Il responsabile della protezione dei dati personali: una figura strategica per le PA, la sanità ed il settore privato

Transcript

1 Il responsabile della protezione dei dati personali: una figura strategica per le PA, la sanità ed il settore privato Viterbo 29/9/2017 Prof. Avv. Gianluigi Ciacci Studio Legale Ciacci

2 un proliferare di responsabili

3 Il Responsabile nelle aziende e P.A. ü La proliferazione dei responsabili previsti nelle diverse realtà operative: Ø responsabile dei sistemi informativi Ø responsabile della conservazione Ø responsabile della trasparenza e anti corruzione (nel caso delle PA) Ø responsabile della gestione documentale, ovvero con il coordinatore della gestione documentale, se nominato (nel caso delle PA) Ø responsabile del servizio per la tenuta del protocollo informatico, della gestione dei flussi documentali e degli archivi (nel caso delle PA) Ø responsabile della sicurezza Ø responsabile del trattamento dei dati personali

4 Il Responsabile nella privacy Con riferimento alla normativa in materia di protezione dei dati personali, come si vedrà nel presente intervento, rispetto alla categoria generale del ü responsabile del trattamento dei dati personali si registrano poi: il responsabile della sicurezza il responsabile per l esercizio dei diritti l amministratore di sistema ed ora, con il nuovo Regolamento europeo 679/2016, anche il ü Responsabile della Protezione dei Dati di cui parleremo nel presente intervento

5 una premessa filosofica ma essenziale

6 Quando il saggio indica la luna, lo stolto guarda il dito

7 Adeguamento al Regolamento nomina del D.P.O. stolti o saggi?

8 una premessa di sistema: l accountability (principio di responsabilizzazione)

9 Il principio di accountability Per comprendere meglio la figura del D.P.O. è necessario partire dal principio di accountability Disciplinato nell art. 5, comma 2, del Regolamento con una formulazione un po difficile ( Il titolare del trattamento è competente per il rispetto del paragrafo 1 e in grado di comprovarlo responsabilizzazione, nella versione inglese the controller shall be responsible for, and be able to demonstrate compliance with, paragraph 1 - accountability - ) può essere così determinato

10 Il principio di accountability ü I titolari del trattamento devono porre in essere adeguate ed efficaci misure per garantire che i principi e gli obblighi stabiliti nel Regolamento siano rispettati: questo anche nella prospettiva di dover dimostrare l adozione di tali misure in caso di controllo ü Il titolare del trattamento dovrebbe dunque essere in grado di provare di avere adottato un insieme complessivo di misure (- giuridiche, - organizzative, - tecniche e - amministrative) per la protezione dei dati trattati coerentemente alle disposizioni del Regolamento, similmente agli attuali modelli ex D. LGS. 231/2001.

11 Un nuovo modo di intendere la protezione dei dati personali o Insieme alle altre figure della c.d. privacy by design e privacy by default, della valutazione di impatto privacy, portano ad un impostazione nuova e diversa del modo di approcciare la protezione dei dati personali; o non più concentrata sul singolo obbligo da adempiere, ma sull impostazione generale che tiene conto delle modalità corrette di trattare i dati personali. o E nello stesso senso deve essere intesa la nuova figura di responsabile prevista nel Regolamento, il DPO, non già come l ennesima incombenza che si deve far di tutto per evitare, ma come opportunità per raggiungere la finalità a cui tutti i titolari dovrebbero tendere: usare i dati personali che servono, ma bene, cioè proteggendo i soggetti a cui le informazioni si riferiscono.

12 e finalmente il responsabile per la protezione dei dati personali (Data Protection Officer) (D.P.O.)

13 Regolamento europeo: il D.P.O. Ø La figura soggettiva del D.P.O. ( responsabile della protezione dei dati ) è stata una delle più note e dibattute tra le novità introdotte dal Regolamento Ø Non ultimo perché è una realtà che potrebbe portare ad un business di rilevanti dimensioni, almeno occupazionali Ø Primo equivoco da chiarire è la differenza di tale figura rispetto al tradizionale responsabile del trattamento

14 Regolamento europeo: il D.P.O. Nel caso dell attuale responsabile del trattamento (art. 29 D.Lgs. 196/2003) si tratta di un soggetto a nomina facoltativa, che si occupa di applicare la legge su preposizione del titolare: responsabilità che si differenzia quindi a seconda delle funzioni specifiche che è chiamato a svolgere (responsabile della sicurezza, del trattamento dei dati del personale, dell esercizio dei diritti dell interessato, )

15 Regolamento europeo: il D.P.O. Nel caso invece del responsabile per la protezione dei dati personali, innanzitutto la nomina è prevista in determinate fattispecie di trattamento come obbligatoria (art. 37), mentre negli altri casi è solo facoltativa (anche se consigliabile per diversi motivi, non ultimo, come si è detto, per meglio costruire l immagine privacy della struttura ai fini dell accountability). Inoltre, i compiti del DPO sono stabiliti in partenza dal Regolamento (art. 39), e non cambiano a seconda della specifica attività su cui viene chiamato ad operare.

16 Regolamento europeo: il D.P.O. - nomina Secondo l art. 37 il D.P.O. deve essere nominato sistematicamente : ü ogni qualvolta il trattamento sia effettuato da un autorità pubblica o da un organismo pubblico (ad eccezione delle autorità giurisdizionali nell esercizio delle loro funzioni); ü nell ipotesi in cui i trattamenti per loro natura, ambito di applicazione, e/o finalità richiedano un monitoraggio degli interessati su larga scala; ü nel caso in cui il trattamento coinvolga dati sensibili o giudiziari (sempre su larga scala, e quale attività principale del titolare).

17 I chiarimenti delle Linee Guida WP29 sul punto

18 I chiarimenti delle Linee Guida WP29 Allo scopo di fornire un valido strumento per l applicazione dell importante normativa, il Gruppo Articolo 29 (Working Party article 29, o WP29, organismo consultivo e indipendente, composto dai rappresentanti delle Autorità dei singoli Paesi, oltre che dal Garante Europeo e da un rappresentante della Commissione) il 13 dicembre 2016 ha adottato le Linee-guida sui responsabili della protezione dei dati, completate da un allegato contenente le FAQ. Con riferimento alla nomina del DPO, nelle Linee Guida si evidenziano in particolare le spiegazioni relative ai concetti di attività principale, larga scala, monitoraggio regolare e sistematico

19 Le Linee Guida WP29 Il WP29 considera attività principale le operazioni essenziali che sono necessarie al raggiungimento degli obiettivi perseguiti dal titolare o dal responsabile del trattamento: questo senza escludere i casi in cui il trattamento di dati costituisce una componente inscindibile dalle attività svolte dal titolare o dal responsabile. Nelle FAQ allegate alle Linee Guida 2 esempi chiariscono (o dovrebbero chiarire) il concetto.

20 Esempi: Le Linee Guida WP29: attività principale 1. l'attività principale di un ospedale consiste nella prestazione di assistenza sanitaria e quindi nel trattamento di dati sensibili 2. l'attività principale di un'azienda di sicurezza privata, incaricata della sorveglianza di un determinato luogo privato o pubblico, consiste nel monitoraggio di tale sito e quindi nel trattamento di dati personali

21 Le Linee Guida WP29 Per determinare cosa si debba intendere con l espressione larga scala, il WP29 richiama il considerando 91 del Regolamento, in cui si indica che sono tali quegli utilizzi delle informazioni che mirano al trattamento di una notevole quantità di dati personali a livello regionale, nazionale o sovranazionale e che potrebbero incidere su un vasto numero di interessati e che potenzialmente presentano un rischio elevato. Il WP29, nello specificare che di fatto ad oggi può considerarsi impossibile precisare le quantità necessarie per considerare il trattamento su larga scala, prevede che in futuro non è da escludere che ci si riuscirà (!!!)

22 Le Linee Guida WP29 Vengono comunque specificati alcuni parametri per stabilire se si versa o meno nell ipotesi di trattamento su larga scala Ø il numero di soggetti interessati dal trattamento, in termini assoluti ovvero espressi in percentuale della popolazione di riferimento; Ø il volume dei dati e/o le diverse tipologie di dati oggetto di trattamento; Ø la durata, ovvero la persistenza, dell attività di trattamento; Ø la portata geografica dell attività di trattamento. E anche in questo caso si riportano alcuni esempi

23 Esempi: Le Linee Guida WP29: larga scala 1. il trattamento di dati personali posto in essere da parte di una banca o di una compagnia di assicurazione, nell'ambito delle loro attività ordinarie 2. il trattamento di dati personali da parte di un motore di ricerca per finalità di marketing comportamentale

24 Le Linee Guida WP29 Infine il WP29 specifica l espressione monitoraggio regolare e sistematico. Anche in questo caso il WP29 procede ad un iniziale richiamo ad un Considerando del Regolamento, il 24, che menziona il monitoraggio del comportamento di detti interessati ricomprendendovi senza dubbio tutte le forme di tracciamento e profilazione su Internet anche per finalità di pubblicità comportamentale. E quindi specifica che la nozione non si riferisce solo all ambiente on line.

25 Le Linee Guida WP29 Vengono quindi specificati i due aggettivi contenuti nell espressione. Per quanto riguarda l aggettivo regolare ha almeno (!) uno dei seguenti significati ü che avviene in modo continuo ovvero a intervalli definiti per un arco di tempo definito; ü ricorrente o ripetuto a intervalli costanti; ü che avviene in modo costante o a intervalli periodici.

26 Le Linee Guida WP29 L aggettivo sistematico ha poi almeno (!) uno dei seguenti significati a giudizio del WP29 ü che avviene per sistema; ü predeterminato, organizzato o metodico; ü che ha luogo nell ambito di un progetto complessivo di raccolta di dati; ü svolto nell ambito di una strategia. E anche in questo caso vengono riportate alcune esemplificazioni

27 Esempi: Le Linee Guida WP29: sistematico e regolare 1. tracciamento dei dati relativi allo stato di salute psico fisico attraverso dispositivi indossabili 2. monitoraggio dell'ubicazione mediante dispositivi mobili

28 tornando alla disciplina del Regolamento

29 Regolamento europeo: il D.P.O. Si tenga presente che nel caso si ritenga di non dover procedere alla nomina (perché l attività di trattamento del titolare non viene considerata rientrante nelle ipotesi previste dall art. 37, o perché comunque la nomina non viene nemmeno ritenuta utile) si consiglia di documentare le valutazioni compiute all interno dell azienda o dell ente per stabilire se si applichi o meno l obbligo di nomina, così da poter dimostrare che l analisi ha preso in esame correttamente i fattori pertinenti

30 Regolamento europeo: il D.P.O. La P.A., nel caso siano più amministrazioni, o i privati, nel caso di gruppi imprenditoriali, possono nominare un unico D.P.O. Tuttavia occorre tener conto ü delle dimensioni dell ente, ü della struttura organizzativa per non limitare l efficacia dell obbligo, questo in quanto il D.P.O., tra gli altri compiti, ü è il tramite tra titolare e interessato, ü ha funzioni di coordinamento con l Autorità di controllo.

31 Regolamento europeo: il D.P.O. Il Legislatore comunitario demanda poi alla normativa nazionale la previsione di ulteriori ipotesi di nomina obbligatoria, tenuto conto della tipologia di trattamento e delle modalità dello stesso. Mentre si prevede già nel testo del Regolamento la possibilità comunque di nominarlo anche per i soggetti che non rientrano nelle categorie obbligate

32 Regolamento europeo: il D.P.O. Ma se non si è obbligati, perché procedere comunque alla nomina? A parte il rilievo circa il vantaggio che si conseguirebbe nell osservanza della normativa, e quindi l aumento del margine competitivo delle imprese (così ad es. le Linee guida sul DPO del WP29 dicembre 2016), come detto più volte una nomina volontaria avrebbe un grande peso nell ambito della c.d. accountability di cui si è parlato all inizio del presente intervento

33 Regolamento europeo: il D.P.O. I requisiti funzionali del D.P.O., che può essere interno o esterno alla struttura del titolare, sono ü professionalità e indipendenza (anche nel rapporto di lavoro subordinato oltre che nel contratto di servizi), su questo specifico e importante punto è intervenuto il Garante due volte o a luglio sulle certificazioni o a settembre sui requisiti

34 Regolamento europeo: il D.P.O. Ancora con riferimento alle sue competenze, secondo l art. 37 comma 5 del Regolamento deve essere scelto in funzione delle qualità professionali, in particolare della conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati, e della capacità di assolvere i compiti previsti dal Regolamento (all art. 39). Ultimamente si è puntualizzato (nel caso specifico per rispondere a chi cerca di tirare acqua a un determinato mulino ) circa le sue capacità, che non devono essere unicamente tecniche, ma d altro canto nemmeno solo giuridiche: forse sarebbe opportuno considerare gli esperti di informatica giuridica

35 Regolamento europeo: il D.P.O. Per quanto riguarda i requisiti formali della nomina, l atto deve essere scritto, e contenere tutte le attività ed i compiti affidati al D.P.O. Secondo l art. 38 comma 3 non dovrà però ricevere alcuna istruzione (requisiti di indipendenza e professionalità) Non potrà essere rimosso o penalizzato da titolare e responsabile per quanto riguarda i propri compiti.

36 Regolamento europeo: il D.P.O. Con riferimento infine a tali compiti affidati al D.P.O., secondo l art. 39 essi sono almeno ü informare e fornire consulenza al titolare e al responsabile, nonché ai dipendenti che eseguono il trattamento, sugli obblighi in materia ü sorvegliare l osservanza del Regolamento, compresa la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo, ü controllare l attribuzione di compiti e responsabilità nei riguardi dei responsabili,

37 Regolamento europeo: il D.P.O. Ancora ü fornire un parere sulla valutazione di impatto privacy ü cooperare con l Autorità di controllo (il Garante) per questioni connesse al trattamento ü rispondere alle richieste degli interessati per tutte le questioni relative al trattamento dei loro dati personali e all'esercizio dei loro diritti derivanti dal Regolamento. Nell'eseguire i propri compiti il responsabile della protezione dei dati deve poi considerare debitamente i rischi inerenti al trattamento, tenuto conto della natura, dell ambito di applicazione, del contesto e delle finalità dello stesso (art. 39 comma 2).

38 Regolamento europeo: il D.P.O. Per poter lavorare adeguatamente, il D.P.O. deve quindi avere ü autonomia decisionale ü risorse economiche ed organizzative ü formazione specifica e aggiornata (art. 38 comma II) aspetti molto importanti soprattutto per i D.P.O. interni alla struttura

39 Regolamento europeo: il D.P.O. Con riferimento alla responsabilità del DPO, il Gruppo articolo 29, nelle Linee Guida pubblicate su tale figura nello scorso dicembre, specifica che non risponde personalmente in caso di inosservanza del Regolamento. Quest ultimo chiarisce che spetta al titolare o al responsabile del trattamento garantire ed essere in grado di dimostrare che le operazioni di trattamento sono conformi alle disposizioni del regolamento stesso (articolo 24, primo paragrafo). L onere di assicurare il rispetto della normativa in materia di protezione dei dati ricade quindi, come di regola, sul titolare o sul responsabile.

40 Regolamento europeo: il D.P.O. Volendo immaginare come si potrebbe sviluppare la responsabilità del D.P.O., facciamo alcuni ipotesi - DPO dice che non bisogna fare adempimento - Titolare non adempie - sanzione al titolare - regresso sul DPO

41 Regolamento europeo: il D.P.O. - DPO dice che bisogna fare adempimento - Titolare non adempie - Sanzione al titolare - Nessun regresso sul DPO (precostituirsi prova) - DPO dice che bisogna fare adempimento e come - Titolare adempie - Adempimento errato --- sanzione al titolare - Responsabilità professionale sul DPO (potrebbe provare di non essere stato messo in grado di lavorare)

42 Regolamento europeo: il D.P.O. Il DPO può poi svolgere anche altre attività oltre a quelle legate al suo incarico nei confronti di un determinato titolare ( altri compiti e funzioni secondo la terminologia usata nell art. 38 comma 6). In tal caso il titolare del trattamento o il responsabile del trattamento si assicura che tali compiti e funzioni non diano adito a un conflitto di interessi. Per meglio dettagliare quanto appena indicato, e in genere per tutti gli altri aspetti non disciplinati, si rinvia alla normativa nazionale: che avrà nel caso specifico un importante compito per rendere effettivamente operativa, ed efficace, tale importante figura.

43 In conclusione

44 In conclusione La figura del Data Protection Officer, come diversi aspetti della nuova disciplina in materia di protezione dei dati personali, deve essere ancora considerata un working in progress. Tra l altro soggetta agli interventi interni (ad opera di chi? Legislatore? Garante?) per completare il disposto del Regolamento. Altro problema rilevante (ma comune in generale alla nuova disciplina) è quello di implementare questa figura nell ambiente del nostro Paese: in cui ancora oggi l attuazione della normativa in materia è problematica, in quanto ad una diffusione accettabile (ma con quanta fatica e in quanto tempo) non corrisponde spesso un livello qualitativo sufficiente

45 Quindi? In conclusione Probabilmente l approccio migliore è quello di avvicinarsi all adempimento innanzitutto inquadrandolo non tanto nella solita incombenza vessatoria, quanto nell opportunità di realizzare l adeguamento all importante disciplina in maniera più efficace (il WP29 indica, si è detto, questo punto come la possibilità di aumentare il margine competitivo delle imprese ), oltre di acquisire le utilità legate alla regolamentazione di quello che oggi è il consulente privacy. Iniziando magari subito con l adeguamento (o comunque il suo controllo) al D.Lgs. 196/2003

46 Adeguamento al Regolamento nomina del D.P.O. stolti o saggi?

47