La figura del DPO può rivelarsi essenziale anche per supportare il Titolare del trattamento di dati personali nell’assolvimento del fondamentale compito di garantire l’accountability.
Indice degli argomenti
L’accountability: una rivoluzione copernicana
Alla domanda, ricorrente nei due anni intercorsi fra la sua entrata in vigore e la sua piena applicabilità, “ma quali sono le vere novità del GDPR?”, abbiamo dato a volte risposte diverse, ma forse alla fine gli elementi veramente innovativi sono poi tre: la figura del DPO, il concetto di accountability e la privacy by design.
In particolare l’accountability (tradotta come responsabilizzazione all’art. 5.2 del GDPR) marca il ribaltamento concettuale da una privacy essenzialmente prescrittiva (ovvero, indicare le “misure minime” per essere compliant e sanzionare se tali non sono applicate) ad un nuovo approccio basato appunto sull’assunzione di responsabilità da parte dell’organizzazione che tratta dati personali. In sostanza, il legislatore dice: cara azienda, sei maggiorenne e vaccinata, perché devo spiegarti io in dettaglio come trattare i dati personali in modo da proteggere i diritti degli interessati?
Il GDPR definisce quindi i princìpi, che sono sostanzialmente gli stessi della precedente Direttiva, ma rinuncia a definire le modalità con cui si tradurranno in misure nelle diverse situazioni concrete, che sono necessariamente diverse. Chi meglio dell’azienda conosce i suoi trattamenti, le tipologie di dati trattati e di interessati, le finalità e le modalità del trattamento, e può quindi calcolare il livello di rischio che incombe sui diritti degli interessati? E individuare di conseguenza le misure di sicurezza, organizzative e tecniche, adeguate?
La compliance: una responsabilità del Titolare
La privacy risk-based introdotta dal GDPR conduce quindi necessariamente a ribaltare sul Titolare l’onere di decidere le modalità per il corretto trattamento dei dati personali. Anche la soppressione del vecchio istituto della verifica preliminare da chiedere al Garante per l’avviamento di trattamenti ritenuti particolarmente critici per i diritti degli interessati, sostituito dalla valutazione di impatto (DPIA) a carico del Titolare, ben rappresenta l’inversione di paradigma fra la vecchia e la nuova impostazione, che sposta appunto sul Titolare la responsabilità delle scelte.
È tuttavia necessario tenere ben presente che fare le scelte corrette non sarà sufficiente per garantire la compliance dell’azienda: sarà anche necessario essere in grado di dimostrare e documentare le scelte fatte e le motivazioni che le hanno determinate.
Vale, ad esempio, per il modello organizzativo privacy: avete deciso di avere un Comitato Privacy, costituito dalle diverse funzioni coinvolte nella governance della privacy in azienda, oppure una figura monocratica di Privacy Officer? Scelte entrambe legittime, ma quali sono le motivazioni di tale scelta? E dove risultano documentate? Oppure: dato l’obbligo nomina DPO avete nominato un DPO, la decisione deriva dalla consapevolezza di rientrare nei criteri di obbligatorietà (ex Art.37.1 GDPR), oppure è frutto di una scelta di opportunità (prevista dall’Art. 37.4)? Tale valutazione è stata oggetto di una delibera del CdA? E ancora: la scelta di collocare la figura all’interno dell’organizzazione, e in quale posizione, oppure di ricorrere ad una esternalizzazione del servizio (Art. 37.6) da quali motivazioni è stata sorretta?
Si tratta solo di un esempio, ma potrebbe essere la prima cosa che vi chiede la squadra della Guardia di Finanza che si presenta per una visita ispettiva: avete il DPO? Se sì, perché? Se no, perché? E la risposta dovrà essere documentabile.
Il DPO come garante dell’accountability
In tutto questo, come si colloca la figura del Data Protection Officer e come può contribuire a dimostrare l’accountability? La prima opportunità l’abbiamo vista: la designazione stessa del DPO, se ben documentata ed argomentata, costituisce già un tassello rilevante dell’accountability, dimostrando che il Titolare non solo ha effettuato la scelta corretta secondo le circostanze, ma è in grado di illustrare le valutazioni che hanno condotto alla scelta e le delibere che la hanno formalizzata.
Poi sarà l’esecuzione delle attività assegnate al DPO a costituire essa stessa una forma di documentazione del livello di compliance privacy raggiunto e mantenuto dall’organizzazione.
Ciò avverrà in primo luogo nell’ambito della attività di controllo: pensiamo alla pianificazione degli audit, che deriverà da considerazioni su quali siano i trattamenti più critici da esaminare, e tale scelta sarà documentata, poi i controlli svolti produrranno un Audit Report ed un piano di remediation, di cui il DPO avrà cura di verificare e documentare lo stato di avanzamento dell’attuazione.
Inoltre, il DPO avrà necessità di raccogliere periodicamente, attraverso appositi “flussi informativi”, informazioni relative alle innovazioni introdotte in azienda dal punto di vista organizzativo, tecnologico, di business o di supply chain: tutti aspetti che potrebbero avere impatto sul trattamento dei dati personali e richiedere quindi un aggiornamento dei registri, dell’analisi dei rischi, delle nomine interne ed esterne e/o delle informative.
Questa raccolta di informazioni aiuterà il Titolare a documentare eventuali esigenze di privacy by design e mettere in cantiere le opportune iniziative.
Considerando un’altra delle funzioni tipiche di un DPO, la valutazione della formazione, questa comporterà un esame sia delle campagne di sensibilizzazione mese in atto dal Titolare che del materiale formativo reso disponibile.
Il DPO chiederà poi conto della pianificazione delle sessioni di formazione, in presenza o a distanza, generalista o specifica per funzione o trattamento, e dei criteri adottati per definire tali priorità.
Monitorerà, infine, l’effettiva esecuzione delle campagne previste ma soprattutto la loro efficacia, chiedendo al Titolare di rilevare tramite apposite survey e documentare il livello di consapevolezza prima e dopo le campagne formative.
Un altro ambito in cui la presenza e l’attività del DPO contribuiranno ad accrescere la possibilità di dimostrare l’accountability è quello delle valutazioni di impatto sulla protezione dei dati (DPIA): se la loro esecuzione è un adempimento in carico al Titolare, la valutazione sulla sua necessità rientra fra le prerogative del DPO.
Per poter svolgere la valutazione, il DPO esaminerà le caratteristiche del nuovo trattamento, i rischi per i diritti degli interessati e le misure adottate dal Titolare per mitigarli; valuterà quindi se le misure risultano sufficientemente efficaci, oppure se è necessario incrementarle; nei casi dubbi suggerirà il ricorso alla consultazione preventiva presso il Garante.
Tutta questa attività di valutazione costituisce un eccellente esempio di accountability, in quanto analizza e documenta le motivazioni che condurranno a considerare praticabile o meno il nuovo trattamento.
In conclusione, oltre a queste ed altre attività svolte in prima persona dal team del DPO, che contribuiranno come abbiamo visto ad un incremento dell’accountability, non va trascurato un benefico “effetto collaterale”: per le figure incaricate del trattamento di dati personali, ed in particolare per quelle individuate come referenti interni (o responsabili esterni), la coscienza della presenza costante di un DPO al quale dover rispondere sull’attenzione posta alla gestione della compliance in materia di privacy, costituirà indubbiamente uno stimolo non solo a considerare attentamente gli aspetti relativi alla protezione dei dati, ma anche a documentare le scelte fatte, per poterne dimostrare la validità.
Contributo editoriale sviluppato in collaborazione con P4Ihub
