Rapporti di lavoro

Il trattamento «rischioso» richiede il responsabile dati

di Aldo Bottini e Paola Pucci

La piena efficacia del Regolamento generale per la protezione dei dati determinerà per le aziende un’importante serie di obblighi e adempimenti, sui quali è bene attrezzarsi per tempo.

La rivoluzione introdotta dal Gdpr con riferimento alla disciplina della privacy parte dai principi generali, introducendone di nuovi e dettagliando maggiormente alcuni di quelli già esistenti.

Gli adempimenti entro il maggio 2018 sono numerosi e sostanziali: basti pensare che, in virtù del molto dibattuto principio della privacy by design sarà necessario ridefinire tutti i processi aziendali perché la tutela della privacy diventi una impostazione necessaria e ritagliata sull’attività del titolare.

Sarà necessario riscrivere le policy interne, che dovranno essere più dettagliate, le informative - che dovranno includere elementi quali, tra l’altro, specifiche indicazioni sul trasferimento dei dati verso Paesi extra Ue - nonché le nomine ai vari responsabili e incaricati, includendo specifiche garanzie e obblighi. Con riferimento a questi ultimi documenti, sarà possibile fare riferimento anche ai codici di condotta e alle clausole standard che dovessero essere emanati. Cambia, quindi, il quadro generale degli adempimenti e dei documenti aziendali legati alla privacy.

Ma le novità non si fermano qui. Una delle più rilevanti è certamente l’obbligo di redigere e mantenere un «registro» per le attività di trattamento. Si tratta in sostanza di una raccolta, scritta o elettronica, che indichi le caratteristiche principali dei trattamenti che titolare e responsabile svolgono in un determinato momento: dalle finalità all’indicazione del tipo di dati trattati; dai termini di cancellazione alle misure di sicurezza. Il registro ha da una parte la funzione di permettere una gestione più razionale dei trattamenti, dall’altra quella di permettere all’autorità di controllo – che ha il potere di richiedere che il documento sia messo a sua disposizione – una verifica più agevole e completa dell’adempimento di quanto prescritto dal Regolamento.

L’adozione del registro è obbligatoria solo per i soggetti con più di 250 dipendenti ma, nelle sue linee guida sul Gdpr, il Garante italiano lo ha indicato come strumento preferito (e consigliato) a tutti i titolari.

Il nuovo Regolamento introduce una figura del tutto nuova negli organigrammi aziendali: il Responsabile della protezione dei dati, data protection officer (Dpo).

Il Dpo deve essere nominato obbligatoriamente per gli enti pubblici mentre gli enti privati hanno l’obbligo di nomina solo quando i trattamenti effettuati sono rischiosi per la generalità degli interessati. In particolare, la nomina è obbligatoria per i trattamenti che richiedano il monitoraggio sistematico su larga scala degli interessati o che, comunque, coinvolgano – sempre su larga scala – categorie particolari di dati.

È evidente che il Dpo costituisce una figura-chiave nel nuovo sistema della privacy perché funge da controllore e consigliere, sia per trattamenti delicati, sia per quelli che non lo sono. La sua introduzione obbligatoria è limitata ma non è da escludere che – così come già avvenuto per il registro – il Garante consigli l’adozione di questa figura anche in casi diversi e ulteriori rispetto a quelli contemplati dalla norma.

Il ruolo di Responsabile della protezione dei dati potrà essere assegnato tanto a dipendenti del titolare che a soggetti terzi. In entrambi i casi, il Dpo godrà di una certa indipendenza, non potendo ricevere istruzioni relative all’adempimento delle proprie funzioni dal soggetto che deve controllare. Negli ultimi mesi si stanno moltiplicando le proposte formative relative a questa figura professionale. Il Garante ha precisato recentemente che, sebbene tali titoli, attestati e cicli formativi in genere possano rappresentate uno strumento utile per valutare e dimostrare il possesso delle competenze, un titolo o l’iscrizione a un albo specifico non sono obbligatori per lo svolgimento di questo ruolo (in Italia).

Per saperne di piùRiproduzione riservata ©