“Persone autorizzate” e “Soggetti designati” nella protezione dei dati personali.

L’introduzione, nel novellato D. Lgs. 196/03, dell’art. 2-quaterdecies: Attribuzione di funzioni e compiti a soggetti designati integra il disposto di cui all’art. 29 del GDPR.
Dalla comparazione fra il Reg. UE 679/2016 ed il nuovo Codice Privacy si riscontrano, però, delle differenze che suggeriscono qualche chiarimento.

Art. 29/679: Trattamento sotto l’autorità del titolare del trattamento o del responsabile del trattamento:
Il responsabile del trattamento, o chiunque agisca sotto la sua autorità o sotto quella del titolare del trattamento, che abbia accesso a dati personali non può trattare tali dati se non è istruito in tal senso dal titolare del trattamento, salvo che lo richieda il diritto dell’Unione o degli Stati membri.

Art. 2-quaterdecies/196: Attribuzione di funzioni e compiti a soggetti designati
Il titolare o il responsabile del trattamento possono prevedere, sotto la propria responsabilità e nell’ambito del proprio assetto organizzativo, che specifici compiti e funzioni connessi al trattamento di dati personali siano attribuiti a persone fisiche, espressamente designate, che operano sotto la loro autorità.
Il titolare o il responsabile del trattamento individuano le modalità più opportune per autorizzare al trattamento dei dati personali le persone che operano sotto la propria autorità diretta.

 Dal combinato disposto dei suddetti articoli emerge che:

  • all’art. 29 prevale l’elemento fondante delle istruzioni che devono essere fornite per poter trattare dati personali soprassedendo ad aspetti altrettanto fondamentali;
  • “chiunque” può essere, indifferentemente, una persona fisica o una persona giuridica quindi anche un soggetto diverso dal dipendente purché svolga le attività di trattamento sotto l’autorità del Titolare/Responsabile;
  • al contrario, nell’art. 2-quaterdecies, si parla specificatamente di persone fisiche;
  • il richiamo all’assetto organizzativo può riferirsi al coinvolgimento non solo di figure interne ma anche esterne all’insegna dell’adozione delle misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio; ciò coerentemente alla previsione dell’art. 29;
  • l’espressa designazione delle persone fisiche lascia ben intendere l’opportunità di una nomina scritta dei soggetti designati;
  • è data enfasi all’autorità del Titolare/Responsabile sotto la quale le persone autorizzate agiscono e i soggetti designati operano.

Il mio suggerimento è quindi quello di:

  • identificare i soggetti, interni ed esterni, che vengono autorizzati a trattare dati personali in virtù dei trattamenti a loro affidati;
  • identificare, per i soggetti interni, l’unità funzionale di appartenenza;
  • procedere ad una loro designazione scritta specificando i confini delle attività di trattamento autorizzate/affidate;
  • adottare misure di limitazione e contenimento dei margini di manovra dei suddetti soggetti;
  • fornire istruzioni puntuali e adhocratiche valutando differenti livelli di responsabilizzazione;
  • assicurarsi che tali istruzioni siano debitamente documentate.

Identificati i soggetti, occorre attivarsi con i dovuti crismi per la loro più appropriata definizione e organizzazione.

In questo senso, per esempio, il Contitolare, il Rappresentante ed il Responsabile del trattamento dei dati personali sono persone autorizzate, persone fisiche o giuridiche rientrando nell’accezione “chiunque” dell’art. 29. La loro disciplina, però, è specifica e riconducibile, rispettivamente, agli artt. 26, 27 e 28. Sono persone che possono, secondo esigenza, trovarsi inseriti o meno nell’organigramma aziendale.

Qualche esempio?

  • L’Organismo di Vigilanza è un Responsabile del trattamento (RTDP) a cui il Titolare ricorre dovendo effettuare per suo conto specifici trattamenti.
    Il Titolare è chiamato obbligatoriamente, per legge, a ricorrere all’OdV per lo svolgimento di trattamenti specifici, in adempimento al D. Lgs. 231/01.
    Trattamenti per i quali il Titolare determina finalità e mezzi pur rimanendo, in capo all’OdV, gli autonomi poteri di iniziativa e controllo, di vigilanza sul funzionamento e l’osservanza dei modelli e del loro aggiornamento.
    È un Responsabile interno perché trattasi di un organismo dell’ente.
  • Il Collegio sindacale è, allo stesso modo, un Responsabile al quale il Titolare ricorre, anche in questo caso, per obbligo di legge. È però esterno, fuori dall’assetto organizzativo.
  • Lo studio di consulenza del lavoro è Responsabile esterno perché a lui ricorre il Titolare per il trattamento la gestione delle paghe dei propri dipendenti. Il Titolare, volendo, potrebbe gestire in proprio tali trattamenti ma preferisce concentrarsi sul proprio core business e ricorrere all’outsourcing.
  • il DPO, è persona autorizzata rivelandosi, secondo i chiarimenti del Garante, sia persona fisica sia persona giuridica. Il suo ruolo è però specificatamente disciplinato dagli artt. 37 a 39.

Focalizzando l’attenzione sulle singole funzioni del Titolare (Azienda, Studio professionale, Associazione, Ente, ecc.) lo sguardo è sicuramente rivolto alle persone fisiche, agli individui che, in virtù dei compiti svolti, sono riconducibili ai soggetti designati.

Vi si riscontrano le seguenti figure:

  • il Privacy manager, che chiamato ad adeguare l’organizzazione ai requisiti della normativa sulla protezione dei dati personali, è soggetto designato in staff al Direttore generale;
  • l’amministratore di sistema, che amministra i componenti del sistema ICT per soddisfare i requisiti del servizio, è soggetto designato;
  • il Direttore del personale, così come i suoi collaboratori che trattano dati personali, è soggetto designato
  • e così via.

Per quanto sopra risulta evidente, quindi, l’importanza di porre la dovuta attenzione nell’individuazione di tutti i soggetti, dentro e fuori l’Organizzazione (Titolare), in qualità di persone autorizzate ovvero di soggetti designati, e dare così evidenza delle modalità organizzative nella distribuzione di ruoli e responsabilità all’insegna del principio generale e fondante di ACCOUNTABILITY soddisfacendo una delle principali azioni da intraprendere qual è la progettazione dell’organigramma per la data protection.

Marcello Colaianni
Certified DPO e DP Auditor UNI 11697

Certified DP Auditor ISDP 10003:2018 Scheme
Compliance & Management Systems Consultant/Auditor

Titolare del trattamento, Titolare autonomo e Titolare indipendente. Chi più ne ha più ne metta.

Da quando è entrato in vigore il Regolamento UE 679/2016, il ricorso alla figura del Titolare autonomo è pressoché quotidiano per individuare le relazioni, e l’attribuzione delle relative responsabilità, di Tizio nei confronti di Caio.

Ho ripetutamente letto gli artt. 4, 9 e 10 del GDPR ed altre norme attinenti la protezione dei dati personali ma, ahimè, mi devo proprio arrendere; la definizione di questo fantomatico Titolare autonomo non riesco proprio a trovarla.

Mi chiedo, allora, come si possa attribuire a chicchessia un’etichetta, un’identità con l’aggravante di un carico di oneri, incombenze e responsabilità non meglio definite in assenza di una definizione chiara ed inequivocabile a cui fare riferimento.

La figura del Titolare autonomo viene messa in relazione con quella del Titolare del trattamento. Questi sì che è chiaramente identificato, all’art. 4, § 1, punto 7), come la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali. Così come sono chiaramente definite altre figure contemplate dal GDPR come quella del Rappresentante del Titolare (o del Responsabile), del Contitolare, del Responsabile del trattamento e del Responsabile della protezione dei dati e ancora dei Terzi, dei Destinatari e delle Persone autorizzate. Come si può constatare, non vi è traccia del Titolare autonomo.

La suddetta relazione, di per se stessa, già riconosce l’esistenza di rapporti fra 2 soggetti, il Titolare ed il Titolare autonomo (?), per i quali il secondo effettua, nei confronti del primo, uno o più trattamenti di dati personali. E se c’è questa relazione, come si può parlare di Titolare autonomo?

Facciamo un passo indietro. Chiunque, fatte le debite eccezioni, nello svolgimento della propria attività professionale, in presenza di trattamenti di dati personali di persone fisiche è, per definizione, Titolare del trattamento. Poi succede che fra i due soggetti nasce una relazione che, rivelandosi particolarmente significativa dal punto di vista del trattamento dei dati personali, pone in essere la necessità di una specifica nominalizzazione ed attribuzione di responsabilità in capo ai due soggetti.

Vi si riconoscono, quindi, i rapporti fra:

  • Titolare e Rappresentante che viene designato laddove il titolare del trattamento non è stabilito nell’Unione;
  • Titolare e Contitolare qualora, insieme, determinano congiuntamente le finalità e i mezzi del trattamento;
  • Titolare e Responsabile del trattamento a cui, il primo, ricorre per un trattamento che deve essere effettuato per suo conto;
  • Titolare e Responsabile della protezione dei dati in presenza dei presupposti per la sua designazione obbligatoria;
  • Titolare e Terzi con riferimento ai soggetti nominativamente richiamati;
  • Titolare e Destinatari ai quali si comunicano i dati personali e, infine,
  • Titolare e Persone autorizzate al trattamento dei dati personali sotto la propria autorità.

Non vi è relazione, fra soggetti, che non sia specificatamente definita. Non si può parlare, quindi, di Titolare autonomo perché autonomo non è colui che si rapporta con il Titolare, in presenza di una relazione. La relazione va riconosciuta e definita fra quelle sopra elencate in modo da dare certezza al principio di accountability con individuazione delle rispettive responsabilità.

Parlare di Titolare autonomo significherebbe, fra l’altro, disconoscere l’esistenza di una relazione.

Ho inteso, fra le righe, che non tutti i fornitori hanno motivo di essere identificati. Certo, coloro con i quali io, come Titolare ex art. 4, § 1 punto 7), ho rapporti significativi in termini di trattamento dei dati personali devo necessariamente identificarli come Contitolari o Responsabili del trattamento; non come Titolari autonomi. Perché autonomi rispetto a me Titolare se sussiste una relazione significativa?

Esemplificando. La società XY Spa é Titolare del trattamento. Questa, ai fini privacy, ha relazioni, ovvero rapporti significativi, con il Medico competente, l’Organismo di Vigilanza, il Collegio sindacale, i Revisori legali, ecc.
Non mi soffermo, in  questa sede, per stabilire o esprimere un parere sull’etichetta, sulla figura da attribuire a questo o quel soggetto che si rapporta con il Titolare, la società XY Spa. Resto nella semplice convinzione che questi soggetti non possono essere Titolari autonomi rispetto a XY Spa in presenza di una relazione … e nemmeno Titolari.

La loro esistenza, infatti, è strettamente collegata alla relazione imposta dalle differenti disposizioni di legge nei confronti del Titolare XY Spa.
Il medico competente, il Collegio sindacale, l’Organismo di Vigilanza, e così via, ci sono esclusivamente in funzione della relazione con il Titolare; non hanno una propria ed indipendente identità.

In presenza di siffatto legame faccio molta fatica a riconoscere una qualsiasi autonoma titolarità.

Inoltre, il § “10.” dell’art. 28/679/2016, recita: <<Fatti salvi gli articoli 82, 83 e 84, se un responsabile del trattamento viola il presente regolamento, determinando le finalità e i mezzi del trattamento, è considerato un titolare del trattamento in questione>>.

Il disposto normativo in discorso, pone in essere 2 possibili situazioni. La prima è quella per cui:

  1. assumo, come premessa, il fatto che già mi rivolgo ad un responsabile in quanto a lui ricorro per un trattamento, per mio conto, di dati personali. Dati:
    – di cui io, come Titolare, determino le finalità ed i mezzi di trattamento,
    – per il cui trattamento il Responsabile è tenuto all’osservanza dei requisiti ex art. 28;
  2. se il Responsabile viola il presente regolamento assumendo, a dispetto delle mie istruzioni documentate, una posizione di autodeterminazione delle finalità e dei mezzi di trattamento, allora, per il trattamento in questione, cioè per il trattamento per il quale l’ho designato, assume le responsabilità di Titolare alla stessa stregua per cui il Responsabile è Titolare dei propri trattamenti.

La seconda ipotesi è quella per cui il responsabile (fornitore) che si sottrae alla sottoscrizione della nomina da parte del Titolare (cliente) diventa, a sua volta, Titolare [ex art. 4, § 1 punto 7)] per il trattamento dei dati effettuato per conto del cliente.
Così è, per esempio, per i professionisti iscritti a Ordini e Collegi o per i consulenti informatici che, pur trattando a vario titolo i dati personali riconducibili al Titolare, si considerano dei Titolari autonomi (???).

Ne consegue, per quanto sopra, che anche qui siamo ben lontani dal poter parlare di Titolare autonomo.

Ah, un’altra cosa. Si badi bene che quando parlo di determinazione di finalità e mezzi di trattamento il contesto è quello della protezione dei dati personali senza riferimento alcuno alla libertà organizzativa del proprio lavoro da parte del professionista.

Marcello Colaianni
Certified DPO e DP Auditor UNI 11697

Certified DP Auditor ISDP 10003:2018 Scheme
Compliance & Management Systems Consultant/Auditor

Il GDPR e i meccanismi di certificazione

In Italia, esistono Standard proprietari conformi al GDPR ma, a onor del vero, un unico meccanismo di certificazione valido in tutta la UE é ancora là da essere riconosciuto come universalmente validato.

A riguardo, durante la partecipazione ad alcuni convegni sento dire quanto sia controproducente, da parte delle Organizzazioni,  l’adozione di un siffatto meccanismo.

Rimango basito!

Innanzitutto, ricordiamo tutti che “gli Stati membri, le autorità di controllo, il comitato e la Commissione incoraggiano, in particolare a livello di Unione, l’istituzione di meccanismi di certificazione della protezione dei dati” …
… e questo vorrà dire qualcosa, no?   

In secondo luogo è fondamentale sapere che, sebbene l’istituzione del meccanismo di certificazione sia facoltativa, l’adeguata implementazione e idonea applicazione di un sistema di gestione per la protezione dei dati è uno dei fattori presi in considerazione per calmierare l’entità delle sanzioni amministrative, qualora comminate.

È vero! Una volta che s’intraprende questo cammino virtuoso … non si può più tornare indietro, pena il rischio di:

  1. vedersi revocata la certificazione,
  2. vedere comunicata la revoca della certificazione all’autorità di controllo
  3. ritrovarsi ancor più vulnerabili di fronte alle eventuali ispezioni circa l’applicazione del Regolamento.

Ma mi chiedo:

  • qualunque Sistema di gestione aziendale, e quindi anche il DPMS (Data Protection Management System), non ha come mission quello di sollecitare l’organizzazione a dare sempre il meglio di sé?
  • Perché temere il peggio  se l’Organizzazione si struttura adeguatamente in modo da garantire la propria compliance a tutte le norme di legge … e di sistema?
  • Perché soffermarsi e vedere il bicchiere mezzo vuoto invece di cogliere un’opportunità per dare ancor più valore all’immagine, alla propria reputazione ed alle proprie risorse umane?

Un’altra riflessione è doverosa, in questa sede.

L’Organizzazione che voglia assumere in toto la paternità della propria compliance al GDPR può, in alternativa, ricorrere alla linea guida UNI ISO 19600:2016 – Sistemi di gestione della conformità (compliance) – Linee guida quale utile e validato riferimento ed evidenza oggettiva circa l’adeguamento al Regolamento. Certo, non si può parlare di certificazione bensì di attestazione … ed è sempre un primo passo, no?

In conclusione:

  1. ben venga qualunque evidenza volta a dimostrare l’osservanza e l’adeguatezza al GDPR;
  2. ben venga l’adozione di meccanismi di certificazione e di codici di condotta che possono calmierare l’entità di eventuali sanzioni;
  3. ben venga, più di ogni altra cosa, l’istituzione di un modello organizzativo che, oltre a dare evidenza della propria conformità ai requisiti, costituisca quel corpus di istruzioni che dettano i più appropriati comportamenti in grado di rassicurare i propri clienti ed interessati e di esaltare le proprie risorse, l’identità aziendale e chi, della tua Organizzazione, è parte attiva.

Marcello Colaianni
DPO e Privacy Consultant KHC Certified n. 2108
Data Protection Auditor KHC Certified n. 2121

Responsabile della Sicurezza e Responsabile del Servizio di Prevenzione e Protezione: figure diverse e complementari

Resto  abbastanza … perplesso quando leggo o sento parlare, ancora adesso e da più parti, del Responsabile della Sicurezza intendendo però colui che ricopre, in realtà, il Ruolo di Responsabile del Servizio di Prevenzione e Protezione (RSPP).

La differenza terminologica delle due figure è tutt’altro che una semplice sottigliezza.

La norma, infatti, definisce chiaramente il ruolo dell’RSPP attribuendogli, in presenza di presupposti, una serie di compiti in virtù della nomina da parte del Datore di lavoro da cui dipende.
Compiti, quindi, non obblighi.

Il Responsabile della Sicurezza (RS) è, invece, colui che in virtù del proprio ruolo di Datore di lavoro, Dirigente, Preposto o Lavoratore (nonché di Fabbricante, Progettista, Fornitore ed Installatore) è titolare di specifici obblighi e sanzioni.

Qual è, quindi, la differenza?

Il fatto che per l’RSPP si parli di compiti e per l’RS di obblighi? Si, e non solo.
Sia chiaro! Sto dicendo che la dottrina fa i dovuti distinguo … e, naturalmente, la giurisprudenza fa la sua parte.

L’aspetto più rilevante che riscontro frequentando le Organizzazioni, di qualunque dimensione e struttura organizzativa, è la tendenza, ahimè, radicata e fin troppo diffusa, di credere che l’RSPP sia il destinatario di tutte le incombenze e responsabilità in materia di Sicurezza sul lavoro.
Niente di più errato!

La diversa programmazione dell’attività formativa, allo stesso modo, è un’altra rilevante differenza. Sono infatti normativamente previsti differenziati percorsi formativi sia in capo all’RSPP ed agli Addetti al Servizio di Prevenzione e Protezione (ASPP) sia in capo alle suddette figure sopra richiamate in qualità di Responsabili della sicurezza.

… e ancora:

La poca chiarezza circa il ruolo dell’RSPP influisce, poi, anche in ambito organizzativo e relazionale.
Tante sono le volte in cui la collocazione, in organigramma, del Servizio di Prevenzione e Protezione riflette aspettative differenti rispetto ai ruoli attribuitogli ed alla corsia preferenziale che l’RSPP ha con il Datore di lavoro (vedi art. su blog: L’RSPP dal punto di vista organizzativo). C’è molto di più che riempire una casellina e posizionarla in basso in line o in staff a questa o quella funzione!
L’RSPP è al di sopra delle parti e si attiva nell’interesse dell’intera impresa o gruppo di imprese.
È uno stratega che, in staff al datore di lavoro, si interfaccia con tutte le figure aziendali e accoglie suggerimenti, obiezioni e critiche che si rivelano utili per il miglioramento della safety aziendale.
È un professionista che, ligio al dettato normativo, si adopera per la sua più idonea applicazione coniugando i requisiti cogenti con le esigenze relazionali e di processo dell’Organizzazione.

C’è anche il caso in cui l’RSPP interno ricopra il ruolo di Dirigente o di Delegato del datore di lavoro. In questa ipotesi l’eventualità di dover rispondere per inadempimento, o altro, è più probabilmente collegata alla sua primaria funzione di Dirigente (o Delegato), piuttosto che a quella di RSPP.

Riporto, infine, un’altra situazione. Quella in cui pur svolgendo, l’impresa, attività rientranti fra quelle che prevedono obbligatoriamente l’SPP interno, e del Servizio di Prevenzione e Protezione l’RSPP fa parte, viene scelto un Responsabile esterno affermando che “l’importante è il tempo in cui l’RSPP si dedica alla sicurezza in azienda rispetto al tipo di rapporto di lavoro”.
Beh, il discorso è diverso! La nomina rischia di essere disconosciuta con la conseguenza di incorrere nell’arresto (o ammenda) del datore di lavoro.

Tutto ciò per dire che, prima di tutto, è utile ed opportuno  individuare la persona più idonea per la nomina di Responsabile del Servizio di Prevenzione e Protezione con ben chiaro in mente quelle che si vorrebbe siano le sue principali caratteristiche.
Sarà questi, con il concorso dell’intera Organizzazione e, quindi, dei Responsabili della Sicurezza, ad indicare tempi, modalità ed azioni da intraprendere  facendo sì che la Sicurezza sul lavoro sia vissuta e gestita come una grande opportunità per:

  • un maggiore coinvolgimento e partecipazione delle Risorse umane alla vita aziendale;
  • il conseguimento di obiettivi individuali ed aziendali condivisi;
  • una nuova cultura d’impresa.

 

Sicurezza sul lavoro: quale R.S.P.P., quale Consulente?

In materia di Salute e Sicurezza sul lavoro (S&SL) le Organizzazioni si affidano al Responsabile del Servizio di Prevenzione e Protezione (R.S.P.P.) ed al Consulente quali referenti per antonomasia.

Spesso la scelta del professionista avviene assumendo che questi sia una sorta di tuttologo, una persona onnisciente e depositaria di qualunque competenza a riguardo. Ci si affida alla copertura del codice ateco di riferimento, per l’R.S.P.P., o al settore merceologico dell’azienda a cui il professionista si rivolge e, quindi, si presume specificatamente competente.

Si è poco informati, e formati, nel pensare che tutti gli aspetti di igiene e sicurezza sul lavoro possano essere affrontati, in toto, da un solo professionista. Il ricorso a specifiche expertises è inevitabile e l’R.S.P.P./il Consulente, in questo caso, è fondamentale nell’evidenziare quali ulteriori professionalità occorrono per la valutazione e misurazione di rischi specifici.

In presenza di Organizzazioni con un Servizio di Prevenzione e Protezione (S.P.P.) interno, il Responsabile (R.S.P.P.) potrebbe essere un tecnico dello specifico rischio caratterizzante l’ateco dell’impresa e gli Addetti S.P.P. potrebbero conoscere bene altri rischi specifici. Altre volte la competenza tecnica è affidata ai soli Addetti riservando all’R.S.P.P. il compito di monitorare sull’intero Sistema di prevenzione e protezione fornendo il proprio contributo sugli aggiornamenti normativi nonché su aspetti organizzativi, formativi o procedurali.

Sconsigliato l’approccio più semplicistico, sopra esposto, nella scelta del professionista è utile che, in presenza di un S.P.P., le competenze siano equamente distribuite così da poter ottimizzare il contributo di ciascun membro.

Personalmente sono del parere che si debba pensare all’R.S.P.P. come ad un professionista che, al di là della competenza tecnica, sia depositario di proprie e peculiari abilità quali le capacità relazionali, per esempio, nel coordinamento dei professionisti coinvolti o delle funzioni aziendali, la visione d’insieme necessaria per un approccio sistemico volto ad evitare che la soluzione di un problema possa essere la causa di altri o ancora la conoscenza di norme collegate/correlate richiamate dallo stesso T.U. quali i Sistemi di gestione della sicurezza sul lavoro o la Responsabilità amministrativa delle persone giuridiche riferita alle responsabilità dell’Organizzazione per reati colposi commessi, al fine di trarre interesse o vantaggio, da parte di soggetti, interni o esterni, che intrattengono a vario titolo rapporti con l’impresa.

Questo è il mio punto di vista e questa è la modalità con cui mi propongo quale che sia il mio ruolo, di Consulente o di R.S.P.P.  ..… e non ci si lasci ingannare dal nome!

Il Responsabile del Servizio di Prevenzione e Protezione non è il Responsabile della sicurezza! Questi sono, nell’impresa, il Datore di lavoro, i Dirigenti, i Preposti, i Lavoratori e il Medico competente soggetti a specifiche sanzioni in ipotesi di inosservanza dei propri obblighi in materia di S&SL.

L’R.S.P.P., interno o esterno, non è nemmeno predestinato a dare ordini o direttive alle altre figure aziendali. È piuttosto la persona che, in staff, al Datore di lavoro, esercita i propri compiti funzionali interfacciandosi con tutti i livelli e funzioni aziendali, e non solo.

Se poi l’R.S.P.P. ricopre altri ruoli o è delegato del datore di lavoro … beh, questo è un altro discorso.

Marcello arancione