Tutela della privacy e il fondamentale ruolo del DPO

Il DPO, Data Protection Officer – in italiano RPD, Responsabile della Protezione dei Dati – è la figura introdotta nel 2016 (con applicazione dal 2018) dal Regolamento generale sulla protezione dei dati (GDPR) e che ha la funzione principale di affiancare chi tratta dati personali, seguendo i princìpi e le indicazioni del Regolamento stesso e del Codice Privacy.

La figura e i compiti del Data Protection Officer

Il DPO è un consulente tecnico/legale che riveste un triplice ruolo: consigliare e sorvegliare, fungere da tramite tra il titolare/responsabile del trattamento e l’autorità e tra titolare/responsabile del trattamento e i soggetti interessati. Informando e consigliando come un counselor e facilitando il percorso di autoconsapevolezza del titolare/responsabile del trattamento, egli fornisce consulenza tecnica e legale su come raccogliere, trattare e conservare i dati personali in modo conforme al GDPR, facendo comprendere cosa siano, perché vanno protetti, cos’è una violazione, come e quando segnalarla e quali valutazioni compiere per minimizzare i rischi derivanti dal trattamento dei dati stessi.

Il GDPR prescrive che il DPO deve anche sorvegliare, mettendo in atto attività di controllo sul titolare/responsabile sui processi aziendali. In maniera pragmatica, osserva cosa fa il titolare/responsabile del trattamento, lo affianca ed evidenzia i comportamenti non corretti. Egli redige inoltre, almeno una volta all’anno, il rapporto di sorveglianza, che elenca le misure adottate dall’impresa per proteggere i dati, la valutazione della loro conformità alla normativa sulla privacy e le azioni consigliate per proseguire nel percorso di compliance. Se il titolare lo richiede, il DPO può fornire anche un parere circa la valutazione d’impatto sulla protezione dei dati (DPIA) e sorvegliarne lo svolgimento.

 

La Valutazione d’impatto sulla protezione dei dati

La DPIA (Data Privacy Impact Assessment) è una valutazione obbligatoria quando un trattamento dei dati può comportare un rischio elevato per i diritti e le libertà delle persone interessate.

Dalle Autorità sono stati individuati dei criteri specifici per i casi in cui è necessario che il titolare/responsabile effettui la valutazione di impatto: ad esempio, i trattamenti valutativi, di scoring o la profilazione; le decisioni automatizzate che producono significativi effetti giuridici (per esempio, assunzioni, concessione di prestiti, stipula di assicurazioni); il monitoraggio sistematico (ad esempio, la video-sorveglianza); il trattamento di dati sensibili, giudiziari o di natura estremamente personale (es, informazioni sulle opinioni politiche); i trattamenti di dati personali su larga scala; il trattamento di dati relativi a soggetti vulnerabili (minori, persone con patologie psichiatriche, richiedenti asilo, anziani, ecc.); gli utilizzi innovativi oppure l’applicazione di nuove soluzioni tecnologiche od organizzative (es, il riconoscimento facciale); i trattamenti che, di per sé, potrebbero impedire agli interessati di esercitare un diritto o di avvalersi di un servizio o di un contratto (es, screening dei clienti di una banca tramite i dati registrati in una centrale rischi per stabilire la concessione di un finanziamento).

 

Quando è obbligatorio nominare il DPO

Sebbene tutte le organizzazioni italiane che trattano dati personali di persone residenti nell’Unione Europea debbano rispettare il GDPR, non tutte sono tenute a nominare un DPO. Il GDPR indica espressamente, all’articolo 37, i casi in cui la nomina di un Data Protection Officer è obbligatoria e cioè quando il trattamento dei dati personali è svolto da un’autorità o un ente pubblico. L’obbligo vale anche per tutti i soggetti la cui attività principale consiste nel trattamento sistematico o nel monitoraggio su larga scala dei dati personali o di categorie particolari di dati come quelli sanitari e giudiziari.

La laconicità delle definizioni normative non consente di definire con esattezza il perimetro entro cui la nomina del DPO debba ritenersi obbligatoria. Il documento WP243 redatto dal Gruppo di lavoro Art. 29 si è tuttavia premurato di affermare che, tranne quando sia evidente che un soggetto non è tenuto a nominare un DPO, si raccomanda ai titolari e responsabili del trattamento di documentare le valutazioni compiute all’interno dell’azienda per stabilire se si applichi o meno l’obbligo di nomina di un DPO, in modo da poter dimostrare che l’analisi ha preso in esame correttamente i fattori pertinenti.

Attesa la labilità delle definizioni, ben può sussistere in alcune fattispecie il concreto rischio che la scelta di una società di non nominare un DPO possa risultare contraria al Regolamento. La scelta di non nominarlo in ossequio al principio di responsabilizzazione del titolare deve essere, quindi, necessariamente frutto di una ragionata analisi di cui la società/ente deve essere in grado di dimostrare lo svolgimento.

 

Preferibile avvalersi di un team di professionisti date le varie competenze richieste

Dall’introduzione di questa figura professionale vi è stato un continuo confronto tra giuristi e informatici che sostengono – ognuno per la propria parte – la naturale vocazione allo svolgimento della professione di DPO. In realtà, è molto difficile, se non impossibile, che un singolo professionista possa possedere tutte le competenze richieste dalla normativa (giuridiche, tecnico informatiche di comunicazione e manageriali), e proprio per questo motivo si ritiene necessario che un DPO si avvalga di un gruppo di professionisti ciascuno specializzato in un determinato settore, come tra l’altro suggerito dagli stessi Garanti europei nelle linee guida.

Il rischio, infatti, potrebbe essere quello di avere aziende conformi al GDPR dal punto di vista informatico e meno dal punto di vista organizzativo, documentale, procedurale, gestionale o viceversa. Si ritiene infatti che il DPO debba avere alcune caratteristiche singolari: deve essere un professionista esperto della materia della gestione, trattamento, protezione dei dati personali e tutela della privacy. Deve, quindi, disporre di competenze giuridiche e di gestione del rischio e di una conoscenza delle normative specifiche e delle procedure amministrative del settore in cui opera l’organizzazione di cui è DPO. Deve anche avere anche acquisito competenze ad hoc riguardanti le tecnologie di sicurezza informatica, oltre che un talento per il problem solving e una forte attitudine alle relazioni interpersonali e alla comunicazione.

Per questa ragione, la possibilità di mettere in campo un mix di professionisti con le relative professionalità rappresenta senza dubbio un valore aggiunto per svolgere in modo efficace il ruolo di Data Procection Officer, dovendosi esso occupare, come si è visto, di tutti gli aspetti che impattano il trattamento di dati personali nell’ambito dei vari processi aziendali e che possono riguardare anche nuove tecnologie e servizi innovativi. Dunque, un compito di estrema responsabilità, anche se, almeno allo stato attuale, secondo le indicazioni dei Garanti della Privacy europei, per l’esercizio delle funzioni di DPO non è richiesta l’iscrizione ad appositi albi o il possesso di titoli o certificazioni specifiche.

La necessaria imparzialità di questa figura

Ulteriore aspetto da tenere in conto quando si tratta di individuare e nominare il DPO è quello della necessaria imparzialità che deve contraddistinguere tale figura rispetto al Titolare e al Responsabile del trattamento dei dati personali. Il Data Protection Officer, infatti, deve obbligatoriamente essere una figura indipendente, un supervisore unico e super partes che si occupi (preferibilmente in via esclusiva) della vigilanza sulla corretta applicazione del Regolamento Europeo.

Ecco perché sono sempre più numerose le organizzazioni che decidono di optare per un servizio DPO esterno rivolgendosi a società che si avvalgono di una squadra con competenze tecniche miste; in ogni caso, il DPO esterno potrà essere aiutato nello svolgimento dei suoi compiti da uno o più soggetti interni all’azienda. I servizi esterni, denominati anche “DPO as a service“, in pratica, mettono a disposizione delle aziende un team di risorse multidisciplinari in grado di affrontare con professionalità e competenza tutti i compiti attribuiti a questa figura. Si tratta di un investimento particolarmente utile, non solo per la tutela e la sicurezza del personale e dei clienti/utenti di un’azienda, ma anche per ragioni economiche, perché in caso di violazione si può venire sanzionati e anche in maniera pesante.

 

Le pesanti sanzioni che rischiano le aziende per le violazioni in materia di tutela dei dati

Solo per citare alcuni dei più recenti provvedimenti, il Garante per la protezione dei dati personali ha comminato una sanzione di circa tre milioni di euro ad Iren Mercato S.p.A., società operante nel settore energetico, per non aver verificato che tutti i passaggi dei dati dei destinatari delle promozioni fossero coperti dal consenso. A seguito di vari reclami e segnalazioni, infatti, il Garante ha accertato che la società aveva trattato dati personali per attività di telemarketing, che non aveva raccolto direttamente, ma aveva acquisito da altre fonti. Iren aveva ottenuto liste di anagrafiche da una S.r.l., che a sua volta le aveva acquisite, in veste di autonomo titolare del trattamento, da altre due aziende. Queste ultime società avevano ottenuto il consenso dei potenziali clienti per il telemarketing effettuato sia da loro che da parte di terzi, ma tale consenso non copriva anche il passaggio dei dati dei clienti dalla S.r.l. all’Iren.

Tra le “vittime illustri” del Garante anche Tim e Wind: osservato speciale il telemarketing

Il 15 gennaio 2020, poi, l’operatore di telecomunicazioni TIM è stato sanzionato per ben 27,8 milioni di euro dal Garante, per una strategia di marketing troppo aggressiva. Milioni di individui sono stati bombardati con chiamate promozionali e comunicazioni non richieste, alcuni dei quali erano su liste di non contatto ed esclusione. E sempre in tema, il 13 luglio 2021 il Garante ha imposto una multa di oltre sedici milioni euro alla società di telecomunicazioni Wind a causa delle sue attività illegali di marketing diretto.

Anche Facebook è stato nuovamente multato dall’autorità italiana per la concorrenza, questa volta con una sanzione di sette milioni, per non aver rispettato un precedente ordine relativo a come il colosso dei social network informa gli utenti sugli usi commerciali che fa dei loro dati.

Sanzionate anche Aziende sanitarie

Per passare poi a un altro ambito di dati assai sensibili, quelli sanitari, il Garante ha sanzionato, con provvedimenti di entità certo di gran lunga inferiori, ma pur sempre degni di nota, due Asl, quella della Romagna e di Trento, per il mancato rispetto della esplicita richiesta dei pazienti di oscuramento dei loro dati sul Fascicolo Sanitario Elettronico. La normativa infatti prevede che l’interessato possa oscurare dati e documenti ivi presenti che saranno così accessibili solo dallo stesso e dal medico che li ha generati. Tale diritto è esercitabile al momento in cui sono generati i referti o successivamente.

Nel primo caso l’Autorità è intervenuta dopo una notifica della Usl emiliana per aver trasmesso ad un medico di famiglia il referto di una paziente che, al momento del ricovero per interruzione farmacologica della gravidanza, ne aveva richiesto l’oscuramento attraverso la compilazione di un apposito modulo. La trasmissione era avvenuta mediante la rete regionale “Sole” che, attraverso la raccolta dei documenti sanitari personali di ogni assistito, genera il Fse regionale. L’istruttoria ha accertato che la comunicazione dei dati era avvenuta accidentalmente a causa di un bug nel software che gestiva l’accettazione, la dimissione e il trasferimento degli assistiti. Il programma non aveva recepito la selezione del flag che indicava la volontà della paziente di non trasmettere il referto al medico di medicina generale. La comunicazione illecita di dati sulla salute, contro la volontà espressa dai pazienti, aveva interessato 48 persone tra il mese di aprile 2018 e l’agosto 2019. Il Garante ha così comminato la sanzione di 120.000 euro alla Usl.

Un caso analogo ha riguardato l’Azienda provinciale per i Servizi Sanitari di Trento, a cui il Garante ha notificato una violazione di dati personali per aver messo a disposizione ai medici di famiglia per errore 293 referti di 175 pazienti, tra cui due minorenni e alcune donne sottoposte ad interruzione di gravidanza, sebbene questi avessero esercitato il diritto di oscuramento nei confronti di tali documenti. Anche qui la violazione è risultata imputabile esclusivamente ad un errore del software, che non ha associato ai documenti la richiesta di oscuramento, correttamente inserita dagli operatori sanitari nel Sistema informativo ospedaliero. In questo caso la sanzione è stata di 150.000 Euro. Nel definire gli importi il Garante ha tenuto conto, in entrambi i casi, di diversi elementi, come il carattere non episodico delle violazioni, il numero e le caratteristiche delle persone interessate, le precedenti violazioni compiute, ma anche il comportamento collaborativo delle Aziende sanitarie, che però non hanno potuto evitare la multa.

Come si determinano le sanzioni

Le sanzioni del GDPR sono infatti determinate in base a diversi fattori e amministrate dal regolatore della protezione dei dati in ogni Paese dell’UE. I criteri che sono tipicamente utilizzati per valutare una violazione del GDPR e determinare l’importo di una multa includono la gravità e natura, considerando il numero di persone colpite, i danni subiti e quanto tempo c’è voluto per risolvere la violazione, l’intenzione, se l’organizzazione in difetto abbia effettuato dei tentativi per alleviare il danno e soprattutto se l’organizzazione aveva misure di sicurezza, politiche sulla privacy o protezioni in atto per la conformità al GDPR. Altro elemento discriminante, poi, è se l’organizzazione abbia segnalato proattivamente la violazione all’Autorità di vigilanza o al contrario vi sia stato un ritardo irragionevole.

Dunque, in un mondo che viaggia sempre più in rete la questione privacy non può essere presa sotto gamba da un’azienda, grande o piccola che sia, ed è opportuno affidarsi a dei professionisti per seguirne tutte le tante e complesse procedure.

Avv. Antonio Villovich – Foro di Venezia

Condividi sui Social

Potrebbero interessarti anche...

Lascia un commento

Il tuo indirizzo email non sarà pubblicato.