Reg. UE 679/2016 e Reg. UE 910/2014: quali relazioni?

La cosiddetta privacy, o più propriamente la Data Protection, è qualcosa che va ben oltre il GDPR dal quale, per altro, non si può prescindere.

La quantità di norme ad esso correlate è significativo; basti pensare, a solo titolo esemplificativo, al novellato D. Lgs. 196/03, al D. Lgs. 51/2018 che ha recepito la Dir. UE 2016/680, al D. Lgs. 53/2018 in attuazione della Dir. (UE) 2016/681, al D. Lgs. 18 maggio 2018, n. 65 già Dir. UE 2016/1148 o, ancora, al Reg. UE 2019/945 relativo ai sistemi aeromobili senza equipaggio e agli operatori di paesi terzi di sistemi aeromobili senza equipaggio (droni).

In questa sede, in particolare, voglio soffermarmi sulla relazione intrinseca che si pone fra il Reg. UE 679/2016 ed il e Reg. UE 910/2014 in materia di identificazione elettronica e servizi fiduciari per le transazioni elettroniche nel mercato interno.

Che vi sia una relazione indissolubile fra i due regolamenti è facilmente evincibile dal disposto ex art. 5/910 secondo cui il trattamento dei dati a carattere personale è effettuato a norma della direttiva 95/46/CE; direttiva sostituita, appunto dal Reg. UE 679/2016.

Ma cos’è il Regolamento 910/2014?

La finalità principale del Reg. 910/2014, ci ricorda il considerando (2), è quello di rafforzare la fiducia nelle transazioni elettroniche nel mercato interno fornendo una base comune per interazioni elettroniche sicure fra cittadini, imprese e autorità pubbliche, in modo da migliorare l’efficacia dei servizi elettronici pubblici e privati, nonché dell’eBusiness e del commercio elettronico, nell’Unione europea.

E cosa si intende per servizi fiduciari?

È il regolamento stesso a definirli come un servizio elettronico fornito normalmente dietro remunerazione e consistente nei seguenti elementi:

1. creazione, verifica e convalida di firme elettroniche, sigilli elettronici o validazioni temporali elettroniche, servizi elettronici di recapito certificato e certificati relativi a tali servizi; oppure
2. creazione, verifica e convalida di certificati di autenticazione di siti web; o
3.  conservazione di firme, sigilli o certificati elettronici relativi a tali servizi.

E questo è un aspetto di grande rilievo che dà al regolamento grande significatività rafforzando l’importanza e gli effetti, anche in termini giuridici, dei documenti informatici. Ciò lascia ben intendere la potenza di un siffatto strumento, anche di garanzia, nelle relazioni fra privati oltre che con la Pubblica Amministrazione e, nella fattispecie, nei bandi di gara.

È facilmente comprensibile, allora, la relazione di cui si è detto e l’importanza di attenersi ai requisiti in materia di protezione dei dati personali da parte degli attori del regolamento eIDAS (electronic IDentification Authentication and Signature) ovvero dei Prestatori di servizi fiduciari, dell’Organo di vigilanza (AgID) e, ancora, di eventuali altri soggetti quali gli Organismi di valutazione della conformità coinvolti nella attività di verifica sia dei prestatori di servizi fiduciari qualificati sia dei servizi fiduciari qualificati in conformità al regolamento in discorso.

Alla relazione circa il rispetto dei principi sulla protezione dei dati personali nelle attività di cui al regolamento eIDAS, segue la scelta comune del legislatore europeo di regolare la materia ricorrendo allo strumento giuridico più incisivo ed efficace poiché direttamente applicabile ed obbligatorio in tutti i suoi elementi: il Regolamento.
Attenzione però.
Il Reg. UE 679/2016 è stato pubblicato nella GUUE il 4 maggio 2016, è entrato in vigore il 24 maggio 2016 ed ha trovato piena applicazione il 25 maggio 2018.
Il Reg. UE 910/2014 è stato emanato il 23 luglio 2014 e si applica dal 1° luglio 2016 con eccezione per alcuni requisiti.
Inoltre, il Regolamento eIDAS è obbligatorio limitatamente al settore pubblico mentre per i privati costituisce una facoltà.

Un aspetto ancor più interessante è la possibilità, per entrambi i regolamenti, di poter conseguire la certificazione, da parte dei soggetti interessati, delle relative attività; di trattamento nel caso del GDPR e dei servizi fiduciari per le transazioni elettroniche per quanto riguarda il regolamento eIDAS.
Come addetto ai lavori, riguardo alla certificazione delle attività di trattamento personalmente ricorro allo schema (International Scheme for Data Protection) ISDP 10003:2018 che mi dà tutte le rassicurazioni del caso.
Relativamente al Regolamento eIDAS, invece, il riferimento è la norma ETSI EN 319 403: Electronic Signatures and Infrastructures (ESI); Trust Service Provider Conformity Assessment – Requirements for conformity assessment bodies assessing Trust Service Providers.
In entrambi i casi, va da sé, il presupposto è la norma UNI CEI EN ISO/IEC 17065: Valutazione della conformità – Requisiti per organismi che certificano prodotti, processi e servizi.

In conclusione, il ricorso ad una visione d’insieme, con padronanza in una o più specializzazioni, è sicuramente opportuno ed oltremodo necessario, se non in capo ad uno stesso soggetto, nell’ambito di un network in cui professionalità complementari e condivise si attivano coniugando le rispettive aree di competenza e permettendosi la possibilità e la disponibilità al confronto ed alla crescita virtuosa.

Marcello Colaianni
Certified ISDP 10003 Auditor
Certified DPO e DP Auditor UNI11697
Compliance & Mgmt Systems Consultant/Auditor

ISO 27001 e ISO 27701? Non Conformi per la certificazione secondo il GDPR.

Persistere nell’affermazione per cui una certificazione ISO 27001 o ISO 27701 sia idonea per dimostrare la conformità al presente regolamento dei trattamenti effettuati dai titolari del trattamento e dai responsabili del trattamento è assolutamente pericoloso e non corrispondente alla realtà.

E per chi non è un addetto ai lavori, in  particolare, è utile conoscerne le ragioni:

• Le norme della famiglia ISO 27000 fanno riferimento alla sicurezza delle informazioni mentre
  a) il regolamento Ue fa riferimento alla protezione dei dati personali e
  b) i dati personali e le informazioni non sono sinonimi; i dati ne fanno parte ma sono altro.
  E quand’anche si trattasse di sicurezza delle informazioni sulla privacy, è il caso di ricordare che i concetti di “privacy” e di “dati personali” sono del tutto differenti fra loro. Ecco l’occasione giusta per discernere.
  Ergo ->  sicurezza delle informazioni versus protezione dei dati personali

• Le suddette norme sono fondate sulla UNI CEI EN ISO/IEC 17021, Requisiti per gli organismi che forniscono audit e certificazione di sistemi di gestione, mentre
  – ) l’art. 43, paragrafo 1, lett. b) del Reg. UE 679/2016 recita: Gli Stati membri garantiscono che tali organismi di certificazione (OdC) siano accreditati (…) conformemente alla norma EN ISO/IEC 17065/2012 (…).
  Questo significa che un’impresa, o qualsiasi altra organizzazione, se vuole veramente dimostrare che i suoi trattamenti sono conformi al GDPR, deve assicurarsi di:
  a) fare riferimento ad una norma di certificazione di Prodotti, processi e servizi e non di Sistemi di gestione, fondata quindi sulla ISO 17065;
  b) rivolgersi ad Organismi di certificazione accreditati Accredia secondo la norma UNI CEI EN ISO/IEC 17065 e non UNI CEI EN ISO/IEC 17021.
  Ergo: UNI CEI EN ISO/IEC 17021 versus UNI CEI EN ISO/IEC 17065

• Le suddette norme hanno, come obiettivo, la tutela dell’organizzazione nella gestione delle informazioni, e fra queste, dei dati mentre
  – ) il regolamento ha come obiettivo, la tutela dei diritti e delle libertà delle persone fisiche, ovvero degli interessati, nel trattamento dei loro dati personali.
  Ergo: tutela dell’organizzazione versus tutela degli interessati

• È impensabile assimilare la certificazione di sistemi in conformità alla ISO 27001, e per estensione alla ISO 27701, ai meccanismi di certificazione ex art. 42 del GDPR
  – ) per il semplice motivo per cui Gli Stati membri, le autorità di controllo, il comitato e la Commissione incoraggiano, in particolare a livello di Unione, l’istituzione di meccanismi di certificazione della protezione dei dati.
  Meccanismi di certificazione, al plurale, lasciando volontariamente la possibilità di certificare molteplici schemi di riferimento del tutto aderenti, però, al dettato ex art. 43 riguardo, in particolare, alle caratteristiche dello standard ed al soddisfacimento dei requisiti da parte degli OdC.
  Ergo: ISO 27701 versus differenti meccanismi di certificazione

• Leggo, da più parti, che non c’è alternativa al ricorso alla norma ISO 27701 per dimostrare la conformità del sistema di gestione di un’organizzazione ai requisiti del GDPR e che l’ultima parola spetti all’European Data Protection Board che potrà dichiarare valida o meno la certificazione secondo l’estensione ISO/IEC 27701:2019 in quanto questa è l’unica strada da percorrere per mantenere uno dei principi cardine sui cui si basa il GDPR. E invece:
  a) sono molto perplesso sul fatto che l’EDPB si esprima nei suddetti termini se non confermando quanto già stabilito nel regolamento. Inoltre
  b) l’ipotetica, e quanto mai improbabile, adozione della ISO 27701 come norma di riferimento, o accettata, per la certificazione conformemente al GDPR presenterebbe grossi problemi in termini di sigilli e marchi di protezione dei dati in quanto non contemplati dalla ISO 17021 ma dalla ISO 17065
  c) sono a conoscenza di uno schema internazionale per la valutazione della conformità al Regolamento europeo 2016/679 che ha superato tutte le fasi di verifica da parte della Commissione europea: è l’ISDP 10003:2008 disponibile gratuitamente in lingua italiana, inglese e tedesca.
  Ergo: ISO 27701 versus ISDP 10003

Per ulteriori delucidazioni:
https://www.linkedin.com/feed/update/urn:li:activity:6612949169403424768/

E non solo.
Apro una parentesi per dire che so di leggende metropolitane secondo cui è possibile anche la certificazione secondo le prassi 43.1 e 43.2 dell’UNI.
Anche in questo caso, un’eventuale certificazione sarebbe out of scope e impugnabile da chicchessia.

Marcello Colaianni
Qualified ISO 27001 Auditor
Certified DP ISDP 10003 Auditor
Certified DPO e DP Auditor UNI 11697
Compliance & Mgmt Systems Consultant/Auditor

l’INFORMATICA GIURIDICA: una nuova materia che risale al 17° secolo.

Sono sempre piu’ numerosi i corsi proposti e volti a sensibilizzare i giovani professionisti, e non solo, a tematiche riguardanti gli aspetti giuridici correlati alle nuove tecnologie.

Sono ambiti che riguardano tutto l’alveo delle norme riconducibili al Codice dell’amministrazione digitale di cui al D. Lgs. 82/2005 fino al vigente Regolamento 910/2014 in materia di identificazione elettronica e servizi fiduciari per le transazioni elettroniche nel mercato interno.
Sono le norme riguardanti il crimine telematico e la sfera del diritto penale dell’informatica, della sicurezza informatica e della digital forensics che, nata dalla fusione della computer forensics e del network forensics, si occupa della preservazione, identificazione e studio delle informazioni contenute nei computer e nei sistemi informativi in generale con lo scopo di evidenziare l’esistenza di prove utili allo svolgimento dell’attività investigativa.
È  la disciplina sulla tutela dei dati personali in senso  lato di cui al Reg. (UE) 2016/679 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati ed al novellato D. Lgs. 196/03, quella del commercio elettronico e dei contratti informatici, e’ la normativa sulle Online Dispute Resolution (ODR) ex Reg. UE 524/2013. È quanto:

• al D. Lgs. 51/2018 in attuazione della direttiva (UE) 2016/680 relativa alla protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, nonché alla libera circolazione di tali dati;
• al D. Lgs. 53/2018 in attuazione della direttiva (UE) 2016/681 sull’uso dei dati del codice di prenotazione (PNR) a fini di prevenzione, accertamento, indagine e azione penale nei confronti dei reati di terrorismo e dei reati gravi e disciplina dell’obbligo per i vettori di comunicare i dati relativi alle persone trasportate;
• al D. Lgs. 65/2018 in attuazione della direttiva (UE) 2016/1148 recante misure per un livello comune elevato di sicurezza delle reti e dei sistemi informativi nell’Unione;
• al Reg. (UE) 2018/1807 relativo a un quadro applicabile alla libera circolazione dei dati non personali nell’Unione europea;
• alla Proposta di Direttiva del Parlamento europeo e del Consiglio sul diritto d’autore nel mercato unico digitale;
• al Reg. (UE) 2019/881 relativo all’ENISA, l’Agenzia dell’Unione europea per la cibersicurezza, e alla certificazione della cibersicurezza per le tecnologie dell’informazione e della comunicazione …
  

… e altro ancora.

È l’INFORMATICA GIURIDICA che, per utilizzare la definizione formulata dall’ANDIG nel convegno del 28 giugno 2005 (v. Prof. Avv. Marco Mancarella: Lineamenti di informatica giuridica), <<è la disciplina giuridica, unitaria ed autonoma, che ha per oggetto il diritto dell’informatica che studia le leggi che regolano l’uso del computer e l’informatica del diritto che studia le ragioni e le modalità dell’influenza che l’informatica può avere sull’evoluzione del diritto>>.

È una materia che risale al 17° secolo per chi ne attribuisce la paternità a Gottfried Leibniz o più recentemente, al 1949, allo studioso americano Lee Loevinger che con la sua GIURIMETRIA ha voluto indicare un modo inusuale di accostarsi al diritto coniugando l’uso dei metodi dell’informatica nelle attività proprie del diritto.

È una materia dalle diverse sfaccettature così longeva e così attuale e sempre di estrema attualità ed interesse per tutti coloro che, partendo dal proprio background,  decidono di avvicinarvisi per sviluppare le proprie expertises in un settore dai significativi margini di crescita e sviluppo professionale.

Marcello Colaianni
Certified DPO e DP Auditor UNI 11697
Certified DP Auditor ISDP 10003:2018 Audit Scheme
Compliance & Management Systems Consultant/Auditor

il DPO: non solo Data Protection Officer ma anche Digital Preservation Officer

Sono sempre stato un accanito sostenitore circa l’appropriato utilizzo dei termini, e relativi acronimi, nel riferirmi alle figure professionali richiamate nelle diverse discipline giuridiche.

Ne è un esempio eclatante la sigla D.P.O. per indicare il Data Protection Officer di cui al GDPR, non il Data Privacy Officer che, al più, è una figura riconosciuta de facto a supporto delle organizzazioni con compiti manageriali o con ruoli consulenziali.

Una posizione del tutto coerente con le linee guida del WP 243 del 5 aprile 2017 sui responsabili della protezione dei dati secondo cui: <<Nulla osta a che un’azienda o un ente, quando non sia soggetta all’obbligo di designare un RPD e non intenda procedere a tale designazione su base volontaria, ricorra comunque a personale o consulenti esterni incaricati di incombenze relative alla protezione dei dati personali. In tal caso è fondamentale garantire che non vi siano ambiguità in termini di denominazione, status e compiti di queste figure; è dunque essenziale che in tutte le comunicazioni interne all’azienda e anche in quelle esterne (con l’autorità di controllo, gli interessati, i soggetti esterni in genere), queste figure o consulenti non siano indicati con la denominazione di  responsabile per la protezione dei dati (RPD).
Considerazioni che valgono anche per i Chief Privacy Officers (CPO) o altri professionisti in materia di privacy già operanti presso alcune aziende, che non sempre e non necessariamente si conformano ai requisiti fissati nel regolamento per quanto riguarda, per esempio, le risorse disponibili o le salvaguardie della loro indipendenza e che, in tal caso, non possono essere considerati e denominati “RPD”>>.

Con la stessa fermezza, tuttavia, trovo del tutto ragionevole ed opportuno riferirsi, con lo stesso acronimo, anche a un’altra figura professionale che dal Data Protection Officer si differenzia per il contesto in cui opera sebbene i margini di collaborazione, in relazione ai rispettivi compiti, sono del tutto evincibili. Mi riferisco al Digital Preservation Officer, ovvero al Responsabile della conservazione digitale dei documenti.

Disciplinato dal DPCM 3 dicembre 2013, il Digital Preservation Officer svolge una molteplicità di attività inerenti l’implementazione di un sistema di conservazione predisponendo il relativo manuale di cui cura l’aggiornamento periodico tenendo conto degli aspetti normativi, organizzativi, procedurali e tecnologici.

<<Il responsabile della conservazione opera d’intesa con il responsabile del trattamento dei dati personali, con il responsabile della sicurezza e con il responsabile dei sistemi informativi (…)>> e, evidentemente, collabora con il responsabile della protezione dei dati.

È una figura che opera in ambito digitale affiancato dall’Innovation Manager, dal Chief Digital Officer, dal Responsabile della Transazione Digitale … all’insegna di una sempre maggiore propensione al ricorso al digitale da parte di privati e pubbliche amministrazioni perché anche nel digitale, come in altri contesti, c’è bisogno di persone che sappiano guidare e motivare gestendo il rischio e l’errore perché lo sbaglio nell’azione è sicuramente meglio del non agire affatto.

Marcello Colaianni
Certified DPO e DP Auditor UNI 11697
Certified DP Auditor ISDP 10003:2018 Audit Scheme
Compliance & Management Systems Consultant/Auditor

“Persone autorizzate” e “Soggetti designati” nella protezione dei dati personali.

L’introduzione, nel novellato D. Lgs. 196/03, dell’art. 2-quaterdecies: Attribuzione di funzioni e compiti a soggetti designati integra il disposto di cui all’art. 29 del GDPR.
Dalla comparazione fra il Reg. UE 679/2016 ed il nuovo Codice Privacy si riscontrano, però, delle differenze che suggeriscono qualche chiarimento.

Art. 29/679: Trattamento sotto l’autorità del titolare del trattamento o del responsabile del trattamento:
Il responsabile del trattamento, o chiunque agisca sotto la sua autorità o sotto quella del titolare del trattamento, che abbia accesso a dati personali non può trattare tali dati se non è istruito in tal senso dal titolare del trattamento, salvo che lo richieda il diritto dell’Unione o degli Stati membri.

Art. 2-quaterdecies/196: Attribuzione di funzioni e compiti a soggetti designati
Il titolare o il responsabile del trattamento possono prevedere, sotto la propria responsabilità e nell’ambito del proprio assetto organizzativo, che specifici compiti e funzioni connessi al trattamento di dati personali siano attribuiti a persone fisiche, espressamente designate, che operano sotto la loro autorità.
Il titolare o il responsabile del trattamento individuano le modalità più opportune per autorizzare al trattamento dei dati personali le persone che operano sotto la propria autorità diretta.

 Dal combinato disposto dei suddetti articoli emerge che:

• all’art. 29 prevale l’elemento fondante delle istruzioni che devono essere fornite per poter trattare dati personali soprassedendo ad aspetti altrettanto fondamentali;
• “chiunque” può essere, indifferentemente, una persona fisica o una persona giuridica quindi anche un soggetto diverso dal dipendente purché svolga le attività di trattamento sotto l’autorità del Titolare/Responsabile;
• al contrario, nell’art. 2-quaterdecies, si parla specificatamente di persone fisiche;
• il richiamo all’assetto organizzativo può riferirsi al coinvolgimento non solo di figure interne ma anche esterne all’insegna dell’adozione delle misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio; ciò coerentemente alla previsione dell’art. 29;
• l’espressa designazione delle persone fisiche lascia ben intendere l’opportunità di una nomina scritta dei soggetti designati;
• è data enfasi all’autorità del Titolare/Responsabile sotto la quale le persone autorizzate agiscono e i soggetti designati operano.

Il mio suggerimento è quindi quello di:

• identificare i soggetti, interni ed esterni, che vengono autorizzati a trattare dati personali in virtù dei trattamenti a loro affidati;
• identificare, per i soggetti interni, l’unità funzionale di appartenenza;
• procedere ad una loro designazione scritta specificando i confini delle attività di trattamento autorizzate/affidate;
• adottare misure di limitazione e contenimento dei margini di manovra dei suddetti soggetti;
• fornire istruzioni puntuali e adhocratiche valutando differenti livelli di responsabilizzazione;
• assicurarsi che tali istruzioni siano debitamente documentate.

Identificati i soggetti, occorre attivarsi con i dovuti crismi per la loro più appropriata definizione e organizzazione.

In questo senso, per esempio, il Contitolare, il Rappresentante ed il Responsabile del trattamento dei dati personali sono persone autorizzate, persone fisiche o giuridiche rientrando nell’accezione “chiunque” dell’art. 29. La loro disciplina, però, è specifica e riconducibile, rispettivamente, agli artt. 26, 27 e 28. Sono persone che possono, secondo esigenza, trovarsi inseriti o meno nell’organigramma aziendale.

Qualche esempio?

• L’Organismo di Vigilanza è un Responsabile del trattamento (RTDP) a cui il Titolare ricorre dovendo effettuare per suo conto specifici trattamenti.
  Il Titolare è chiamato obbligatoriamente, per legge, a ricorrere all’OdV per lo svolgimento di trattamenti specifici, in adempimento al D. Lgs. 231/01.
  Trattamenti per i quali il Titolare determina finalità e mezzi pur rimanendo, in capo all’OdV, gli autonomi poteri di iniziativa e controllo, di vigilanza sul funzionamento e l’osservanza dei modelli e del loro aggiornamento.
  È un Responsabile interno perché trattasi di un organismo dell’ente.
• Il Collegio sindacale è, allo stesso modo, un Responsabile al quale il Titolare ricorre, anche in questo caso, per obbligo di legge. È però esterno, fuori dall’assetto organizzativo.
• Lo studio di consulenza del lavoro è Responsabile esterno perché a lui ricorre il Titolare per il trattamento la gestione delle paghe dei propri dipendenti. Il Titolare, volendo, potrebbe gestire in proprio tali trattamenti ma preferisce concentrarsi sul proprio core business e ricorrere all’outsourcing.
• il DPO, è persona autorizzata rivelandosi, secondo i chiarimenti del Garante, sia persona fisica sia persona giuridica. Il suo ruolo è però specificatamente disciplinato dagli artt. 37 a 39.

Focalizzando l’attenzione sulle singole funzioni del Titolare (Azienda, Studio professionale, Associazione, Ente, ecc.) lo sguardo è sicuramente rivolto alle persone fisiche, agli individui che, in virtù dei compiti svolti, sono riconducibili ai soggetti designati.

Vi si riscontrano le seguenti figure:

• il Privacy manager, che chiamato ad adeguare l’organizzazione ai requisiti della normativa sulla protezione dei dati personali, è soggetto designato in staff al Direttore generale;
• l’amministratore di sistema, che amministra i componenti del sistema ICT per soddisfare i requisiti del servizio, è soggetto designato;
• il Direttore del personale, così come i suoi collaboratori che trattano dati personali, è soggetto designato
• e così via.

Per quanto sopra risulta evidente, quindi, l’importanza di porre la dovuta attenzione nell’individuazione di tutti i soggetti, dentro e fuori l’Organizzazione (Titolare), in qualità di persone autorizzate ovvero di soggetti designati, e dare così evidenza delle modalità organizzative nella distribuzione di ruoli e responsabilità all’insegna del principio generale e fondante di ACCOUNTABILITY soddisfacendo una delle principali azioni da intraprendere qual è la progettazione dell’organigramma per la data protection.

Marcello Colaianni
Certified DPO e DP Auditor UNI 11697
Certified DP Auditor ISDP 10003:2018 Scheme
Compliance & Management Systems Consultant/Auditor

Il DPO fra attività di consulenza e compiti di sorveglianza

Fra i compiti minimi attribuiti al DPO vi sono quelli di:

• fornire consulenza al titolare del trattamento o al responsabile del trattamento nonché ai dipendenti che eseguono il trattamento in merito agli obblighi derivanti dal presente regolamento nonché da altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati;
• sorvegliare l’osservanza del regolamento, di altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati nonché delle politiche del titolare del trattamento o del responsabile del trattamento in materia di protezione dei dati personali, compresi l’attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo.

Di per sé tutto regolare se non fosse per la presenza di una conditio sine qua non per la quale il Titolare, ed il Responsabile, deve assicurarsi che pur potendo, il DPO, svolgere altri compiti e funzioni, queste non diano adito a conflitti d’interesse. La disposizione lascia ben intendere, a maggior ragione, che nemmeno gli stessi compiti del DPO devono dare adito a conflitti d’interesse così come, invece, potrebbe emergere laddove il DPO auditor, in sede di sorveglianza circa l’appropriata applicazione della normativa, rilevasse che il DPO consulente non si sia attivato nei modi più appropriati.

Una siffatta circostanza porrebbe il DPO, in qualità di auditor, nella condizione di controllare se stesso, in qualità di consulente. Né è il caso di parlare di priorità fra i due compiti.

Più semplicemente, la consulenza a cui si fa qui riferimento, non è quella del Consulente privacy che affianca il Titolare nell’implementazione, a tutto tondo, di un modello di gestione dei dati personali ma si traduce, più propriamente, in un’attività di indirizzo in cui il DPO:

• si esprime in merito alla valutazione d’impatto,
• fornisce supporto all’applicazione di regole di protezione dei dati e di policy e procedure aziendali (quali violazioni dei dati o gestione di richieste dell’Autorità di controllo),
• monitora le misure di sicurezza,
• verifica gli obblighi contrattuali del Responsabile del trattamento,
• raccoglie le informazioni per identificare le attività di trattamento,
• analizza e verifica la conformità delle attività di trattamento
• ecc.

I compiti minimi, identificati all’art. 39, possono pertanto essere estesi purché venga assolutamente evitato il rischio di conflitto di interessi e, quindi, porre il DPO in qualsivoglia situazione in cui possa ritrovarsi nelle condizioni di sorvegliare se stesso ovvero il proprio operato.

La stessa prassi da più parti riconosciuta, anche dalle stesse linee guida del WP 29, per la quale al DPO è demandata la tenuta del registro delle attività, pur sotto la responsabilità del Titolare, è equivoca e fuorviante proprio perché si presenterebbe la circostanza in cui le figure di controllore e controllato si sovrapporrebbero in capo al DPO.

Ad integrazione del presente articolo si rimanda a:

• https://marcellocolaianniblog.wordpress.com/2019/06/02/i-conflitti-dinteresse-del-responsabile-della-protezione-dei-dati-rpd-dpo/
• https://marcellocolaianniblog.wordpress.com/2018/12/13/il-dpo-e-un-auditor/

Marcello Colaianni
Certified DPO e DP Auditor UNI 11697
Certified DP Auditor ISDP 10003:2018 Scheme
Compliance & Management Systems Consultant/Auditor

 

Titolare del trattamento, Titolare autonomo e Titolare indipendente. Chi più ne ha più ne metta.

Da quando è entrato in vigore il Regolamento UE 679/2016, il ricorso alla figura del Titolare autonomo è pressoché quotidiano per individuare le relazioni, e l’attribuzione delle relative responsabilità, di Tizio nei confronti di Caio.

Ho ripetutamente letto gli artt. 4, 9 e 10 del GDPR ed altre norme attinenti la protezione dei dati personali ma, ahimè, mi devo proprio arrendere; la definizione di questo fantomatico Titolare autonomo non riesco proprio a trovarla.

Mi chiedo, allora, come si possa attribuire a chicchessia un’etichetta, un’identità con l’aggravante di un carico di oneri, incombenze e responsabilità non meglio definite in assenza di una definizione chiara ed inequivocabile a cui fare riferimento.

La figura del Titolare autonomo viene messa in relazione con quella del Titolare del trattamento. Questi sì che è chiaramente identificato, all’art. 4, § 1, punto 7), come la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali. Così come sono chiaramente definite altre figure contemplate dal GDPR come quella del Rappresentante del Titolare (o del Responsabile), del Contitolare, del Responsabile del trattamento e del Responsabile della protezione dei dati e ancora dei Terzi, dei Destinatari e delle Persone autorizzate. Come si può constatare, non vi è traccia del Titolare autonomo.

La suddetta relazione, di per se stessa, già riconosce l’esistenza di rapporti fra 2 soggetti, il Titolare ed il Titolare autonomo (?), per i quali il secondo effettua, nei confronti del primo, uno o più trattamenti di dati personali. E se c’è questa relazione, come si può parlare di Titolare autonomo?

Facciamo un passo indietro. Chiunque, fatte le debite eccezioni, nello svolgimento della propria attività professionale, in presenza di trattamenti di dati personali di persone fisiche è, per definizione, Titolare del trattamento. Poi succede che fra i due soggetti nasce una relazione che, rivelandosi particolarmente significativa dal punto di vista del trattamento dei dati personali, pone in essere la necessità di una specifica nominalizzazione ed attribuzione di responsabilità in capo ai due soggetti.

Vi si riconoscono, quindi, i rapporti fra:

• Titolare e Rappresentante che viene designato laddove il titolare del trattamento non è stabilito nell’Unione;
• Titolare e Contitolare qualora, insieme, determinano congiuntamente le finalità e i mezzi del trattamento;
• Titolare e Responsabile del trattamento a cui, il primo, ricorre per un trattamento che deve essere effettuato per suo conto;
• Titolare e Responsabile della protezione dei dati in presenza dei presupposti per la sua designazione obbligatoria;
• Titolare e Terzi con riferimento ai soggetti nominativamente richiamati;
• Titolare e Destinatari ai quali si comunicano i dati personali e, infine,
• Titolare e Persone autorizzate al trattamento dei dati personali sotto la propria autorità.

Non vi è relazione, fra soggetti, che non sia specificatamente definita. Non si può parlare, quindi, di Titolare autonomo perché autonomo non è colui che si rapporta con il Titolare, in presenza di una relazione. La relazione va riconosciuta e definita fra quelle sopra elencate in modo da dare certezza al principio di accountability con individuazione delle rispettive responsabilità.

Parlare di Titolare autonomo significherebbe, fra l’altro, disconoscere l’esistenza di una relazione.

Ho inteso, fra le righe, che non tutti i fornitori hanno motivo di essere identificati. Certo, coloro con i quali io, come Titolare ex art. 4, § 1 punto 7), ho rapporti significativi in termini di trattamento dei dati personali devo necessariamente identificarli come Contitolari o Responsabili del trattamento; non come Titolari autonomi. Perché autonomi rispetto a me Titolare se sussiste una relazione significativa?

Esemplificando. La società XY Spa é Titolare del trattamento. Questa, ai fini privacy, ha relazioni, ovvero rapporti significativi, con il Medico competente, l’Organismo di Vigilanza, il Collegio sindacale, i Revisori legali, ecc.
Non mi soffermo, in  questa sede, per stabilire o esprimere un parere sull’etichetta, sulla figura da attribuire a questo o quel soggetto che si rapporta con il Titolare, la società XY Spa. Resto nella semplice convinzione che questi soggetti non possono essere Titolari autonomi rispetto a XY Spa in presenza di una relazione … e nemmeno Titolari.

La loro esistenza, infatti, è strettamente collegata alla relazione imposta dalle differenti disposizioni di legge nei confronti del Titolare XY Spa.
Il medico competente, il Collegio sindacale, l’Organismo di Vigilanza, e così via, ci sono esclusivamente in funzione della relazione con il Titolare; non hanno una propria ed indipendente identità.

In presenza di siffatto legame faccio molta fatica a riconoscere una qualsiasi autonoma titolarità.

Inoltre, il § “10.” dell’art. 28/679/2016, recita: <<Fatti salvi gli articoli 82, 83 e 84, se un responsabile del trattamento viola il presente regolamento, determinando le finalità e i mezzi del trattamento, è considerato un titolare del trattamento in questione>>.

Il disposto normativo in discorso, pone in essere 2 possibili situazioni. La prima è quella per cui:

1. assumo, come premessa, il fatto che già mi rivolgo ad un responsabile in quanto a lui ricorro per un trattamento, per mio conto, di dati personali. Dati:
   – di cui io, come Titolare, determino le finalità ed i mezzi di trattamento,
   – per il cui trattamento il Responsabile è tenuto all’osservanza dei requisiti ex art. 28;
2. se il Responsabile viola il presente regolamento assumendo, a dispetto delle mie istruzioni documentate, una posizione di autodeterminazione delle finalità e dei mezzi di trattamento, allora, per il trattamento in questione, cioè per il trattamento per il quale l’ho designato, assume le responsabilità di Titolare alla stessa stregua per cui il Responsabile è Titolare dei propri trattamenti.

La seconda ipotesi è quella per cui il responsabile (fornitore) che si sottrae alla sottoscrizione della nomina da parte del Titolare (cliente) diventa, a sua volta, Titolare [ex art. 4, § 1 punto 7)] per il trattamento dei dati effettuato per conto del cliente.
Così è, per esempio, per i professionisti iscritti a Ordini e Collegi o per i consulenti informatici che, pur trattando a vario titolo i dati personali riconducibili al Titolare, si considerano dei Titolari autonomi (???).

Ne consegue, per quanto sopra, che anche qui siamo ben lontani dal poter parlare di Titolare autonomo.

Ah, un’altra cosa. Si badi bene che quando parlo di determinazione di finalità e mezzi di trattamento il contesto è quello della protezione dei dati personali senza riferimento alcuno alla libertà organizzativa del proprio lavoro da parte del professionista.

Marcello Colaianni
Certified DPO e DP Auditor UNI 11697
Certified DP Auditor ISDP 10003:2018 Scheme
Compliance & Management Systems Consultant/Auditor

L’istituto della Certificazione in Svizzera alla luce del GDPR e della Legge federale sulla protezione dei dati (LPD).

La Svizzera non è Stato membro dell’Unione Europea cionondimeno l’osservanza del Regolamento UE 679/2016 (GDPR) trova applicazione anche qui, sia pur in determinate circostanze. In particolare nelle ipotesi in cui le attività di trattamento:

1. siano riconducibili alla filiale dell’impresa svizzera che si trovi all’interno dell’Unione europea;
2. riguardino l’offerta di beni o la prestazione di servizi agli interessati che si trovino nell’Unione, indipendentemente dall’obbligatorietà di un pagamento dell’interessato;
3. riguardino il monitoraggio del comportamento degli interessati nella misura in cui tale comportamento ha luogo all’interno dell’Unione;
4. siano riconducibili all’impresa svizzera che assume il ruolo di Responsabile del trattamento, per un’impresa europea, nello svolgimento delle attività di cui al punto “2.”

Per quanto in  premessa, in sede di applicazione del GDPR, le imprese svizzere possono essere interessate alla certificazione per la protezione dei dati personali con riferimento alle proprie attività di trattamento.
Certificazione già contemplata dalla Legge federale sulla Protezione dei Dati – LPD (235.1 del 19/6/1992) che, all’art. 11: Procedura di certificazione, dispone:

1. <<Per migliorare la protezione e la sicurezza dei dati, i fornitori di sistemi e di programmi di trattamento dei dati, nonché le persone private o gli organi federali che trattano dati personali possono sottoporre i loro sistemi, le loro procedure e la loro organizzazione a una valutazione da parte di organismi di certificazione riconosciuti e indipendenti>>.
2. <<Il Consiglio federale emana disposizioni sul riconoscimento delle procedure di certificazione e sull’introduzione di un marchio di qualità inerente alla protezione dei dati. Esso tiene conto del diritto internazionale e delle norme tecniche riconosciute a livello internazionale>>.

Ma è la lettura del Messaggio – concernente la revisione della legge federale sulla protezione dei dati (LPD) e il decreto federale concernente l’adesione della Svizzera al Protocollo aggiuntivo dell’8 novembre 2001 alla Convenzione per la protezione delle persone in relazione all’elaborazione automatica dei dati a carattere personale concernente le autorità di controllo e i flussi internazionali di dati – del 19 febbraio 2003 a fornire utili ed ulteriori specificazioni:

• 2.10 – Art. 11: Procedura di certificazione
  “(…)
• Devono essere sviluppate sia procedure di certificazione di processi operativi rilevanti per la protezione di dati o di strutture organizzative (audit in materia di protezione di dati) sia la valutazione di sistemi o programmi informatici – cioè di prodotti – per quanto riguarda l’osservanza di standard in materia di protezione di dati.

Dal che emerge che ciò di cui si sta parlando è una certificazione di prodotti, processi e servizi fondata sulla norma UNI CEI EN ISO/IEC 17065: Valutazione della conformità – Requisiti per organismi che certificano prodotti, processi e servizi.

• La procedura di valutazione deve portare, una volta stabilito che le norme legali e tecniche del ramo sono osservate, al conferimento di un marchio di qualità inerente alla protezione di dati. Questo riconoscimento può essere utilizzato dalle ditte di certificazione per scopi pubblicitari e portato a conoscenza del pubblico. Le autorità e ditte certificate sono escluse dall’obbligo di notifica della loro raccolta di dati di cui all’articolo 11a, se hanno comunicato il risultato della valutazione all’Incaricato della protezione dei dati. Questo alleggerimento ha lo scopo di incentivare.

Il conseguimento della certificazione consente quindi ampia pubblicità circa l’assicurazione sull’idoneità, correttezza ed adeguatezza delle proprie attività di trattamento e disimpegna le ditte certificate dall’obbligo di notifica.

• Gli organismi che svolgono questa procedura di certificazione devono essere indipendenti, dal punto di vista soprattutto organizzativo ma anche tecnico, dai privati o dalle autorità da valutare. Il riconoscimento di questi organismi dovrà essere regolato dal Consiglio federale nell’ordinanza. È anche immaginabile che gli organismi di certificazione debbano disporre di un accreditamento.
  Inoltre l’Incaricato deve verificare se le procedure di valutazione e il conferimento del marchio di qualità sono compatibili con il diritto vigente. Egli può intervenire mediante gli strumenti previsti dalla LPD (raccomandazione, proposta alla commissione della protezione dei dati).

Ora, pur considerato che in Svizzera è in elaborazione uno standard per procedure uniformi in materia di certificazioni inerenti alla protezione di dati, può essere utile sapere che esiste già, sul mercato, un meccanismo di certificazione conforme al GDPR, accreditato Accredia, e promosso dalla Commissione europea: l’International Scheme for Data Protection ISDP 10003:2018.

Il ricorso ad un siffatto meccanismo di certificazione che, di per sé, fornisce già una molteplicità di assicurazioni e garanzie, può essere strumento chiarificatore dello stato dell’arte in Svizzera e, forse, valido suggerimento per gli obiettivi che la Confederazione elvetica vuole raggiungere.

Qui, infatti, il riferimento alla certificazione si fonda:

• sull’art. 11 della Legge federale sulla protezione dei dati,
• sull’Ordinanza  sulle certificazioni in materia di protezione dei dati (OCPD) che, aggiornato al 1° novembre 2016, richiama le norme UNI EN ISO 9001: Sistemi di gestione per la qualità – Requisiti e UNI CEI ISO/IEC 27001: Tecnologie informatiche – Tecniche per la sicurezza – Sistemi di gestione per la sicurezza delle informazioni – Requisiti ed altre ordinanze.

Inoltre, nel documento riepilogativo circa lo stato della certificazione di prodotti e servizi si legge: “Dalla discussione è emerso che per il mercato svizzero una certificazione di prodotti informatici (hardware, software o sistemi per l’elaborazione automatizzata dei dati) è improponibile per ragioni giuridiche, tecniche e finanziarie. Diversi partecipanti al gruppo di lavoro hanno però chiesto di introdurre una certificazione dei servizi”.

L’art. 5 della suddetta ordinanza (RS 235.13), tuttavia, fa riferimento alla Certificazione dei prodotti e più precisamente alla certificazione dei prodotti destinati in prevalenza al trattamento di dati personali o generanti, al momento del loro impiego, dati personali, in particolare relativi all’utente rilevando l’effettiva mancanza circa la normazione di una certificazione dei servizi.

Orbene, un piccolo richiamo alle norme ISO torna utile.
Nell’alveo delle norme ISO di Valutazione della conformità si riconoscono:

• la norma ISO 17020:2012: Requisiti per il funzionamento di vari tipi di organismi che eseguono ispezioni;
• la norma ISO 17021:2012: Requisiti per gli organismi che forniscono audit e certificazione di sistemi di gestione;
• la norma ISO 17024:2012: Requisiti generali per organismi che eseguono la certificazione delle persone;
• la norma ISO 17025:2018: Requisiti generali per la competenza dei laboratori di prova e di taratura e
• la norma ISO 17065:2012: Requisiti per organismi che certificano prodotti, processi e servizi.

È proprio quest’ultima, la ISO 17065, a fare al nostro caso.

La norma in discorso, infatti, non è quella fondante su cui si basano gli organismi per la certificazione di un sistema di gestione aziendale ma è quella di accreditamento degli organismi che certificano processi, prodotti e servizi.
É quella richiamata nel GDPR, il regolamento 679/2016, a cui le imprese svizzere devono adeguarsi in presenza delle considerazioni in premessa; è la norma:

• per la certificazione dei prodotti di cui all’art. 5 dell’ordinanza di RS 235.13,
• per la certificazione di processi operativi rilevanti per la protezione di dati (v- § 2.10 – Art. 11: Procedura di certificazione Messaggio del 19/2/2003 di revisione della LPD).

In conclusione:
fatto salvo il rispetto delle leggi della Confederazione elvetica, cantonali nonché, in presenza di presupposti, del Regolamento UE 679/2016:

• la certificazione di prodotti, processi e servizi, di cui alla normativa richiamata, viene soddisfatta se effettuata da un organismo di certificazione accreditato in conformità alla ISO 17065. A questi presupposti è sicuramente allineato lo schema ISDP 10003 di Inveo Srl.
• la certificazione di sistemi, procedure e dell’organizzazione dei fornitori e delle persone private, di cui all’art. 11 della LPD, se non soddisfatta come sopra, deve necessariamente avvenire in conformità a una o più norme fondate sulla ISO 17021 ovvero sulla norma di accreditamento degli organismi che forniscono certificazioni di sistemi di gestione.

In questo caso, però,  è utile che le direttive emanate dall’incaricato – sui requisiti minimi che un sistema di gestione della protezione dei dati deve adempiere – non si limitino a richiamare la ISO 9001 e la ISO 27001 estendendosi, per esempio, alla linea guida BS 10012:2017: Data protection – Specification for a personal information management system e alla ISO 27552 dal titolo “Security techniques – Extension to ISO/IEC 27001 and ISO/IEC 27002 for privacy information management –  Requirements and guidelines” che, pur rientrando fra le norme della famiglia ISO 27000 riguardanti la sicurezza delle informazioni sembra estendere il proprio campo di applicazione agli aspetti inerenti la gestione dei dati personali.

Marcello Colaianni
Certified DPO e DP Auditor UNI 11697
Certified DP Auditor ISDP 10003:2018 Scheme
Compliance & Management Systems Consultant

 

I Conflitti d’interesse del Responsabile della protezione dei dati (RPD/DPO)

Il presente articolo propone una chiave di lettura un po’ diversa e meno perentoria rispetto a quello dal titolo: <<DPO e Responsabile del trattamento: 2 facce della stessa medaglia?>> pubblicato il 28 dicembre 2018.
L’esigenza di soffermarsi su altre considerazioni è emersa dirompente alla luce delle esigenze manifestate a gran voce da diversi Titolari e Responsabili miei clienti e da situazioni che mi trovo, professionalmente, a constatare quasi quotidianamente.

Resta valido il ragionamento per il quale il Titolare (ed il Responsabile) si assicura che eventuali altri compiti e funzioni svolte dal DPO non diano adito a un conflitto di interessi.
Le linee guida dell’Articolo 29 Data Protection Working Party si sono già bene espresse sull’opportunità di evitare possibili situazioni di conflitto d’interesse, dentro l’organizzazione – riguardo a ruoli manageriali di vertice (amministratore delegato, responsabile operativo, responsabile finanziario, responsabile sanitario, direzione marketing, direzione risorse umane, responsabile IT), ma anche rispetto a posizioni gerarchicamente inferiori se queste ultime comportano la determinazione di finalità o mezzi del trattamento – e anche in ipotesi di nomina di un DPO esterno al quale si chieda di rappresentare il titolare o il responsabile in un giudizio che tocchi problematiche di protezione dei dati.
Qui, il DPO avvocato non può, evidentemente, rappresentare in giudizio il proprio Titolare.

Se con riferimento alla designazione interna l’orientamento è piuttosto chiaro, l’eventuale nomina esterna del DPO suggerisce di valutare ogni singolo caso per l’oggettivo, e soggettivo, rischio di porre in essere un conflitto d’interessi il che porta all’inevitabile conseguenza di soprassedere all’assunzione del ruolo in discorso.

Assunto che il conflitto di interessi è quella condizione giuridica che si verifica quando viene affidata un’alta responsabilità decisionale a un soggetto che ha interessi personali o professionali in contrasto con l’imparzialità richiesta da tale responsabilità, che può venire meno a causa degli interessi in causa, l’analisi del singolo caso può, nel rispetto dei requisiti di legge, portare ad alcune considerazioni piuttosto interessanti.

Per esempio: il consulente in materia di sicurezza sul lavoro, indubbiamente, effettua trattamenti di dati personali. Per questi motivi viene nominato Responsabile esterno per i dati del Titolare trattati specificatamente in ottemperanza all’oggetto del relativo contratto di consulenza.
È anche vero che nel contratto di nomina del consulente a RTDP, è il Titolare che impartisce istruzioni scritte sulle condizioni e modalità di trattamento dei propri dati nell’espletamento della consulenza; ciò conformemente al dettato ex art. 28/679/2016.
Non è il Consulente ad avere un ruolo che comporti la definizione delle finalità o modalità del trattamento di dati personali.

La domanda da porsi, a questo punto è: <<qual è il conflitto d’interessi che si pone, per la protezione dei dati personali, laddove il consulente in materia di sicurezza sul lavoro venga designato DPO?>> Naturalmente in presenza delle qualità professionali, in particolare della conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati, e della capacità di assolvere i compiti di cui all’articolo 39.

Ricordiamo ancora che il responsabile della protezione dei dati può svolgere altri compiti e funzioni … e, per le riflessioni che seguono, non si può affermare, tout court, che il controllore controlli il controllato.
Allo stesso modo non vi è alcun divieto, nel regolamento, a che un Responsabile possa ricoprire il ruolo di DPO.

Ogni situazione va analizzata caso per caso.
La raccomandazione delle linee guida dell’Articolo 29 DPWP di adottare procedure per:

• individuare le qualifiche e funzioni che sarebbero incompatibili con quella di RPD;
• redigere regole interne a tale scopo onde evitare conflitti di interessi;
• prevedere un’illustrazione più articolata dei casi di conflitto di interessi;
• dichiarare che il RPD non versa in alcuna situazione di conflitto di interessi con riguardo alle funzioni di RPD, al fine di sensibilizzare rispetto al requisito in questione;
• prevedere specifiche garanzie nelle regole interne e fare in modo che nel segnalare la disponibilità di una posizione lavorativa quale RPD ovvero nel redigere il contratto di servizi si utilizzino formulazioni sufficientemente precise e dettagliate così da prevenire conflitti di interessi

è sicuramente utile nel dare enfasi ed evidenza dell’assenza di (rischi di) conflitti d’interesse come nell’esemplificazione considerata.

Il DPO, come sopra nominato, è vero, ha interessi professionali presso il Titolare; è infatti consulente per la sicurezza sul lavoro. Ma l’imparzialità richiesta al DPO può in qualche modo essere compromessa dal fatto che questi sia un Responsabile? Dal fatto che sia un consulente, non in materia di protezione dei dati personali ma di sicurezza sul lavoro?
Alla lettera “h)”, § 3 dell’art. 28/679/2016 è scritto che il Responsabile deve (…) consentire e contribuire alle attività di revisione, comprese le ispezioni, realizzate dal titolare del trattamento o da un altro soggetto da questi incaricato.
Bene. Sarà direttamente il Titolare, o altro soggetto da questi incaricato, che si assicurerà circa il rispetto degli obblighi previsti da parte del consulente.
Non sarà certo coinvolto il DPO/Consulente a controllare se stesso quanto, piuttosto, un organismo indipendente di terza parte che potrà esprimersi circa l’appropriatezza dei comportamenti assunti dal consulente sia in qualità di Responsabile sia in quella di DPO.

La suddetta esemplificazione lascia quindi ben intendere che non si può generalizzare e lasciare insoddisfatte aprioristicamente esigenze organizzative che, in realtà, si rivelano non solo appropriate ma persino opportune.

Con ben in mente la suddetta definizione di conflitto d’interessi, questo si pone, ragionevolmente, se:

1. il nostro Responsabile fosse consulente in materia di protezione di dati personali e non di sicurezza sul lavoro. Come potrebbe il DPO controllare l’operato del Titolare quando questi agisce assecondando le sue stesse indicazioni?
2. il Titolare è assistito dallo studio legale (o dalla società di consulenza), in sede di applicazione ed osservanza dei requisiti della normativa privacy e ad assumere il ruolo di DPO è uno degli avvocati o altri soggetti (ovvero un dipendente della società) che ivi lavorano. Con quale autorevolezza ed imparzialità il DPO si relaziona con il Titolare per dirgli cosa va o non va nel modello di adeguamento al GDPR predisposto dallo stesso studio legale (società di consulenza) con cui e/o per cui lavora?
3. il consulente informatico che assiste il Titolare per gli aspetti ICT, latu sensu, fosse designato DPO. Questi può oggettivamente ritenersi del tutto “estraneo” al trattamento dei dati personali ed in condizioni, quindi, di garantire l’imparzialità e l’indipendenza che è richiesta al Responsabile per la protezione dei dati? Secondo me, no.

Nei tre casi considerati, a titolo esemplificativo, sia il consulente privacy che quello informatico così come lo studio legale vanno nominati Responsabili esterni del trattamento ex art. 28/679/2016 in quanto ad essi il Titolare ricorre per trattamenti effettuati per suo conto, ma a determinare il conflitto d’interessi non è la nomina a Responsabili bensì il tipo di attività che sottende la relazione con il Titolare.

Il ragionamento da fare è un po’ quello per la composizione dell’Organismo di Vigilanza (OdV).
Il Responsabile del servizio di prevenzione e protezione (RSPP) piuttosto che il consulente del sistema di gestione ambientale e persino i sindaci nelle società di capitale, a dispetto del disposto ex art. 6/231/2001 c. 4-bis, non possono – de facto – far parte dell’OdV in presenza di conflitto d’interessi in quanto:

• l’RSPP, membro dell’OdV, si ritroverebbe a controllare il proprio operato con riferimento all’osservanza della normativa sulla sicurezza sul lavoro la cui materia è contemplata fra i rischi reato 231;
• il consulente ambientale, allo stesso modo, si ritroverebbe a verificare l’appropriatezza dei consigli formulati all’Organizzazione, in conformità al D. Lgs. 152/2006 e smi ed alla UNI EN ISO 14001;
• il sindaco, infine, quale membro dell’organismo si ritroverebbe a controllare aspetti strettamente connessi alla propria attività oggetto, a loro volta, delle verifiche dell’OdV.

Né può essere membro dell’Organismo il DPO, o il consulente privacy. Come potrebbe, questi, controllare la correttezza delle azioni intraprese dovendo verificare eventuali rischi reato riguardanti i Delitti informatici ed il trattamento illecito di dati?

Ecco, queste situazioni sono del tutto assimilabili a quelle più sopra riportate; situazioni nelle quali la figura di controllore e controllato pongono sì, in essere, un evidente conflitto d’interessi.

Marcello Colaianni
Compliance & Management Systems Consultant/Auditor
Certified DPO  e DP Auditor UNI 11697
Certified DP Auditor ISDP 10003:2018 Scheme

 

 

La Repubblica di San Marino, il GDPR e la Protezione delle persone fisiche con riguardo al trattamento dei dati personali: considerazioni relative all’istituto della Certificazione.

La Repubblica di San Marino (RSM) non è Stato membro dell’Unione Europea tuttavia il combinato disposto:

1. ex art. 3/679/2016, § 1: Il presente regolamento si applica al trattamento dei dati personali effettuato nell’ambito delle attività di uno stabilimento da parte di un titolare del trattamento o di un responsabile del trattamento nell’Unione, indipendentemente dal fatto che il trattamento sia effettuato o meno nell’Unione;
2. ex art. 3/171/2018, comma 1: La presente legge si applica al trattamento interamente o parzialmente automatizzato di dati personali e al trattamento non automatizzato di dati personali contenuti in un archivio o destinati a figurarvi, effettuato da chiunque è stabilito nel territorio della Repubblica di San Marino o in un luogo comunque soggetto alla sovranità della Repubblica di San Marino

evidenzia come il Regolamento UE 679/2016 sia del tutto applicabile, ed obbligatorio, anche per le organizzazioni sammarinesi.
Inoltre, la normativa ivi legiferata consente di considerare la RSM un Paese nel quale sono presenti le cosiddette garanzie adeguate di cui all’art. 46/679/2016 ed al Considerando 108 del Regolamento Ue.

Con riferimento alla Certificazione, ex artt. 42 e 43 del GDPR, discende che le relative disposizioni debbano, parimenti, essere prese nella dovuta considerazione.
Ciò premesso, doverosamente, occorre rilevare che l’accreditamento degli Organismi di Certificazione (OdC) richiamati all’art. 44/171/2018 è effettuato, in presenza di presupposti, unicamente dall’Autorità Garante per la protezione dei dati personali della RSM.

Per quanto riguarda l’altro aspetto rilevante, ovvero il fatto che il meccanismo di certificazione debba fondarsi sui requisiti della ISO 17065 piuttosto che della ISO 17021, non ci sono indicazioni specifiche.
Logica vuole che, sulla base delle considerazioni in premessa, le Autorità locali si allineino alle disposizioni del GDPR … e non vedo, personalmente, alternative.

L’art. 43/171/2018, c. 1, infatti, recita: <<Il titolare del trattamento o il responsabile del trattamento possono sottoporre il trattamento effettuato ad un meccanismo di certificazione della protezione dei dati, nonché di sigilli e marchi di protezione dei dati allo scopo di dimostrare la conformità alla presente legge dei trattamenti effettuati dai medesimi titolari e responsabili del trattamento>>.
Identica disposizione di quanto all’art. 42/679/2016, § 1, per la parte di nostro interesse: <<Gli Stati membri, le autorità di controllo, il comitato e la Commissione incoraggiano, in particolare a livello di Unione, l’istituzione di meccanismi di certificazione della protezione dei dati nonché di sigilli e marchi di protezione dei dati allo scopo di dimostrare la conformità al presente regolamento dei trattamenti effettuati dai titolari del trattamento e dai responsabili del trattamento>>.

Da quanto sopra si rileva, ancora una volta, come la valutazione di conformità di un meccanismo di certificazione della protezione dei dati, nonché di sigilli e marchi di protezione dei dati trovi soddisfazione nella norma UNI CEI EN ISO/IEC 17065 che riguarda, compiutamente, i Requisiti per organismi che certificano prodotti, processi e servizi e non nella norma UNI CEI EN ISO/IEC 17021 che, diversamente, riguarda i Requisiti per gli organismi che forniscono certificazione di sistemi di gestione.

A questo punto manca un solo tassello.
La garanzia che gli Organismi di certificazione operino nel rispetto dei requisiti della ISO 17065 è data dall’accreditamento degli stessi da parte dell’Ente nazionale di accreditamento, in Italia, Accredia.
In assenza di un ente di accreditamento nella Repubblica di San Marino trovo estremamente utile ed oltremodo ragionevole prevedere, al comma 2 dell’art. 44/171/2018, anche il requisito dell’accreditamento degli OdC, per altro inclusivo di quanto alle lettere da a) a d), in conformità della norma UNI CEI EN ISO/IEC 17065.

Così facendo, insieme ad un ulteriore allineamento ed uniformità con il Regolamento UE 679/2016, tutte le organizzazioni della Repubblica di San Marino potrebbero facilmente identificare, fra gli altri, lo schema ISDP 10003:2018 certificato Accredia come lo strumento più idoneo a dimostrare la conformità dei trattamenti effettuati dai titolari e responsabili del trattamento così come previsto dalla Legge 21 Dicembre 2018 n.171.

Marcello Colaianni
Certified DPO e DP Auditor UNI 11697
Certified DP Auditor ISDP 10003:2018 Scheme
Compliance & Management Systems Consultant