Con l’implementazione del Regolamento Generale sulla Protezione dei Dati (o GDPR, Regolamento 2016/679 del 27 aprile 2016, GU 119/1) che entrerà in vigore il 25 maggio 2018, il ruolo del Responsabile della Protezione dei Dati diventerà attuale.
Con la sua adozione nel 1996, la direttiva 95/46 / CE sulla protezione dei dati personali mira ad avviare uno spirito di conformità sulla privacy e i dati personali negli Stati membri. All’interno della direttiva, il Responsabile della Protezione dei Dati era già ben consolidato nel suo ruolo, ma doveva ancora acquisire un portafoglio e dei compiti piuttosto importanti all’interno delle aziende. Parallelamente, il Regolamento (CE) 45/2001, che si applica alle istituzioni, agli organi e alle agenzie dell’UE nel settore della protezione dei dati, ha effettivamente fornito connotati più pratici e una maggiore visibilità al ruolo del Responsabile della Protezione dei Dati. Ciò è stato fatto soprattutto attraverso il suo ruolo con il Garante Europeo della Protezione dei Dati (European Data Protection Supervisor – EDPS), un’istituzione dedicata dell’Unione Europea nel settore della protezione dei dati che ha acquisito un ruolo chiave nel corso degli anni in relazione al GDPR.
A livello nazionale, il Responsabile della Sicurezza dei Dati è stato visto piuttosto come un funzionario di collegamento tra un’impresa e l’autorità locale competente per la protezione dei dati. Il GDPR non vede più il Responsabile della Sicurezza dei Dati come un funzionario di collegamento, ma piuttosto come l’unico soggetto esperto in materia all’interno della tua azienda o della tua amministrazione.
Uno status speciale all’interno dell’organizzazione
Se sfogliamo velocemente il GDPR, possiamo contare circa 30 volte il termine “Responsabile per la Protezione dei Dati” diffuso negli articoli, capitoli, titoli e disposizioni effettive. Sebbene la sezione 4 (articoli dal 37 al 39 del regolamento 2016/679) si occupi in effetti della designazione, della natura e dei compiti del Responsabile per la Protezione dei Dati, il ruolo è presente anche in strumenti quali il Registro (articolo 30) o la Valutazione dell’Impatto sulla Protezione dei Dati (Data Protection Impact Assessment – DPIA, articolo 39 – la metodologia della valutazione dell’impatto sulla protezione dei dati sarà oggetto di un articolo distinto). È anche presente in altre sezioni come gli articoli 77 e 97. L’articolo 97, ad esempio, riguarda l’indipendenza del Responsabile per la Protezione dei Dati.
Tutto questo significa che il Responsabile per la Protezione dei Dati è il tuo consulente di fiducia in tutte le questioni legate alla privacy e alla protezione dei dati, specialmente se il tuo core business è basato sul trattamento di dati personali come nel settore bancario, nelle assicurazioni, nei servizi sanitari o nell’IT. Non solo il Responsabile per la Protezione dei Dati sarà in grado di consigliarti come un avvocato sulle varie questioni (ad es. attraverso la consulenza), ma in aggiunta, il Responsabile per la Protezione dei Dati potrà anche consigliarti prima dell’implementazione di un’elaborazione dati (ad es. attraverso l’ingegneria). Qui è dove le capacità del Responsabile per la Protezione dei Dati diventano molto utili: bisogna assicurarsi che questa funzione sia utilizzata in modo adeguato.
Competenze e abilità del Responsabile per la Protezione dei Dati: uno “sportello unico”
Il Responsabile per la Protezione dei Dati può essere visto come uno sportello unico o, se vogliamo fare un paragone con il campeggio, un coltello svizzero. Nelle società più grandi è più probabile che il Responsabile per la Protezione dei Dati possegga un forte background giuridico, ma la funzione non è interamente basata su questa competenza. Infatti, la varietà delle tecniche di valutazione nel GDPR indica che, ad esempio, una persona giuridica con la mentalità di un auditor (o viceversa) che abbia una forte capacità di comunicazione e una comprensione dell’IT e degli sviluppi della sicurezza avrà maggiori probabilità di svolgere bene il proprio compito.
Saranno necessarie tecniche di audit e di consulenza in quanto il Responsabile per la Protezione dei Dati è coinvolto nelle valutazioni relative al trattamento dati, come il DPIA di cui sopra. In questo ambito, pianificare, analizzare e dare seguito saranno alcune delle competenze importanti.
Inoltre, il compito del Responsabile per la Protezione dei Dati è quello di mantenere un livello sufficiente di sensibilizzazione sulla sicurezza dei dati all’interno dell’impresa (articolo 39.1.b del regolamento 2016/679). Si potrebbe sostenere che tanto più l’attività dipende dai dati personali, più la sensibilizzazione diventa vitale. Qui, le capacità di comunicazione saranno tanto importanti quanto la consulenza. Informando, educando e condividendo in ambito della protezione dei dati, il Responsabile per la Protezione dei Dati cercerà di diminuire gli errori in cui sono coinvolti i dati personali. A questo proposito, possiamo citare il Data Protection Day in Europa, ogni 28 gennaio, che segna l’anniversario della Convenzione 108 del Consiglio d’Europa sulla protezione dei dati personali.
Infine, nel caso in cui il tuo business si fondi sul software e sulle tecnologie o che ne sia costituito, vorrai che il Responsabile per la Protezione dei Dati parli con il tuo reparto IT. È anche noto che nelle piccole imprese (cioè nelle PMI), il Responsabile per la Protezione dei Dati possa anche essere membro del tuo reparto IT. Questo darà valore aggiunto, dal momento che la tecnologia circonda tutti. Un esempio pratico del ruolo del Responsabile per la Protezione dei Dati è definito nel DPIA. Mentre il Responsabile per la Protezione dei Dati sarà informato delle tue politiche e di altri controlli legali, valuterà anche le minacce, i rischi e i controlli di sicurezza del software che utilizza i dati personali. In altre parole, la valutazione dei rischi di una violazione di dati per una soluzione di cloud computing richiede che il Responsabile per la Protezione dei Dati si interessi di tecnologia.
Le missioni naturali del Responsabile della Protezione dei Dati: proteggere e consigliare
La prima missione del Responsabile della Protezione dei Dati è assicurarsi che il trattamento di dati personali non influisca negativamente sugli interessati. Questa è un’espressione piuttosto tecnica per dire semplicemente che il Responsabile della Protezione dei Dati non può intervenire post factum, una volta che l’elaborazione è già stata implementata. Come evidenziato in precedenza, la vera forza del Responsabile della Protezione dei Dati non è quella di consigliare dopo che il danno è stato fatto, ma di consigliare sulle pratiche migliori e di costruire una “privacy by design” e “privacy by default”.
Queste due espressioni significano semplicemente che il trattamento dei dati personali debba includere alcune garanzie, che sono convalidate indipendentemente dal Responsabile della Protezione dei Dati sin dall’inizio. Non farlo può comportare una più rapida implementazione, ma a costo di un rapporto negativo del Responsabile per la Protezione dei Dati. Ciò può anche comportare un costo in sanzioni giudiziarie e finanziarie. Con il GDPR, il rischio è ora troppo alto: vale la pena ottenere la convalida del processo dal Responsabile per la Protezione dei Dati o dal tuo Consulente per la Privacy prima dell’implementazione. Devi semplicemente coinvolgere questa persona nelle riunioni e nei riesami mentre stai testando il trattamento.
Come amministratore delegato, potresti immaginarti nella sede di “Chi vuol essere milionario“, di fronte al pubblico mentre il Responsabile per la Protezione dei Dati ti aiuta con una “telefonata ad un amico” ogni volta che hai problemi con il tuo trattamento. Il prsentatore di fronte a te è l’Autorità Nazionale per la Protezione dei Dati. È necessario avere le risposte giuste, quindi è necessario incorporare delle protezioni che siano in linea con la privacy by design e by default.
Per conoscere le fasi attraverso le quali il Responsabile della Protezione dei Dati implementerà il GDPR, scarica questo Diagramma gratuito per l’implementazione del GDPR dell’UE.