ad una persona. Come una fotografia, un nome, un indirizzo email, un post su un social network o un indirizzo IP legato al computer con il quale viene effettuata una visita ad un sito Web.

Con il nuovo regolamento i cittadini dell’Unione Europea hanno un controllo molto più esteso sui propri dati personali, unitamente ad una maggiore rassicurazione sulle procedure di protezione dei dati stessi, che andranno aumentando di efficacia con il tempo.

Non esiste grande distinzione tra dati personali raccolti in contesti privati o in contesti lavorativi, quando si agisce come persone fisiche o come rappresentanti di un’azienda. E’ vero che le informazioni personali diffuse e raccolte nell’ambito di una relazione di lavoro sono collegate alle aziende che di fatto agiscono tramite i loro dipendenti e collaboratori. Tuttavia è bene pensare che i diritti alla protezione del dato personale si applichino in generale a tutti i dati che fanno capo all’operato di un individuo.

Quali sono i diritti introdotti o rafforzati dal GDPR?

• Il diritto di accedere al proprio dato personale e di domandare come lo stesso viene trattato dalla società una volta raccolto;
• Il diritto di essere dimenticato, nel senso di vedere il proprio dato personale cancellato a richiesta;
• Il diritto alla portabilità del dato, per esempio quando si cambia fornitore;
• Il diritto ad essere informato sulle procedure di raccolta del dato, prima che il dato personale venga raccolto;
• Il diritto ad ottenere correzioni del dato quando il dato sia non aggiornato e/o non corretto;
• Il diritto a restringere gli ambiti del trattamento del dato o di fermare del tutto il trattamento, anche qualora il dato personale rimanga nei registri di chi lo ha raccolto;
• Il diritto di opporsi al trattamento del dato, specialmente al trattamento per fini di marketing diretto;
• Il diritto di ricevere notifiche nel caso in cui siano occorsi fatti che mettono in pericolo la protezione del dato personale, con immediatezza rispetto all’accadere del fatto stesso.

Le implicazioni che tali diritti pongono all’attività di business sono importanti. E questo indipendentemente dalle sanzioni GDPR comminabili. Le disposizioni che devono essere attuate allo scopo di permettere l’esercizio delle nuove protezioni del dato personale sono numerose.

Il modo più efficace per poter realizzare le disposizioni necessarie è probabilmente quello di agire proattivamente e facendo in modo che il GDPR diventi un’occasione per innalzare la qualità generale delle azioni compiute dall’azienda e dai suoi individui.

Le tante occasioni in cui i rappresentanti aziendali entrano in contatto con individui e con i loro dati personali possono quindi trasformarsi in momenti di esercizio della “disciplina della qualità” che ogni singola azienda può darsi per rispettare il GDPR ma anche per raggiungere i propri obiettivi.

In questo senso, l’attitudine positiva al GDPR e l’orientamento al business e alla reputazione aziendale sono concretamente due facce della stessa medaglia.

Il nuovo Regolamento GDPR per la tutela dei dati personali dell’individuo è in vigore ormai da oltre due anni e la scadenza del 25 Maggio del 2018 è stata soltanto l’ultimo passaggio prima di arrivare alla piena operatività della disciplina.

Arrivano ora le prime sanzioni GDPR, che fanno discutere e imparare proprio in quanto si tratta delle prime manifestazioni delle Autorità competenti nell’ambito dell’Unione Europea.

C’è da sapere prima di tutto che le sanzioni amministrative possono essere di due tipologie:

• quelle, meno gravi, comminabili per le violazioni degli obblighi imposti a titolare, responsabile del trattamento, organismo di certificazione e organismo di controllo dei codici di condotta;
• quelle che riguardano nello specifico le violazioni dei principi di base del trattamento, comprese le condizioni relative al consenso, le violazioni dei diritti degli interessati, i trasferimenti di dati personali a un destinatario in un paese terzo o un’organizzazione internazionale, qualsiasi obbligo ai sensi delle legislazioni degli Stati membri oppure l’inosservanza di un ordine, di una limitazione provvisoria o definitiva di trattamento o di un ordine di sospensione dei flussi di dati dell’autorità di controllo (ovvero il Garante Privacy).

Le prime sono meno onerose delle seconde ma rimangono importanti. Possono ammontare sino a 10 milioni di euro o al 2% del fatturato dell’azienda nell’anno precedente se superiore, mentre le seconde hanno un tetto addirittura doppio sia in termini assoluti che in percentuale.

Nel frattempo le prime sanzioni GDPR sono state comminate per violazioni varie tra cui:

• omissione della corretta informazione a riguardo di attività di videosorveglianza in corso su suolo pubblico da parte di un’azienda austriaca (4mila euro)
• data breach relativo ad un numero significativo di password di posta elettronica di utenti tedeschi (20mila euro)
• mancanza di protezioni adeguate per l’accesso ai dati di pazienti di un’azienda ospedaliera portoghese (400mila euro).

Fa notizia in questi giorni anche la sanzione comminata a Google. Il gigante del Web ha subito un procedimento per scarse informazioni rese ai clienti in sede di configurazione di un dispositivo Android. L’informazione si trova in questi giorni su diversi articoli comparsi nei media.

Come si vede, per ora si tratta di casi isolati che sono destinati tuttavia ad aumentare. Il momento dell’azione a riguardo del GDPR è dunque arrivato…