L’entrata in vigore del Regolamento UE 679/2016 (GDPR) ha portato le imprese a definire in modo più specifico una governance aziendale in materia di protezione dei dati personali, partendo dal titolare del trattamento (identificabile con l’azienda stessa nel suo complesso, che definisce le finalità e i mezzi del trattamento) fino ad arrivare ai soggetti autorizzati al trattamento dei dati ed ai soggetti interessati, ovvero coloro a cui i dati personali si riferiscono.
Tra questi soggetti si inseriscono altre figure che intervengono nel trattamento dei dati personali e che vengono disciplinate dalla normativa applicabile, quali i responsabili del trattamento, il Data Protection Officer e gli amministratori di sistema.
Spesso, tuttavia, le aziende prevedono ulteriori figure, appositamente nominate all’interno dell’organigramma aziendale, al fine di predisporre una struttura che sia in grado di soddisfare le esigenze dell’azienda in ambito privacy (ad esempio eventuali delegati interni, privacy officer e via dicendo).
Indice degli argomenti
L’organigramma aziendale in ambito privacy
La definizione di tale organigramma con indicazione di chi fa e che cosa, ruoli e responsabilità è importante anche in termini di accountability, in quanto consente di definire tutti i soggetti che possono trattare dati personali all’interno dell’azienda e le relative responsabilità, limitando di fatto i rischi per i diritti e le libertà dei soggetti interessati.
Allo stesso modo, consentirà all’azienda di avere il controllo delle operazioni di trattamento dei dati personali, cercando di evitare per quanto possibile eventuali violazioni.
Tutti i soggetti presenti all’interno del suddetto organigramma dovranno poi necessariamente ricevere adeguata e specifica formazione in base al loro ruolo ed ai dati personali che potranno trattare nello svolgimento dell’attività lavorativa.
Diversamente, il sistema di gestione della privacy aziendale potrebbe risultare fragile, essendo carente di competenze e conoscenze.
Il dialogo fra il gruppo di lavoro privacy e il DPO: ruoli e compiti
All’interno della governance aziendale, un ruolo fondamentale è rivestito dal Data Protection Officer, ovvero dal soggetto che, ai sensi dell’articolo 39 del Regolamento Ue 679/2016, ha l’obbligo di fornire consulenza al titolare in merito al trattamento dei dati personali, sorvegliare l’osservanza del Regolamento UE 679/2016 e della normativa in ambito privacy, fornire pareri in merito alla valutazione d’impatto, cooperare e fungere da punto di contatto con l’autorità di controllo.
Nonostante i compiti previsti a carico del Data Protection Officer dal Regolamento UE 679/2016, molto spesso tale soggetto viene coinvolto dall’azienda per la risoluzione e gestione di qualunque eventuale problematica relativa al trattamento dei dati personali, sia essa di carattere legale, tecnico o organizzativo.
Tale impostazione è in primo luogo fuorviante in quanto non rientra nella funzione del ruolo del DPO che non deve svolgere compiti gestionali[1].
Nelle realtà complesse, infatti, il DPO non riuscirà da solo ad esaminare tutte le questioni e gli obblighi previsti dalla normativa applicabile in materia di privacy ed è pertanto indispensabile un dialogo costante tra le varie figure coinvolte nel sistema di gestione della privacy aziendale, al fine di incrementare l’efficienza e limitare altresì i costi per l’adeguamento alla normativa.
A tal proposito, è opportuno che le aziende costituiscano un gruppo di lavoro interno, che collabori con il Data Protection Officer e si occupi delle questioni attinenti al trattamento dei dati personali.
Lo stesso gruppo di lavoro WP29 prevede la possibilità che il DPO sia supportato da collaboratori nell’adempimento delle proprie funzioni. Nelle Linee Guida sui responsabili della protezione dei dati del WP29[2] viene infatti indicato che “poiché il RPD è chiamato ad una molteplicità di funzioni, il Titolare del trattamento o il Responsabile del trattamento deve assicurarsi che un unico RPD, se necessario supportato da un team di collaboratori, sia in grado di adempiere in modo efficiente a tali funzioni anche se designato da una molteplicità di autorità e organismi pubblici”.
Costituzione di un gruppo di lavoro
Come anticipato sopra, è importante che all’interno delle aziende venga costituito un team di persone che collabori per l’analisi, la valutazione e la risoluzione di ogni problematica attinente al trattamento dei dati personali da un punto di vista legale, tecnico ed organizzativo.
Tale gruppo di lavoro, coadiuvato dal Data Protection Officer, dovrebbe essere composto almeno da un soggetto per ognuna delle aree aziendali che intervengono maggiormente nel trattamento dei dati personali (a titolo di esempio IT & Security, Legal, Marketing, HR, Internal Auditor).
In tal modo, al momento della presentazione di un’eventuale problematica o comunque anche nello svolgimento dell’attività ordinaria volta alla protezione dei dati personali, l’azienda avrà sempre idonee competenze per la valutazione di ogni situazione.
Allo stesso modo, nella definizione e redazione delle procedure aziendali, si potrà contare su un gruppo di persone esperte ed a conoscenza della realtà aziendale, che consenta di definire procedure che possano essere attuate e non rimangano solo documenti inattuabili e di difficile comprensione.
La costituzione del suddetto gruppo di lavoro e il continuo confronto tra i membri dello stesso permetterà anche al Data Protection Officer di svolgere i suoi compiti al meglio, cercando di garantire il rispetto della normativa applicabile in materia di trattamento dei dati personali e fornire adeguata consulenza al titolare.
Si consiglia altresì di redigere un agile documento che descriva i compiti ed il funzionamento di tale gruppo di lavoro, la sua posizione all’interno dell’organigramma aziendale, i rapporti con gli altri uffici, nonché le relative responsabilità.
Vista l’importanza del confronto tra i membri del gruppo di lavoro, sarà poi indispensabile fissare riunioni periodiche, in modo che tutti i membri siano sempre costantemente aggiornati sulle attività di trattamento svolte dall’azienda e sulle eventuali problematiche sorte.
Il dialogo fra il gruppo di lavoro privacy e il DPO: gestire un data breach
Un esempio dell’importanza di avere un gruppo di lavoro nella gestione delle tematiche relative al trattamento dei dati personali è la gestione di un data breach. In tale evenienza, una volta ricevuta la segnalazione, è importante che il Data Protection Officer si interfacci con le altre figure aziendali al fine di definire il perimetro della violazione, la sua natura e le eventuali conseguenze e le azioni correttive.
Ad esempio, i dipendenti dell’area IT potranno provvedere, attraverso gli strumenti messi a disposizione dal titolare del trattamento, a rilevare, analizzare, contenere gli incidenti, a valutarne l’impatto sui dati personali trattati ed individuare gli asset aziendali interessati.
Inoltre, potranno fornire supporto nell’analisi di dettaglio degli eventi di data breach, nell’individuazione della causa scatenante dell’evento e nell’analisi dei possibili impatti per i diritti e le libertà dei soggetti interessati.
Tale collaborazione consentirà una gestione rapida ed efficace della violazione, potrà ridurre il rischio di errori di valutazione e permetterà di risolvere la problematica ed effettuare l’eventuale comunicazione all’autorità di controllo entro le 72 ore previste dall’articolo 33 del Regolamento UE 679/2016.
Lo stesso vale nei casi di eventuali ispezioni da parte dell’autorità di controllo, in quanto il gruppo di lavoro potrà assistere e collaborare con il Data Protection Officer nel soddisfare le richieste provenienti da tale autorità e rispondere ai quesiti posti nel corso dell’attività ispettiva.
Come indicato nel recente regolamento n. 1/2019 del Garante Privacy, concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali nel corso dell’attività ispettiva, della quale può essere dato preavviso, è possibile, in particolare:
- controllare, estrarre ed acquisire copia dei documenti, anche in formato elettronico;
- richiedere informazioni e spiegazioni;
- accedere alle banche dati ed agli archivi;
- acquisire copia delle banche dati e degli archivi su supporto informatico.
Tali sopra citate complesse attività richiedono pertanto la costituzione di un gruppo di lavoro e di una rete di referenti interni al fine di dimostrare all’autorità Garante le scelte compiute in materia di protezione dei dati personali, nel rispetto del principio dell’accountability.
Il Garante ha inoltre aggiornato nel 2016 il protocollo di intesa con la Guardia di Finanza: le ispezioni sono ora condotte da funzionari sia di preparazione giuridica che tecnico – informatica: è pertanto indispensabile per l’impresa avvalersi di un gruppo di lavoro interno con competenze interdisciplinari.
NOTE
- Per approfondire, Francesco Pizzetti, Gdpr, ecco le vere funzioni del DPO: “attenti, non è un mestiere”. ↑
- Gruppo di lavoro Art. 29, Linee-guida sui responsabili della protezione dei dati (RPD) – WP243 adottate il 13 dicembre 2016. ↑
