il DPO: non solo Data Protection Officer ma anche Digital Preservation Officer

Sono sempre stato un accanito sostenitore circa l’appropriato utilizzo dei termini, e relativi acronimi, nel riferirmi alle figure professionali richiamate nelle diverse discipline giuridiche.

Ne è un esempio eclatante la sigla D.P.O. per indicare il Data Protection Officer di cui al GDPR, non il Data Privacy Officer che, al più, è una figura riconosciuta de facto a supporto delle organizzazioni con compiti manageriali o con ruoli consulenziali.

Una posizione del tutto coerente con le linee guida del WP 243 del 5 aprile 2017 sui responsabili della protezione dei dati secondo cui: <<Nulla osta a che un’azienda o un ente, quando non sia soggetta all’obbligo di designare un RPD e non intenda procedere a tale designazione su base volontaria, ricorra comunque a personale o consulenti esterni incaricati di incombenze relative alla protezione dei dati personali. In tal caso è fondamentale garantire che non vi siano ambiguità in termini di denominazione, status e compiti di queste figure; è dunque essenziale che in tutte le comunicazioni interne all’azienda e anche in quelle esterne (con l’autorità di controllo, gli interessati, i soggetti esterni in genere), queste figure o consulenti non siano indicati con la denominazione di  responsabile per la protezione dei dati (RPD).
Considerazioni che valgono anche per i Chief Privacy Officers (CPO) o altri professionisti in materia di privacy già operanti presso alcune aziende, che non sempre e non necessariamente si conformano ai requisiti fissati nel regolamento per quanto riguarda, per esempio, le risorse disponibili o le salvaguardie della loro indipendenza e che, in tal caso, non possono essere considerati e denominati “RPD”>>.

Con la stessa fermezza, tuttavia, trovo del tutto ragionevole ed opportuno riferirsi, con lo stesso acronimo, anche a un’altra figura professionale che dal Data Protection Officer si differenzia per il contesto in cui opera sebbene i margini di collaborazione, in relazione ai rispettivi compiti, sono del tutto evincibili. Mi riferisco al Digital Preservation Officer, ovvero al Responsabile della conservazione digitale dei documenti.

Disciplinato dal DPCM 3 dicembre 2013, il Digital Preservation Officer svolge una molteplicità di attività inerenti l’implementazione di un sistema di conservazione predisponendo il relativo manuale di cui cura l’aggiornamento periodico tenendo conto degli aspetti normativi, organizzativi, procedurali e tecnologici.

<<Il responsabile della conservazione opera d’intesa con il responsabile del trattamento dei dati personali, con il responsabile della sicurezza e con il responsabile dei sistemi informativi (…)>> e, evidentemente, collabora con il responsabile della protezione dei dati.

È una figura che opera in ambito digitale affiancato dall’Innovation Manager, dal Chief Digital Officer, dal Responsabile della Transazione Digitale … all’insegna di una sempre maggiore propensione al ricorso al digitale da parte di privati e pubbliche amministrazioni perché anche nel digitale, come in altri contesti, c’è bisogno di persone che sappiano guidare e motivare gestendo il rischio e l’errore perché lo sbaglio nell’azione è sicuramente meglio del non agire affatto.

Marcello Colaianni
Certified DPO e DP Auditor UNI 11697
Certified DP Auditor ISDP 10003:2018 Audit Scheme
Compliance & Management Systems Consultant/Auditor

Annunci

Culpa in eligendo, culpa in vigilando e principio di effettività nelle relazioni fra TTDP e RTDP

Nelle relazioni fra Titolare del trattamento e Responsabile del trattamento, al di là del dettato normativo, sono state espresse tante, a volte troppe, interpretazioni del tipo:

  • il Titolare del trattamento deve o può (?) nominare il Responsabile del trattamento ….;
  • il Responsabile del trattamento comunica al Titolare l’assunzione di incarico in forza di …;
  • il Titolare ed il Responsabile sottoscrivono un contratto negoziando sui suoi contenuti … .

Sono tutte considerazioni legittime che, però, determinano comportamenti differenziati e, non sempre, allineati ai requisiti del GDPR.
Ragioniamo, insieme, con il Regolamento alla mano riportando innanzitutto le definizioni che seguono:

  • «titolare del trattamento»: la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali (…);
  • «responsabile del trattamento»: la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento.

Si evince, fin da subito, come sia il Titolare del trattamento a fare il primo passo nei confronti del Responsabile, e non viceversa perché è quest’ultimo che, in virtù di un mandato o contratto di servizi sottoscritto con il Titolare, tratta dati personali a questi riconducibili. E proprio in funzione del contratto di servizi, o del mandato, che i dati personali riconducibili al Titolare saranno più o meno ampi con riferimento alla categoria di dati trattati (dati personali, particolari, giudiziari penali) piuttosto che ai mezzi di trattamento o altro ancora.

Questa è ancora la fase in cui è “semplicemente” stabilito il rapporto professionale fra le parti. Quindi lo studio dell’Avvocato, del Consulente del lavoro o della Società di consulenza in materia di privacy, per fare solo pochi esempi, in virtù del suddetto mandato o contratto, si pongono come Responsabili del trattamento nei confronti del loro assistito ovvero del loro cliente.

Il Reg. UE 679/2016, al primo paragrafo dell’art. 28, recita: “Qualora un trattamento debba essere effettuato per conto del titolare del trattamento, quest’ultimo ricorre unicamente a responsabili del trattamento che presentino garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del presente regolamento e garantisca la tutela dei diritti dell’interessato”.

È indubbio che nel farsi rappresentare dall’avvocato, nelle sedi giudiziarie, o nel ricorrere al consulente del lavoro per la gestione paghe dei propri dipendenti o alla società di consulenza per adeguarsi alla normativa sulla privacy si sta facendo riferimento ad un trattamento di dati personali che deve essere effettuato per conto del titolare del trattamento.

A questo punto, se il servizio è garantito dalla firma del contratto sottoscritto fra cliente e fornitore, occorre far sì che anche il rapporto fra Titolare (ovvero il Cliente) e Responsabile (cioè il Fornitore), ai fini privacy, sia ugualmente garantito.

Come? Semplice: il Titolare nomina il proprio Fornitore come Responsabile del trattamento.
In che modo? Con un contratto o altro atto giuridico!

Ed ecco il semaforo rosso! Come fa il Titolare a ricorrere ovvero nominare quell’avvocato, quel consulente o quella società se non sa nemmeno se presentano garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del presente regolamento e garantisca la tutela dei diritti dell’interessato?

I suddetti soggetti, già per loro conto in quanto Titolari dei propri dati personali, devono adempiere al regolamento. Quindi, già di per sé sono tenuti al rispetto del GDPR. L’assunzione del ruolo di RTDP conseguente alle relazioni con il Titolare non costituisce una fattispecie diversa se non quella dettata dalla contestualizzazione dei rapporti nello svolgimento della propria attività. Infatti l’Avvocato, il Consulente e la Società, nei confronti dei loro fornitori, si pongono a loro volta come titolari.
Titolari e Responsabili sono entrambi terzi alternandosi di volta in volta a seconda dello specifico contesto. Ce lo ricorda l’art. 4, che al punto 10) del primo paragrafo, definisce <<terzo>>: la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che non sia l’interessato, il titolare del trattamento, il responsabile del trattamento e le persone autorizzate al trattamento dei dati personali sotto l’autorità diretta del titolare o del responsabile.

A dispetto di tutto ciò, la nomina a RTDP (esterno) non viene sottoscritta; chissà per quale motivo (??).

Il Titolare a questo punto può assumere due comportamenti: sostituire il professionista o soprassedere perché prevalgono le competenze specifiche. Ma ahimè, la mancata sottoscrizione del contratto, di nomina del RTDP, determina una sanzione amministrativa pecuniaria.

Infatti, l’art. 83/679/2016 dispone che (…) la violazione delle disposizioni seguenti è soggetta a sanzioni amministrative pecuniarie fino a 10 000 000 EUR, o per le imprese, fino al 2% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore nei casi di: a) gli obblighi del titolare del trattamento e del responsabile del trattamento a norma degli articoli 8, 11, da 25 a 39, 42 e 43.
Come si può notare, l’art. 28 ci sta; è specificatamente considerato.

Un altro aspetto per cui la nomina del RTDP è oltremodo doverosa e opportuna è quello esplicitato all’art. 82/679/2016 in materia di Diritto al risarcimento e responsabilità e, più precisamene, in materia di responsabilità solidale.

Al Titolare, quindi, può essere obiettato il fatto che il soprassedere alla sottoscrizione del contratto di nomina del RTDP è contrario ai suoi obblighi di messa in atto delle misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al presente regolamento con un rischio, appunto, di sanzione amministrativa pecuniaria fino a 10 000 000 EUR, o per le imprese, fino al 2 % del fatturato mondiale totale annuo dell’esercizio precedente, se superiore per inosservanza del combinato disposto ex artt. 24, 28 e 83 del GDPR.

Per quanto sopra, oggettivamente, al Titolare non può essere attribuita una culpa in eligendo laddove i RTDP nominati dovessero disattendere i requisiti di idoneità e adeguatezza. Abbiamo detto perché obbligati al rispetto del Regolamento, fin dall’origine, in qualità di TTDP.

Altro è invece se parliamo di culpa in vigilando. Fra le istruzioni che il Titolare impartisce al RTDP, infatti, è obbligatoria anche quella che prevede di poter svolgere, direttamente e/o indirettamente, attività di revisione e ispezione. Facoltà del tutto legittima anche se estesa a tutta la filiera dei soggetti che, direttamente o meno, trattano dati personali riconducibili al Titolare … fino al gestore del cloud.

Per chi, infine, ritiene che la nomina del RTDP è, persino, irregolare dichiarando il prevalere del cosiddetto principio di effettività per cui il RTDP è tale di fatto e non deve ricevere nessun incarico formale, per la semplice esistenza di un contratto di fornitura (quando esiste) o del rapporto di compravendita fra le parti, mi permetto di dissentire fortemente perché siffatto principio:

  • deve essere esplicitamente richiamato nella specifica normativa di riferimento;
  • non rientra nel novero dei Principi applicabili al trattamento di dati personali ex art. 5;
  • è palesemente in contrasto al disposto ex art. 28.

Nulla quindi che possa essere paragonato al principio di effettività richiamato, per quanto di propria competenza, nella legislazione speciale di cui al:

  • D. Lgs. 81/08 e smi che – all’art. 299/81/08 e smi “Esercizio di fatto di poteri direttivi” – recita: <<Le posizioni di garanzia relative ai soggetti di cui all’articolo 2, comma 1, lettere b), d) ed e), gravano altresì su colui il quale, pur sprovvisto di regolare investitura, eserciti in concreto i poteri giuridici riferiti a ciascuno dei soggetti ivi definiti e
  • D. Lgs. 231/01 e smi che – al comma 1, lett. a) dell’art. 5 “Responsabilità dell´ente” – dispone: <<L´ente è responsabile per i reati commessi nel suo interesse o a suo vantaggio da persone che rivestono funzioni di rappresentanza, di amministrazione o di direzione dell´ente o di una sua unità organizzativa dotata di autonomia finanziaria e funzionale nonché da persone che esercitano, anche di fatto, la gestione e il controllo dello stesso.

Marcello Colaianni
Compliance & Management Systems Consultant/Auditor
Privacy Consultant & DP Auditor Certified

 

 

GDPR e WHISTLEBLOWING

Il Whistleblowing, ovvero la disciplina della segnalazione da parte del dipendente, trova il suo definitivo riconoscimento con l’entrata in vigore della L. 30 novembre 2017, n. 179 Disposizioni per la tutela degli autori di segnalazioni di reati o irregolarità di cui siano venuti a conoscenza nell’ambito di un rapporto di lavoro pubblico o privato.

In ambito pubblico, il suddetto istituto era già noto grazie al D.P.R. 16 aprile 2013, n. 62 Regolamento recante codice di comportamento dei dipendenti pubblici, a norma dell’articolo 54 del decreto legislativo 30 marzo 2001, n. 165 dove l’art. 8 recita: Il dipendente (…) fermo restando l’obbligo di  denuncia all’autorità giudiziaria, segnala al proprio superiore gerarchico eventuali situazioni di  illecito  nell’amministrazione  di  cui  sia venuto a conoscenza”.

In ambito privato la sua applicazione viene specificatamente circoscritta al D. Lgs. 231/01 con l’inserimento degli articoli 2-bis, 2-ter e 2-quater. La determinazione del perimetro del whistleblowing in seno alla Disciplina della responsabilità amministrativa delle persone giuridiche, delle società e delle associazioni anche prive di personalità giuridica lascia ben intendere, in realtà, il notevole livello di estensione della validità di questo istituto.

Ai nostri fini, l’argomento coinvolge sicuramente la materia della “Privacy” giacché l’art. 24-bis del D. Lgs. 231/01 contempla i Delitti informatici e trattamento illecito di dati e più precisamente i reati di:

  • Falsità in un documento informatico pubblico o avente valore probatorio (art. 491-bis c.p.);
  • Accesso abusivo ad un sistema informatico e telematico (art. 615-ter c.p.);
  • Detenzione e diffusione abusiva di codici di accesso a sistemi informatici e telematici (art. 615-quater);
  • Diffusione di apparecchiature, dispositivi o programmi informatici diretti a danneggiare o interrompere un sistema informatico o telematico (art. 615-quinquies c.p.);
  • Intercettazione, impedimento o interruzione illecita di comunicazioni informatiche o telematiche (art. 617-quater c.p.);
  • Installazione di apparecchiature atte ad intercettare, impedire o interrompere comunicazioni informatiche o telematiche (art. 617-quinquies c.p.);

a cui si aggiungono quelli di cui alla Parte III^ Tutela dell’interessato e sanzioni, Titolo III Sanzioni, Capo II Illeciti penali che, alla luce dello Schema di decreto legislativo recante disposizioni per l’adeguamento della normativa nazionale alle disposizioni del regolamento (UE) 2016/679, sono:

  • Trattamento illecito di dati;
  • Falsità nelle dichiarazioni al Garante;
  • Altre fattispecie e
  • Pene accessorie

Per quanto sopra, si può quindi affermare che il D. Lgs. 231/01 si pone come elemento di congiunzione fra la Privacy, nei termini considerati, ed il whistleblowing. E questo vale per tutti coloro che, a vario titolo, vi si adeguano.

A questo punto la domanda sorge spontanea: I soggetti estranei all’obbligo di osservanza del D. Lgs. 231/01 sono comunque tenuti, ai fini della normativa vigente in materia di Data Protection, a prendere in debita considerazione tale istituto e, quindi, anche la predisposizione di idonee procedure di segnalazione?

Evidentemente no! Manca infatti la base giuridica che imponga un siffatto comportamento.

In termini volontaristici, naturalmente, è tutta un’altra cosa!

Sebbene, in questo caso, l’obiettivo sia quello di tutelare direttamente l’Interessato nel trattamento dei suoi dati personali gli effetti che ne derivano sono comunque utili al Titolare, ovvero al Responsabile del trattamento.

L’adozione volontaria di procedure di segnalazione contro il rischio di commissione di reati o irregolarità in materia di Privacy sono del tutto coerenti con il dettato di cui al Reg. UE 679/2016 nonché di quello che rimane del D. Lgs. 196 e di quello che verrà:

  1. perché il trattamento illecito dei dati è contrario al primo dei principi del GDPR;
  2. perché l’adozione di procedure di whistleblowing rientra sicuramente fra le misure tecniche e organizzative che il titolare deve adottare;
  3. perché tali comportamenti precauzionali possono concorrere a calmierare l’importo della sanzione pecuniaria;

e ancora:

  1. perché evita l’incorrere del rischio reclusione;
  2. perché estremamente pertinente nell’ipotesi di implementazione di un sistema di gestione della protezione dei dati personali;
  3. perché valido strumento contro il rischio reputazionale.

Non solo. Laddove il Titolare lungimirante intenda tener conto del whistleblowing un utile e valido  riferimento su come comportarsi è adeguarsi alle indicazioni del decreto 231 ovvero  degli articoli:

<<2-bis che prevede:

  1. uno o piu’ canali che consentano ai soggetti indicati nell’articolo 5, comma 1, lettere a) e b), di presentare, a tutela dell’integrità dell’ente, segnalazioni circostanziate di condotte illecite, rilevanti ai sensi del presente decreto (231) e fondate su elementi di fatto precisi e concordanti, o di violazioni del modello di organizzazione e gestione dell’ente, di cui siano venuti a conoscenza in ragione delle funzioni svolte; tali canali garantiscono la riservatezza dell’identità del segnalante nelle attivita’ di gestione della segnalazione;
  2. almeno un canale alternativo di segnalazione idoneo a garantire, con modalità informatiche, la riservatezza dell’identità del segnalante;
  3. il divieto di atti di ritorsione o discriminatori, diretti o indiretti, nei confronti del segnalante per motivi collegati, direttamente o indirettamente, alla segnalazione
  4. nel sistema disciplinare adottato ai sensi del comma 2, lettera e), sanzioni nei confronti di chi viola le misure di tutela del segnalante, nonché di chi effettua con dolo o colpa grave segnalazioni che si rivelano infondate.

2-ter che dispone: 

L’adozione di misure discriminatorie nei confronti dei soggetti che effettuano le segnalazioni di cui al comma 2-bis puo’ essere denunciata all’Ispettorato nazionale del lavoro, per i provvedimenti di propria competenza, oltre che dal segnalante, anche dall’organizzazione sindacale indicata dal medesimo.

2-quater per cui è stabilito che:

Il licenziamento ritorsivo o discriminatorio del soggetto segnalante è nullo. Sono altresì nulli il mutamento di mansioni ai sensi dell’articolo 2103 del codice civile, nonché qualsiasi altra misura ritorsiva o discriminatoria adottata nei confronti del segnalante. È onere del datore di lavoro, in caso di controversie legate all’irrogazione di sanzioni disciplinari, o a demansionamenti, licenziamenti, trasferimenti, o sottoposizione del segnalante ad altra misura organizzativa avente effetti negativi, diretti o indiretti, sulle condizioni di lavoro, successivi alla presentazione della segnalazione, dimostrare che tali misure sono fondate su ragioni estranee alla segnalazione stessa>>.

Ad assicurarsi circa il rispetto delle regole, se in ambito 231 spetta all’OdV, in questa sede spetta sicuramente al DPO nell’alveo dei suoi compiti istituzionali. In mancanza, è oltremodo opportuno il ricorso a un DP Auditor.

Marcello Colaianni
Compliance & Management Systems Consultant/Auditor
Privacy Consultant & DP Auditor Certified

 

DPO: Data Protection Officer versus Data Privacy Officer, stesso acronimo, figure diverse

Ho già avuto modo di scriverlo in alcuni miei articoli come quello del 21 agosto 2017 (https://marcellocolaianniblog.wordpress.com/2017/08/21/il-responsabile-della-protezione-dei-dati-il-privacy-officer-e-le-altre-figure-del-gdpr/) e mi preme qui ribadire il concetto per cui di Data Protection Officer ce n’è uno ed uno solo. È quello nominativamente previsto agli articoli 37 a 39 del Regolamento UE 679/2016.

Senza nulla togliere alle altre figure professionali della Privacy, o più correttamente, della Data Protection, vanno assolutamente specificate le differenze in termini di ruolo, mansioni e competenze.

Esiste il Chief Privacy Officer? Va bene, non è il DPO! Esistono i Privacy Officer e gli altri Officer che si occupano a vario titolo della materia in discorso? Benissimo! Sono altro rispetto al DPO!

L’ultimo nato è l’ancor più ingannevole Data Privacy Officer con acronimo identico al Data Protection Officer.  Un caso?

Da dove salti fuori non ne ho minimamente idea. È certo che se si vogliono identificare soggetti che, in azienda o fuori, si occupano della materia in discorso basta ricorrere ai suggerimenti della norma UNI 11697 che, riconoscendo personalmente il Responsabile della Protezione dei Dati,  propone la figura del Manager Privacy, valida alternativa a tutte le altre definizioni più sopra citate, dello Specialista privacy e del Valutatore privacy per i quali sono formulate caratteristiche proprie e identificative.

D’altra parte, è lo stesso WP29 (ora EDPB) a ricordarcelo:
Nulla osta a che un’azienda o un ente, quando non sia soggetta all’obbligo di designare un RPD e non intenda procedere a tale designazione su base volontaria, ricorra comunque a personale o consulenti esterni incaricati di incombenze relative alla protezione dei dati personali. In tal caso è fondamentale garantire che non vi siano ambiguità in termini di denominazione, status e compiti di queste figure; è dunque essenziale che in tutte le comunicazioni interne all’azienda e anche in quelle esterne (con l’autorità di controllo, gli interessati, i soggetti esterni in genere), queste figure o consulenti non siano indicati con la denominazione di responsabile per la protezione dei dati (RPD).
Considerazioni che valgono anche per i chief privacy officers (CPO) o altri professionisti in materia di privacy già operanti presso alcune aziende, che non sempre e non necessariamente si conformano ai requisiti fissati nel regolamento per quanto riguarda, per esempio, le risorse disponibili o le salvaguardie della loro indipendenza e che, in tal caso, non possono essere considerati e denominati “RPD”.  

Marcello Colaianni
Compliance & Management Systems Consultant/Auditor