Con l’emanazione del Regolamento Generale sulla Protezione dei Dati (GDPR), le organizzazioni europee e tutte le società che forniscono servizi o prodotti a cittadini dell’Unione, indipendentemente dalla loro posizione geografica, dovranno rispettare nuovi diritti, principi e approcci di gestione dei dati personali.
La fondazione GCSEC insieme all’osservatorio Europrivacy ha condotto una survey per valutare la conoscenza delle organizzazioni italiane del GDPR e la percezione degli impatti che la conformità al Regolamento potrebbe comportare. Alla survey hanno risposto 160 rappresentanti appartenenti nel 46,9% dei casi a grandi aziende che operano a livello internazionale.
Dai risultati emerge che le organizzazioni italiane stanno muovendo i primi passi e pianificando, attraverso assessment interni, le azioni da intraprendere in vista della data di piena operatività fissata per il 25 maggio 2018.
La percezione unanime è che le organizzazioni si sentono ancora impreparate a rispondere ai nuovi obblighi e principi quali di notifica di violazione dei dati personali, la portabilità dei dati, privacy by design e by default. Tali cambiamenti comporteranno con alta probabilità impatti significativi in termini principalmente organizzativi e tecnologici. Una rivoluzione dei modelli organizzativi potrebbe essere causata anche dall’introduzione della figura del Data Protection Officer (o Responsabile della protezione dei dati) e dalla corresponsabilità dei Responsabili al trattamento con il Titolare nel caso di inosservanza del regolamento e sotto determinate condizioni. Dalla survey emerge, infatti, una resistenza da parte dei Responsabili al trattamento a mantenere tale ruolo. Ciò probabilmente porterà le aziende a rivalutare tale figura e ad aggiornare i propri modelli organizzativi interno e i contratti e le gare d’appalto con i fornitori e subfornitori.
Nonostante fosse un principio già implicitamente richiesto dall’attuale normativa, dal sondaggio emerge che ben il 41,9% delle aziende non considera gli aspetti da data protection fin dalle primissime fasi di ideazione e progettazione dei nuovi servizi e prodotti, dichiarando quindi implicitamente una attuale dubbia conformità alla normativa in essere.
Tale adempimento è uno dei più impegnativi poiché presuppone un radicale cambiamento nell’approccio alla data protection. Se da un lato, le organizzazioni dovranno con grande sforzo inziale a rivedere tutti i processi interni, dall’altro potranno avere una gestione completa della privacy. Il principio di privacy by design probabilmente indurrà l’istituzione nelle organizzazioni, anche se non richiesta dal GDPR, della figura del ”privacy designer” già presente in numerose realtà extra europee. Inoltre, l’obbligo del rispetto dei principi di privacy by design e by default indurrà i fornitori a progettare i nuovi prodotti e servizi conformi alla normativa, per essere certi di avere mercato e aumentare la propria competitività.
Dal sondaggio emerge, inoltre, un aumento della ”consapevolezza” delle organizzazioni sul tema privacy a causa delle possibili sanzioni pecuniarie previste in caso di mancato adempimento del Regolamento. Al contempo però, le organizzazioni sembrano non tenere in debita considerazione le altre tipologie di danni che potrebbero subire in caso di violazione. Indipendente dalla scelta dell’Autorità di Controllo di infliggere o meno una sanzione in base alle circostanze del singolo caso – ad esempio delle misure adottate per attenuare il danno, la gravità e la durata della violazione – le altre tipologie di impatti continuerebbero a sussistere quali ad esempio quelli legati ai rischi di class action, perdita di immagine, aumento del tasso di abbandono dei propri clienti e costi di comunicazione.
Una delle novità più discusse nelle aziende è la figura del Data Protection Officer (DPO), soggetto super partes deputato principalmente a sorvegliare l’osservanza del regolamento, a cooperare e fungere da punto di contatto con l’Autorità di controllo e supportare e consigliare il Titolare o il Responsabile al trattamento sugli obblighi derivanti dal regolamento e fornire pareri in merito alla valutazione di impatto. Non tutte le organizzazioni sono obbligate a istituire tale figura ma ne è incoraggiata l’adozione volontaria. In particolare, nelle proprie linee guida dei garanti europei (WP 29) viene suggerito alle organizzazioni di prendere tale decisione a fronte di un’analisi interna da documentare e lasciare agli atti.
E’ bene, però, precisare che anche nei casi di designazione su base volontaria del DPO sussiste l’obbligo del rispetto di tutti i requisiti definiti dal GDPR.
Da Regolamento, il DPO è una figura obbligatoria per le autorità e gli enti pubblici (ad eccezione di quelli che svolgono funzioni giudiziarie) e per le organizzazioni che svolgono come attività principali il ”monitoraggio regolare e sistematico” degli interessati ”su larga scala” o che trattano categorie particolari di dati personali.
I garanti europei, tramite le linee guida, e il garante italiano, con le proprie faq, forniscono suggerimenti utili per comprendere quando un trattamento viene eseguito ”su larga scala”e quando un monitoraggio è ”regolare e sistematico” fornendo anche alcuni esempi. Le normali attività effettuate da una compagnia di assicurazioni / una banca, da fornitori di telefonia o di servizi Internet o dal trasporto pubblico di una città tramite tessera elettronica sono esempi di trattamento su larga scala.
Nonostante ciò, numerosi punti rimangono aperti. Dalla survey è emerso che quasi 1/4 delle organizzazioni italiane non sa stabilire se la propria organizzazione ricada o meno tra i soggetti obbligati a dotarsi del DPO mentre solo il 35% dei rispondenti ritiene che sia presente che nella propria organizzazione una figura equiparabile, che svolge ad oggi principalmente attività di coordinamento, vigilanza e controllo, supporto strategico e di rappresentanza verso il Garante.
Ma come scegliere il DPO e quali competenze dovrebbe avere? Deve essere un avvocato, un esperto di security, aver ottenuto specifiche certificazioni di settore o avere un certo inquadramento professionale?
È interessante notare come, per le organizzazioni italiane, il primo criterio di scelta di un DPO siano le certificazioni da questo possedute, anche se tale requisito non è espresso dalla norma o dalle linee guida euroepee sul DPO.
Il Regolamento indica che ”può essere designato in base alle qualità professionali e, in particolare, alla conoscenza approfondita del diritto in materia di protezione dei dati nonché alla capacità di svolgere i propri compiti”.
È bene precisare che non esiste a oggi una definizione univoca delle competenze e caratteristiche del DPO. A breve ci sarà di grande aiuto la norma tecnica ”Profili professionali relativial trattamento e alla protezione dei dati personali – Requisiti di conoscenza abilità e competenza” che sta definendo l’UNI/ UNINFO e la cui fase di consultazione pubblica si è conclusa il 25 marzo 2017. Tale norma definirà i profili, le competenze e le abilità del DPO e delle altre figure che lavorano nel contesto del trattamento e della protezione dei dati personali.
Da una prima lettura del ”progetto di norma” pubblicato in fase di consultazione, emergono oltre alle competenze legali e di information security anche quelle relazionali, di comunicazione e di conoscenza del settore di riferimento, ritenute rilevanti per un corretto svolgimento del ruolo del DPO.
Con certezza, possiamo affermare, infatti, che il DPO per svolgere al meglio le proprie attività dovrà necessariamente avere una buona conoscenza della normativa privacy, della sicurezza delle informazioni ma anche del contesto e del settore di riferimento, per comprendere appieno la rischiosità dei trattamenti per i diritti e le libertà fondamentali.
Il livello di competenza richiesta per il DPO dovrà essere proporzionale al contesto di riferimento e alla complessità e sensibilità di dati trattati dall’organizzazione. Di conseguenza più l’organizzazione avrà grandi dimensioni, tratterrà grandi quantità di dati o dati sensibili, maggiori saranno le competenze richieste per il DPO.
Secondo le linea guida dei garanti europei, la capacità di svolgere il ruolo dipende anche dalla posizione attribuita all’interno dell’organizzazione del DPO che, da Regolamento, dovrebbe ”riferire direttamente al vertice gerarchico del titolare del trattamento o del responsabile del trattamento”. Dalla survey, emerge che quasi il 50% dei rispondenti inserirebbe il DPO a diretto riporto dell’AD, quindi ai più alti vertici aziendali.
Il GDPR, così come le linee guida dei garanti europei, sottolineano la netta separazione del ruolo e delle responsabilità del DPO, del titolare e del responsabile del trattamento secondo il principio di accountability. Il DPO non è responsabile personalmente in caso d’inosservanza del Regolamento. La responsabilità di garantire l’osservanza della normativa in materia di protezione dei dati ricade sempre sul titolare / responsabile del trattamento. Come definito nell’articolo 24 (1) del GDPR la responsabilità del titolare è ”attuare misure tecniche e organizzative adeguate per garantire, e per essere in grado di dimostrare, che il trattamento sia effettuato in conformità al Regolamento”.
Dal sondaggio, infine, emerge una carenza formativa in materia di data protection. Le attività svolte sono riferibili principalmente a campagne interne di sensibilizzazione o di formazione e-learning per il personale coinvolto. È significato che quasi il 20% dichiara di effettuare autoformazione, nessuna formazione o di essere stato coinvolto in attività formative negli anni precedenti.