Ogni impresa e ogni pubblica amministrazione può essere vista come un “sistema di sistemi”[1] cioè un insieme integrato di sistemi che combinano risorse e capacità per sviluppare processi aziendali o procedimenti amministrativi, orientati a realizzare rispettivamente gli obiettivi di business o i fini determinati dalla legge[2]: in questo particolare contesto, quando la missione dell’organizzazione privata o pubblica comporta un trattamento di dati personali sussiste il vincolo – rectius, l’obbligo – imposto dal GDPR, di progettare e implementare un “sistema di data protection” mettendo in atto misure tecniche e organizzative adeguate che garantiscano la protezione dei diritti e delle libertà fondamentali delle persone fisiche e la libera circolazione dei dati personali[3].
Per tale scopo, è, quindi, necessario definire politiche e procedure, acquisire ed organizzare gli strumenti tecnologici e soprattutto strutturare un modello organizzativo appropriato, attribuendo ruoli e responsabilità a tutti i soggetti dell’organizzazione.
Il ruolo è un insieme di compiti che presentano fra di loro caratteri di omogeneità. È suggestivo apprendere da Wikipedia che il termine ruolo etimologicamente deriva dal francese rôle contrazione di rôtle, a sua volta derivato dal latino ròtulus o rùtula diminutivo di ròta = ruota.
L’etimologia ci offre l’immagine di ciascun soggetto dell’organizzazione come la ruota dentata di un ingranaggio, che deve girare in modo integrato e sincronizzato con altre ruote dentate secondo un preciso design, per uno scopo ben definito. E questa immagine è perfettamente coerente con il metamodello organizzativo offerto dal GDPR per garantire la protezione dei dati personali.
Analizziamo quindi di seguito l’archetipo di organigramma di un sistema di data protection secondo il GDPR.
Indice degli argomenti
Sistema di data protection: l’esercente le funzioni di titolare
Al vertice dell’organigramma vi è la figura dell’esercente le funzioni di titolare. Il GDPR definisce come titolare[4] “la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali”.
Quindi è chiaro che le imprese e le pubbliche amministrazioni sono titolari ed esercitano le correlative funzioni attraverso organi cioè persone fisiche alle quali è stato attribuito il potere decisionale riguardo il “perché” e il “come” debbano essere trattati i dati personali.
I soggetti in un sistema di data protection
Nelle imprese private essi sono certamente i manager del c.d. “C-LEVEL” cioè, essenzialmente, coloro che eseguono la pianificazione strategica, definiscono obiettivi strategici ed attribuiscono compiti e funzioni per raggiungerli.
Negli enti pubblici, invece, le funzioni di titolare vengono esercitate da dirigenti/funzionari indicati nei documenti ordinativi. Al riguardo giova ricordare che l’art. 97 della Costituzione fissa una riserva di legge in relazione all’ordinamento degli uffici pubblici, statuendo testualmente che “I pubblici uffici sono organizzati secondo disposizioni di legge, in modo che siano assicurati il buon andamento e l’imparzialità dell’amministrazione. Nell’ordinamento degli uffici sono determinate le sfere di competenza, le attribuzioni e le responsabilità proprie dei funzionari”.
Quindi le dotazioni organiche, le posizioni di lavoro e le relative competenze sono fissate dalla legge. Con la delega di funzioni si possono trasferire le funzioni, anche se la responsabilità resta sempre in capo alla persona fisica alla quale la legge attribuisce la competenza.
Tale meccanismo è stato emblematicamente realizzato dalla Presidenza del Consiglio dei Ministri con l’art.3 del D.P.C.M. 25 maggio 2018 che, nell’ambito della stessa Presidenza del Consiglio, ha specificamente individuato i soggetti per l’esercizio delle funzioni di titolare dei trattamenti dei dati personali[5], negli alti dirigenti ai quali sono attribuiti poteri decisionali sulle finalità e sulle modalità di trattamento dei dati personali.
Il modello organizzativo disegnato dalla Presidenza del Consiglio dei Ministri (PCM), con gli opportuni adattamenti, può essere utilmente mutuato da tutte le Pubbliche Amministrazioni, come misura organizzativa che responsabilizzi i pubblici dirigenti, inducendoli a realizzare la compliance al GDPR, considerato anche che, in caso di violazioni Essi possono essere sottoposti a giudizio di responsabilità amministrativa innanzi alla Corte dei Conti, atteso che un’eventuale sanzione pecuniaria irrogata dal Garante costituisce un danno erariale[6].
Il manager pubblico o privato che esercita le funzioni di titolare deve definire, coltivare e governare, un sistema di data protection, comprendente le politiche, le procedure e i processi per gestire e monitorare i requisiti dell’organizzazione (organizzativi, legali, relativi al rischio, ambientali). I.d. Egli deve porre le regole per integrare i principi generali della protezione dei dati nei processi della sua organizzazione e deve dimostrare l’applicazione di tali regole.
I contitolari del trattamento
Tutti i processi aziendali e i procedimenti amministrativi nell’ambito dei quali girano dati personali devono quindi essere puntualmente e costantemente presidiati, in modo da consentire di intercettare tempestivamente eventuali rischi che possano impattare sui diritti e le libertà fondamentali o sulla libera circolazione dei dati.
Ecco perché quando due o più titolari del trattamento determinano congiuntamente le finalità e i mezzi del trattamento, Essi assumono il ruolo di contitolari e devono determinare in modo trasparente, mediante un accordo interno le rispettive responsabilità riguardo l’osservanza degli obblighi posti dal GDPR[7].
Il Responsabile (e il sub responsabile) del trattamento
Se l’impresa o la Pubblica amministrazione, per esigenze organizzative, ha la necessità di esternalizzare una attività che comporta un trattamento di dati personali (ad esempio un servizio di hosting), sussiste l’obbligo posto dal GDPR di ricorrere unicamente ad un responsabile del trattamento.
È, questo, un particolare ruolo che deve integrarsi precisamente nel sistema di data protection governato dal titolare e, per tale finalità, deve offrire garanzie sufficienti per realizzare un modello organizzativo che soddisfi i requisiti del GDPR e contestualmente garantisca i diritti degli interessati.
Per questo motivo il responsabile del trattamento deve essere “vincolato” al titolare per conto del quale tratta i dati personali, attraverso un contratto o altro atto giuridico che fissi precise istruzioni e pertinenti condizioni di garanzia[8].
Il responsabile del trattamento può ricorrere a sub-responsabili ma solo previa autorizzazione scritta, specifica o generale, da parte del titolare nei confronti del quale risponde, sempre e comunque, anche in caso di violazione degli obblighi da parte del sub responsabile.
Il Responsabile della Protezione dei dati (RPD o DPO)
Per l’esercizio delle loro funzioni, sia il manager/titolare che il responsabile del trattamento vengono coadiuvati e supportati dal Responsabile della Protezione dei Dati (RPD) o Data Protection Officer (DPO) che nell’idealtipo di organigramma che stiamo esaminando è in posizione di staff.
Tale figura, infatti, riferisce direttamente al vertice gerarchico del titolare o del responsabile del trattamento[9] ed essenzialmente svolge la duplice funzione di auditor e advisor. Infatti il GDPR gli attribuisce i compiti[10] di:
- informare e fornire consulenza al titolare/responsabile nonché ai dipendenti che eseguono il trattamento in merito agli obblighi nel settore della protezione dei dati;
- sorvegliare l’osservanza del GDPR nonché delle politiche del titolare o del responsabile, compresi l’attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo.
Sussiste l’obbligo di designare un RPD/DPO per tutte le Pubbliche Amministrazioni e per le imprese che come “core business” svolgano trattamenti di dati di particolare natura previsti dagli artt. 9 e 10 GDPR su larga scala o trattamenti di dati che richiedono il monitoraggio regolare e sistematico degli interessati su larga scala[11].
Il RPD/DPO svolge anche il ruolo di “facilitatore” del Garante che si rivolge a tale figura per esercitare i propri poteri di indagine, correttivi, autorizzativi e consultivi. Per tale motivo il titolare/responsabile del trattamento deve comunicare tempestivamente all’Autorità i dati esatti di contatto del RPD/DPO[12], e deve assicurarsi che questi sia tempestivamente e adeguatamente coinvolto in tutte le questioni riguardanti la protezione dei dati personali.
Quali soggetti possono essere designati come DPO
Il DPO che può essere un dipendente della impresa/P.A. od anche un professionista esterno, “è designato in funzione delle qualità professionali, in particolare della conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati, e della capacità di assolvere i compiti fissati dal GDPR[13]”.
Il Garante, in un recente provvedimento,[14] ha precisato che “la conoscenza di norme e prassi in materia di protezione dei dati personali può essere dimostrata, in primo luogo, attraverso una documentata esperienza professionale e/o anche attraverso la partecipazione ad attività formative specialistiche (ad esempio, master, corsi di studio e professionali, specie se risulta documentato il livello di acquisizione delle conoscenze). Rientra in questo contesto anche la certificazione volontaria acquisita sulla base della norma tecnica italiana UNI 11697 “Attività professionali non regolamentate – Profili professionali relativi al trattamento e alla protezione dei dati personali – Requisiti di conoscenza, abilità e competenza”, che può rappresentare un elemento utile di valutazione della preparazione del candidato, ma non un’abilitazione di per sé aprioristica”[15].
Sempre secondo il Garante, la conoscenza specialistica può anche essere dimostrata con curricula e autocertificazioni che comprovino le particolari attività ed esperienze lavorative professionali svolte. Particolare valore può assumere l’eventuale esperienza del candidato in organizzazioni simili a quella del titolare.
Gli incaricati
La necessità di presidiare in modo puntuale i processi su cui girano dati personali postula la necessità che tutte le persone fisiche che materialmente eseguono i trattamenti siano appositamente autorizzate/designate dal titolare o dal responsabile mediante l’attribuzione di specifici compiti e funzioni.
L’art.2 quaterdecies del Codice Privacy novellato, come corollario del principio di accountability, rimette al titolare o al responsabile la scelta della modalità più opportuna per autorizzare al trattamento dei dati le persone che operano sotto la loro autorità diretta.
Un generale ed efficace criterio di designazione può essere mutuato dal citato D.P.C.M. 25 maggio 2018, che all’art. 10, quale strutturale misura organizzativa, stabilisce che:
- i dirigenti della Presidenza del Consiglio dei ministri (PCM) che trattano dati personali in relazione alle competenze attribuite o comunque esercitate presso gli uffici cui sono preposti, sono autorizzati al trattamento nel rispetto delle misure e delle istruzioni adottate da chi esercita le funzioni di titolare del trattamento dei dati personali.
- è autorizzato al trattamento dei dati personali tutto il personale in servizio presso la PCM che tratta dati personali in relazione alle competenze della unità organizzativa alla quale è stato assegnato, salvo eventuali diverse determinazioni adottate dai soggetti che esercitano le funzioni di titolare.
In questo modo, con un unico atto ordinativo generale, per le attività di trattamento che non comportano particolari rischi, è possibile autorizzare/designare il personale dipendente, facendo riferimento alle funzioni aziendali/unità organizzative di appartenenza.
Tuttavia per particolari ruoli all’interno di imprese ed enti pubblici una designazione generale non appare sufficiente. Così, e.g., per l’amministratore di sistema, figura professionale dedicata alla gestione e alla manutenzione di impianti di elaborazione con cui vengano effettuati trattamenti di dati personali, il Garante, con provvedimento del 27 novembre 2008, tuttora applicabile [16] ha stabilito che:
- la designazione deve essere individuale e recare l´elencazione analitica degli ambiti di operatività consentiti in base al profilo di autorizzazione assegnato.
- gli estremi identificativi delle persone fisiche designate amministratori di sistema, con l´elenco delle funzioni ad essi attribuite, devono essere riportati in un documento interno da mantenere aggiornato e disponibile in caso di accertamenti da parte del Garante.
- qualora l´attività degli amministratori di sistema riguardi anche indirettamente servizi o sistemi che trattano o che permettono il trattamento di informazioni di carattere personale dei lavoratori, i titolari pubblici e privati sono tenuti a rendere nota o conoscibile l´identità degli amministratori di sistema nell´ambito delle proprie organizzazioni, secondo le caratteristiche dell´azienda o del servizio, in relazione ai diversi servizi informatici cui questi sono preposti. Ciò, avvalendosi dell´informativa resa agli interessati ai sensi dell’art. 13 GDPR e della’art.4. comma 3 dello Statuto dei Lavoratori.
Inoltre anche per le autorizzazioni dei tecnici informatici che non rivestano la qualifica di amministratore di sistema, il paragrafo 12.1 della Prassi di Riferimento UNI PdR 43.1:2018 “Linee guida per la gestione dei dati personali in ambito ICT secondo il GDPR” suggerisce al titolare di effettuare designazioni individuali per iscritto che riprendano sinteticamente i contenuti principali delle singole funzioni attribuite a ciascun incaricato.
Per analogia, si suggerisce di eseguire sempre designazioni scritte, individuali ed analitiche di entità chiamate a svolgere trattamenti di categorie particolari di dati personali ex art. 9 e art. 10 GDPR.
Modellazione dei processi aziendali/procedimenti amministrativi
Dopo aver strutturato il modello organizzativo, attraverso l’attribuzione di ruoli e responsabilità vanno modellati i processi aziendali/procedimenti amministrativi mettendo in relazione ogni soggetto con le attività corrispondenti al ruolo assegnato a ciascuno.
A tale scopo risulta molto utile la matrice di assegnazione delle responsabilità nota come RACI che è l’acronimo delle iniziali dei seguenti 4 ruoli in lingua inglese:
Responsible (R): chi assegna l’attività, Accountable (A): chi deve rendere conto del risultato dell’attività; Consulted (C): chi deve essere consultato per supporto o consiglio; Informed (I): chi deve essere informato.
Conclusioni
L’organizzazione delle risorse umane nell’ambito del sistema di data protection dopo essere stato definito ed implementato, deve essere periodicamente riesaminato ed aggiornato in linea con il ciclo di vita dei trattamenti di dati personali, considerando che la compliance al GDPR non è un “bollino” da apporre al sistema, è, si, qualcosa di semplice da capire ma difficile da coltivare.
NOTE
The Open Group (2008) TOGAF versione 9. Van Haren Publishing, 1 nov. 2008, p.73. ↑
Vds. Art. 1 legge 241/1990. ↑
Artt. 24 e 25 GDPR. ↑
Art.1, par.1, n. 7) GDPR. ↑
Ciascuno nel rispettivo ambito di competenza, sono i Capi dei Dipartimenti, i Capi degli uffici autonomi, i Capi degli uffici di diretta collaborazione del Presidente, i Capi di Gabinetto degli uffici di diretta collaborazione dei Ministri e dei Sottosegretari, i Coordinatori delle strutture di missione, qualora non istituite presso strutture generali della PCM, il Segretario generale. ↑
Vds, Sentenza n. 429/2019 della Corte dei Conti – Sez. Giur. della Calabria. ↑
Art. 26 GDPR. ↑
Vds. art. 28 GDPR. ↑
Cosi’, art. 38, par.3, GDPR . ↑
Art. 37, par. 1, lett. a) e b) GDPR. ↑
Per individuare i casi in cui sussista l’obbligo di designazione del DPO si consiglia la consultazione delle Linee Guida del WP 29 sui responsabili della protezione dei dati (RPD), WP 243 rev. 01. ↑
Art. 37, par. 7 GDPR. ↑
Art. 37, par.5 GDPR. ↑
Provvedimento GPDP del 29 aprile 2021 – Documento di indirizzo su designazione, posizione e compiti del Responsabile della protezione dei dati (RPD) in ambito pubblico. ↑
Vds. anche Allegato 1- Appendice B al Provvedimento GPDP n.148 del 29 luglio 2020. ↑
L’art. 22, co.4 del D.Lgs. 101/2018 sancisce che a decorrere dal 25 maggio 2018, i provvedimenti del Garante per la protezione dei dati personali continuano ad applicarsi, in quanto compatibili con il suddetto regolamento e con le disposizioni del presente decreto. ↑