“Persone autorizzate” e “Soggetti designati” nella protezione dei dati personali.

L’introduzione, nel novellato D. Lgs. 196/03, dell’art. 2-quaterdecies: Attribuzione di funzioni e compiti a soggetti designati integra il disposto di cui all’art. 29 del GDPR.
Dalla comparazione fra il Reg. UE 679/2016 ed il nuovo Codice Privacy si riscontrano, però, delle differenze che suggeriscono qualche chiarimento.

Art. 29/679: Trattamento sotto l’autorità del titolare del trattamento o del responsabile del trattamento:
Il responsabile del trattamento, o chiunque agisca sotto la sua autorità o sotto quella del titolare del trattamento, che abbia accesso a dati personali non può trattare tali dati se non è istruito in tal senso dal titolare del trattamento, salvo che lo richieda il diritto dell’Unione o degli Stati membri.

Art. 2-quaterdecies/196: Attribuzione di funzioni e compiti a soggetti designati
Il titolare o il responsabile del trattamento possono prevedere, sotto la propria responsabilità e nell’ambito del proprio assetto organizzativo, che specifici compiti e funzioni connessi al trattamento di dati personali siano attribuiti a persone fisiche, espressamente designate, che operano sotto la loro autorità.
Il titolare o il responsabile del trattamento individuano le modalità più opportune per autorizzare al trattamento dei dati personali le persone che operano sotto la propria autorità diretta.

 Dal combinato disposto dei suddetti articoli emerge che:

  • all’art. 29 prevale l’elemento fondante delle istruzioni che devono essere fornite per poter trattare dati personali soprassedendo ad aspetti altrettanto fondamentali;
  • “chiunque” può essere, indifferentemente, una persona fisica o una persona giuridica quindi anche un soggetto diverso dal dipendente purché svolga le attività di trattamento sotto l’autorità del Titolare/Responsabile;
  • al contrario, nell’art. 2-quaterdecies, si parla specificatamente di persone fisiche;
  • il richiamo all’assetto organizzativo può riferirsi al coinvolgimento non solo di figure interne ma anche esterne all’insegna dell’adozione delle misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio; ciò coerentemente alla previsione dell’art. 29;
  • l’espressa designazione delle persone fisiche lascia ben intendere l’opportunità di una nomina scritta dei soggetti designati;
  • è data enfasi all’autorità del Titolare/Responsabile sotto la quale le persone autorizzate agiscono e i soggetti designati operano.

Il mio suggerimento è quindi quello di:

  • identificare i soggetti, interni ed esterni, che vengono autorizzati a trattare dati personali in virtù dei trattamenti a loro affidati;
  • identificare, per i soggetti interni, l’unità funzionale di appartenenza;
  • procedere ad una loro designazione scritta specificando i confini delle attività di trattamento autorizzate/affidate;
  • adottare misure di limitazione e contenimento dei margini di manovra dei suddetti soggetti;
  • fornire istruzioni puntuali e adhocratiche valutando differenti livelli di responsabilizzazione;
  • assicurarsi che tali istruzioni siano debitamente documentate.

Identificati i soggetti, occorre attivarsi con i dovuti crismi per la loro più appropriata definizione e organizzazione.

In questo senso, per esempio, il Contitolare, il Rappresentante ed il Responsabile del trattamento dei dati personali sono persone autorizzate, persone fisiche o giuridiche rientrando nell’accezione “chiunque” dell’art. 29. La loro disciplina, però, è specifica e riconducibile, rispettivamente, agli artt. 26, 27 e 28. Sono persone che possono, secondo esigenza, trovarsi inseriti o meno nell’organigramma aziendale.

Qualche esempio?

  • L’Organismo di Vigilanza è un Responsabile del trattamento (RTDP) a cui il Titolare ricorre dovendo effettuare per suo conto specifici trattamenti.
    Il Titolare è chiamato obbligatoriamente, per legge, a ricorrere all’OdV per lo svolgimento di trattamenti specifici, in adempimento al D. Lgs. 231/01.
    Trattamenti per i quali il Titolare determina finalità e mezzi pur rimanendo, in capo all’OdV, gli autonomi poteri di iniziativa e controllo, di vigilanza sul funzionamento e l’osservanza dei modelli e del loro aggiornamento.
    È un Responsabile interno perché trattasi di un organismo dell’ente.
  • Il Collegio sindacale è, allo stesso modo, un Responsabile al quale il Titolare ricorre, anche in questo caso, per obbligo di legge. È però esterno, fuori dall’assetto organizzativo.
  • Lo studio di consulenza del lavoro è Responsabile esterno perché a lui ricorre il Titolare per il trattamento la gestione delle paghe dei propri dipendenti. Il Titolare, volendo, potrebbe gestire in proprio tali trattamenti ma preferisce concentrarsi sul proprio core business e ricorrere all’outsourcing.
  • il DPO, è persona autorizzata rivelandosi, secondo i chiarimenti del Garante, sia persona fisica sia persona giuridica. Il suo ruolo è però specificatamente disciplinato dagli artt. 37 a 39.

Focalizzando l’attenzione sulle singole funzioni del Titolare (Azienda, Studio professionale, Associazione, Ente, ecc.) lo sguardo è sicuramente rivolto alle persone fisiche, agli individui che, in virtù dei compiti svolti, sono riconducibili ai soggetti designati.

Vi si riscontrano le seguenti figure:

  • il Privacy manager, che chiamato ad adeguare l’organizzazione ai requisiti della normativa sulla protezione dei dati personali, è soggetto designato in staff al Direttore generale;
  • l’amministratore di sistema, che amministra i componenti del sistema ICT per soddisfare i requisiti del servizio, è soggetto designato;
  • il Direttore del personale, così come i suoi collaboratori che trattano dati personali, è soggetto designato
  • e così via.

Per quanto sopra risulta evidente, quindi, l’importanza di porre la dovuta attenzione nell’individuazione di tutti i soggetti, dentro e fuori l’Organizzazione (Titolare), in qualità di persone autorizzate ovvero di soggetti designati, e dare così evidenza delle modalità organizzative nella distribuzione di ruoli e responsabilità all’insegna del principio generale e fondante di ACCOUNTABILITY soddisfacendo una delle principali azioni da intraprendere qual è la progettazione dell’organigramma per la data protection.

Marcello Colaianni
Certified DPO e DP Auditor UNI 11697

Certified DP Auditor ISDP 10003:2018 Scheme
Compliance & Management Systems Consultant/Auditor

Annunci

I Partiti, i Sindacati ed il GDPR

I partiti e i sindacati sono chiamati ad adeguarsi al Regolamento UE 679/2016 in materia di protezione delle persone fisiche con riferimento ai dati personali ed alla loro circolazione?

Assolutamente si!
A maggior ragione considerando che per definizione questi soggetti trattano non solo i “comuni” dati personali, ma altrettante e fondamentali categorie di dati particolari ovvero sensibili, cioè quelli che “rivelano (…), le opinioni politiche, (…), o l’appartenenza sindacale (…)”.  

A cosa sono tenuti?

Naturalmente a tutte le incombenze previste per la generalità delle Organizzazioni. Quindi, le consuete Informative e Richieste di consenso, l’identificazione e nomina delle figure della privacy, la tenuta del Registro dei trattamenti e, non ultimo, la nomina del Responsabile della protezione dei dati (RPD/DPO).

A cosa vanno incontro, in ipotesi di mancata osservanza ai requisiti di legge?

Al rischio sanzioni amministrative fino a € 10 mln o 20 mln in base alla tipologia di requisiti disattesi ed ai successivi comportamenti nonché alle sanzioni penali introdotte dai singoli stati membri.

Quali sono i rischi per la protezione dei dati personali in ambito partitico o sindacale?

Sono quelli che emergono da una puntuale e constestualizzata valutazione dei rischi con riferimento ai dati personali dell’iscritto durante il rapporto con il partito/sindacato.

Vi è anche l’obbligo di predisposizione della Valutazione d’impatto?

Assolutamente si! Per gli stessi motivi per cui sono tenuti alla designazione del RPD.  

C’è qualche scappatoia per evitare di esserne assoggettati?

NO! E se il nostro legislatore intervenisse in questi termini l’Italia sarebbe per questo soggetta a sanzioni da parte della Unione europea.

Marcello Colaianni
DPO e Privacy Consultant KHC Certified n. 2108
Data Protection Auditor KHC Certified n. 2121

 

 

La Chiesa cattolica ed il diritto alla Riservatezza dei dati

In Italia é entrata in vigore, nel dicembre 1996, la Legge 675: “Tutela delle persone e di altri soggetti rispetto alla tutela dei dati personali” a cui ha fatto seguito il D. Lgs. 30 giugno 2003 n. 196: “Codice in materia di protezione dei dati personali” che dovrà dare il giusto spazio, dal 25 maggio 2018, al Reg. Ue 679/2016 “relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati”.

Come si pone la Chiesa cattolica con riferimento alla legislazione de quo?
Ci sono correlazioni fra gli adempimenti in materia da parte degli enti ecclesiastici ed il suddetto regolamento?

La risposta ci viene fornita dal dettato dell’art. 9/679/2016 che al paragrafo 1 dispone: <<E’ vietato trattare dati personali che rilevino (…) le convinzioni religiose (…), nonché trattare dati (…) della persona>> ed al comma 2, lett. d) recita: <<il paragrafo 1 non si applica se il trattamento è effettuato, nell’ambito delle sue legittime attività e con adeguate garanzie, da una fondazione, associazione o altro organismo senza scopo di lucro che persegua finalità (…) religiose (…), a condizione che il trattamento riguardi unicamente i membri, gli ex membri o le persone che hanno regolari contatti con (…) l’associazione o l’organismo a motivo delle sue finalità e che i dati personali non siano comunicati all’esterno senza il consenso dell’interessato>>.

Ne consegue che l’ambiente ecclesiastico deve tenere in debito conto questa normativa tanto più che il trattamento dei dati sensibili è del tutto evidente essendo idonei “a rivelare le convinzioni religiose ovvero l’adesione a associazioni o organizzazioni a carattere religioso”.

Inoltre, l’art. 91 (Norme di protezione dei dati vigenti presso chiese e associazioni religiose) del medesimo regolamento prevede, al §1, che <<Qualora in uno Stato membro chiese e associazioni o comunità religiose applichino, al momento dell’entrata in vigore (25/05/2016) del presente regolamento, corpus completi di norme a tutela delle persone fisiche con riguardo al trattamento, tali corpus possono continuare ad applicarsi purché siano resi conformi al presente regolamento>> …

…e questo corpus è del tutto ravvisabile  nel “Decreto generale” (ed eventuali successive modifiche ed integrazioni), promulgato in data 20 ottobre 1999 dall’allora Presidente della Conferenza Episcopale Italiana Card. Camillo Ruini, che contiene “disposizioni  per la tutela del diritto alla buona fama e alla riservatezza dei dati relative alle persone dei fedeli, degli enti ecclesiastici e delle aggregazioni laicali”; diritto riconosciuto dal can. 220 del codice di diritto canonico.

Non solo. La normativa introdotta nell’ordinamento dello stato italiano (L. 675/96  e D. Lgs. 196/03) e l’osservanza alle sue disposizioni sono facilmente rinvenibili sia nel Decreto stesso sia in istruzioni comportamentali suggerite dall’Avvocato Generale Don Lorenzo Simonelli con riferimento alla “legittimità/opportunità o meno di pubblicare sui siti o social network parrocchiali le fotografie o i video dei ragazzi (anche minorenni) relativi alle attività oratoriane“.

Quindi, verificata la regolare vigenza ed osservanza del corpus di norme a tutela delle persone fisiche con riguardo al trattamento, E’ l’adeguamento al Regolamento Ue a sollecitare l’attenzione di chi di dovere e considerare, per esempio:

  1. la designazione del Responsabile della protezione dei dati,
  2. la regolare predisposizione dell’informativa e la richiesta del consenso scritto
  3. e così via.

Concludendo, è del tutto evincibile come la Chiesa cattolica, latu sensu,  debba opportunamente provvedere ed intraprendere le necessarie azioni ricorrendo al combinato disposto di cui al:

  1. Codice di diritto canonico,
  2. Decreto generale della CEI,
  3. Reg. Ue 679/2016 relativo alla protezione delle persone fisiche con riferimento ai dati personali, nonché alla libera circolazione di tali dati.

 

                          Marcello Colaianni
Privacy Consultant e DP Auditor KHC Certified
DPO UNI11697 KHC Certified

 

 

 

 

 

La Privacy nelle scuole … e non solo

Il Regolamento UE 679/23016 in materia di Protezione dei dati personali si estende al contesto scolastico/universitario e, in senso lato, a quello della Formazione in generale.
Scuole, Università ed Enti di formazione devono attivarsi ed adempiere puntualmente agli obblighi del GDPR intraprendendo azioni di Data Protection by design e by default.

Identificare gli addetti ai lavori, progettare e realizzare la più adeguata struttura organizzativa identificando, e nominando, le diverse figure della privacy anche alla luce della norma UNI 11697 e procedere ad una esauriente valutazione dei rischi sono solo alcune delle attività a cui far fronte.
La tenuta del Registro della attività di trattamento ed altre misure tecniche e organizzative sono volte a dare garanzia circa la fidatezza dei dati personali dal punto di vista organizzativo, fisico e logico costituiscono il minimo comune denominatore di un processo culturale ed evolutivo.


La nomina obbligatoria del Responsabile della protezione dei dati (RPD/DPO) é una delle novità apportate dal GDPR e costituisce utile e prezioso riferimento e conforto sul fatto che l’Organizzazione sia compliant.

Individuate le categorie di dati personali oggetto di trattamento, gli interessati al trattamento ovvero le persone di cui sono trattati i dati, ricordiamoci dei cosiddetti terzi fra i quali sono chiaramente identificabili gli incaricati cioè coloro che, in forza delle proprie mansioni, effettuano operativamente il trattamento dei dati … e se, infine, teniamo bene a mente che per trattamento si intende:

  • qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione

si capisce il livello di estensione di questa normativa.

Lungi dal rischio di incorrere nelle sanzioni milionarie e coadiuvati dal consulente esterno, i diversi attori sono chiamati all’attuazione di tutte le azioni necessarie e volte a dare evidenza della conformità delle proprie attività di trattamento dei dati personali al Regolamento UE 679/2016 che, già in vigore dal 25 maggio 2016, troverà piena applicazione dal 25 maggio 2018.

                     Marcello Colaianni
DPO e Privacy Consultant KHC Certified n. 2108
  Data Protection Auditor KHC Certified n. 2121