L’OBBLIGATORIETÀ DEI PIANI FORMATIVI E DELLE RELATIVE NOMINE NEL GDPR IN NOME DELL’ACCOUNTABILITY

In vista della piena esecutività del GDPR, prevista per il prossimo 25 maggio, è scattata una vera e propria corsa all’adeguamento, complice la fobia delle (pesantissime) sanzioni, potenzialmente applicabili in caso di violazione.

Come sappiamo, la parola d’ordine del GDPR -e l’unica reale rivoluzione contenuta nello stesso- è il principio di accountability che pervade la sua intera applicazione (e indubbiamente non è nelle corde dei paesi di civil law come il nostro). L’approccio all’accountability non riguarda solo la parte tecnologica o strettamente organizzativa di un’impresa o una PA, ma anche e soprattutto l’assegnazione dei ruoli, la loro documentata competenza e lo sviluppo di piani formativi.

In proposito, il Gruppo di Lavoro articolo 29 per la protezione dei dati già con il suo parere 3/2010 sul principio di responsabilità si è espresso in questi termini: “il principio di responsabilità potrebbe contribuire allo sviluppo di competenze giuridiche e tecniche nel campo dell’attuazione delle disposizioni sulla protezione dei dati. Saranno indispensabili in questo settore persone altamente competenti, dotate di approfondite conoscenze tecniche e giuridiche in materia di protezione dei dati, nonché di capacità di comunicare, formare il personale, elaborare e attuare politiche e svolgere audit. Tali competenze saranno necessarie sia internamente, sia nella forma di servizi esterni che le imprese potranno richiedere”. All’interno dell’organizzazione aziendale, quindi, l’accountability si esprime in metodi di lavoro, assegnazioni di compiti e scelte consapevoli e documentate, orientate anche attraverso una maturazione garantita da adeguata formazione sia per coloro che coordinano i trattamenti e sia per coloro che devono eseguire le indicazioni.

Del resto, il GDPR si esprime con chiarezza nel momento in cui precisa che il responsabile del trattamento, o chiunque agisca sotto la sua autorità o sotto quella del titolare del trattamento, che abbia accesso a dati personali non può trattare tali dati se non è istruito in tal senso dal titolare del trattamento (art. 29). Da ciò non può che evincersi che i titolari e i responsabili del trattamento hanno l’obbligo di formazione e istruzione nei confronti dei soggetti (persone fisiche) che trattano dati personali (denominati nel GDPR anche quali “persone autorizzate al trattamento dei dati personali” ovvero “personale che partecipa ai trattamenti”).

Alla luce di tutto questo, quindi, secondo il parere 3/2010 (che anticipa lo spirito del GDPR) ogni organizzazione pubblica o privata, per risultare “compliant”, dovrà dotarsi di una struttura ben organizzata e che dal punto di vista della protezione dei dati personali rispecchi in modo concreto e proattivo i servizi che si offrono, le finalità perseguite con i vari trattamenti posti in essere, le tipologie di dati trattati e così via. La complessità del Team dedicato alla protezione dei dati, in termini di ruoli e competenze, dovrà così misurarsi concretamente con le reali caratteristiche dell’organizzazione di riferimento.

Nell’assegnazione dei vari ruoli, come sappiamo, assume particolare rilevanza la nomina opportuna o in alcuni casi obbligatoria del DPO o RPD (Data Protection Officer o Responsabile della Protezione dei Dati) un vero e proprio “angelo custode” della protezione dei dati, chiamato a fornire indicazioni e chiarimenti sulla normativa, oltre che a suggerire le modalità più consone alla gestione dei dati personali per tutelare prima di tutto gli interessati, anche in antitesi con le strategie dello stesso titolare o responsabile che l’ha designato. L’obbligatorietà della nomina è fuori di dubbio in determinati contesti (come nel settore pubblico), mentre resta volontaria (ma fortemente raccomandata) in altri ambiti. Nello specifico, il GDPR nell’art. 37 dispone la nomina obbligatoria del DPO:

– quando il trattamento è effettuato da un’autorità pubblica o da un organismo pubblico;

– quando le attività del titolare o del responsabile del trattamento consistono in trattamenti che richiedono il monitoraggio regolare e sistematico degli interessati su larga scala;

– quando le attività principali del titolare o del responsabile del trattamento consistono nel trattamento su larga scala di particolari categorie di dati personali (di rilevante sensibilità).

Recentemente, l’Autorità italiana, successivamente alle Linee Guida del Gruppo di Lavoro europeo ex art. 29 sui DPO, ha pubblicato delle utili FAQ dedicate sia all’ambito pubblico, e sia ai contesti privati, incoraggiando la nomina e raccomandandone così la designazione anche in assenza di una disposizione cogente, al fine di predisporre misure assennate e in linea con quanto prescritto dal GDPR.

Il motivo è presto detto, ed è fondato sempre sul principio cardine dell’accountability: il DPO, sebbene in taluni casi possa non essere obbligatoriamente richiesto dalla normativa, nella pratica – anche in relazione alla concreta particolarità del caso, valutabile dal “team privacy” – la sua nomina può risultare indispensabile in ragione dei rischi alle libertà e i diritti agli interessati. In questi casi, se non si agisce con metodo e con le adeguate conoscenze, si rischia di scontrarsi comunque con l’apparato sanzionatorio del Regolamento, a maggior ragione se la mancata nomina abbia potuto poi favorire scelte inconsapevoli e poco ragionate su trattamenti delicati (esponendo a rischi gravi questi trattamenti o – peggio – determinando danni agli interessati). E la stessa scelta di non dotarsi di un DPO deve essere quindi pienamente consapevole e andrebbe documentata, secondo il nostro Garante.

Inoltre, secondo il Garante italiano, per alcune imprese che sviluppano particolari servizi la nomina è dovuta. In particolare secondo il Garante, ricorrendone i presupposti, sono tenuti alla nomina, a titolo esemplificativo e non esaustivo: istituti di credito; imprese assicurative; sistemi di informazione creditizia; società finanziarie; società di informazioni commerciali; società di revisione contabile; società di recupero crediti; istituti di vigilanza; partiti e movimenti politici; sindacati; caf e patronati; società operanti nel settore delle “utilities” (telecomunicazioni, distribuzione di energia elettrica o gas); imprese di somministrazione di lavoro e ricerca del personale; società operanti nel settore della cura della salute, della prevenzione/diagnostica sanitaria quali ospedali privati, terme, laboratori di analisi mediche e centri di riabilitazione; società di call center; società che forniscono servizi informatici; società che erogano servizi televisivi a pagamento.

A conferma di quanto già riferito, secondo il Garante, nei casi diversi da quelli previsti dall’art. 37, par. 1, lett. b) e c), del Regolamento (UE) 2016/679, laddove la designazione del responsabile del trattamento non sia appunto obbligatoria (ad esempio, in relazione a trattamenti effettuati da liberi professionisti operanti in forma individuale; agenti, rappresentanti e mediatori operanti non su larga scala; imprese individuali o familiari; piccole e medie imprese, con riferimento ai trattamenti dei dati personali connessi alla gestione corrente dei rapporti con fornitori e dipendenti), in ogni caso può ritenersi comunque raccomandata, anche alla luce del principio di “accountability” che permea il Regolamento.

Cookie	Durata	Descrizione
AWSALBCORS	7 days	This cookie is managed by Amazon Web Services and is used for load balancing.
cookielawinfo-checkbox-advertisement	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Advertisement" category .
cookielawinfo-checkbox-analytics	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Analytics" category .
cookielawinfo-checkbox-necessary	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Necessary" category .
cookielawinfo-checkbox-others	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to store the user consent for cookies in the category "Others".
PHPSESSID	session	This cookie is native to PHP applications. The cookie is used to store and identify a users' unique session ID for the purpose of managing user session on the website. The cookie is a session cookies and is deleted when all the browser windows are closed.
viewed_cookie_policy	1 year	The cookie is set by the GDPR Cookie Consent plugin to store whether or not the user has consented to the use of cookies. It does not store any personal data.
WLM_TEST_COOKIE	session	This cookie is used by the WishList Member. It checks whether the browser has enabled cookies or not.

Cookie	Durata	Descrizione
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_1975075_20	1 minute	Set by Google to distinguish users.
_gat_gtag_UA_92784998_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.
CONSENT	16 years 3 months	YouTube sets this cookie via embedded youtube-videos and registers anonymous statistical data.
vuid	2 years	Vimeo installs this cookie to collect tracking information by setting a unique ID to embed videos to the website.

Cookie	Durata	Descrizione
IDE	1 year 24 days	Google DoubleClick IDE cookies are used to store information about how the user uses the website to present them with relevant ads and according to the user profile.
test_cookie	15 minutes	The test_cookie is set by doubleclick.net and is used to determine if the user's browser supports cookies.
VISITOR_INFO1_LIVE	5 months 27 days	A cookie set by YouTube to measure bandwidth that determines whether the user gets the new or old player interface.
YSC	session	YSC cookie is set by Youtube and is used to track the views of embedded videos on Youtube pages.
yt-remote-connected-devices	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.
yt-remote-device-id	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.

Cookie	Durata	Descrizione
AWSALB	7 days	AWSALB is a cookie generated by the Application load balancer in the Amazon Web Services. It works slightly different from AWSELB.
captcha-cookie	1 day	No description
ccc	1 month	No description
xb	1 year	No description available.

L’OBBLIGATORIETÀ DEI PIANI FORMATIVI E DELLE RELATIVE NOMINE NEL GDPR IN NOME DELL’ACCOUNTABILITY

Master PERF.ET

WebTV MRTV ‖ Lo ho-BIT – una digicrazia inaspettata

Newsletter

Lecce

Milano

Roma

Biella

Castellammare di Stabia

NAVIGA