Prima analisi delle nuove Linee guida dei Garanti europei sul nuovo Regolamento UE: il Data Protection Officer

L’Autorità Garante nazionale, con un comunicato del 19 dicembre u.s., ha pubblicato tre documenti approvati lo scorso 13 dicembre 2016 dal Gruppo dei Garanti UE (WP 29), contenenti alcune indicazioni e raccomandazioni sulle importanti novità introdotte del Regolamento 2016/679 sulla protezione dei dati (GDPR), in vista della sua prossima applicazione da parte degli Stati membri, a partire da maggio 2018.
Le linee guida affrontano tre temi molto importanti:

il Responsabile per la Protezione dei Dati (“Data Protection Officer” o “DPO”);
il Diritto alla portabilità dei dati;
l’ “Autorità capofila”, che fungerà da “sportello unico” per i trattamenti transnazionali.

Le Linee guida sulla nomina del DPO, in particolare, chiariscono quali dovranno essere i requisiti soggettivi e oggettivi di questa nuova figura professionale, la cui designazione sarà obbligatoria per tutti i soggetti pubblici e per alcuni soggetti privati (anche su questa tematica –- il Gruppo ha fornito preziose indicazioni soprattutto sui criteri che dovranno guidare le aziende nella decisione se adottare o meno un DPO).
Nel documento si procede a una disamina delle competenze professionali e delle garanzie di indipendenza e inamovibilità di cui il DPO deve godere nello svolgimento delle proprie attività di indirizzo e controllo all’interno dell’organizzazione del titolare (o del responsabile) del trattamento.

Molto interessante, in particolare, è il paragrafo 2.4 delle Linee guida dedicate al DPO, laddove viene risolta la diatriba tra la scelta/nomina di un DPO interno o esterno e sono approfondite le competenze e le abilità professionali che deve possedere un DPO.

In primis, tra le qualità professionali si richiedono una conoscenza approfondita del diritto e delle pratiche in materia di protezione dei dati, nonché la capacità di svolgere i compiti che gli sono assegnati direttamente dal GDPR (art. 39). Esemplificativo al riguardo è il richiamo effettuato dal Gruppo di lavoro al Considerando n. 97), che specifica: “Il livello necessario di conoscenza specialistica dovrebbe essere determinato in particolare in base ai trattamenti di dati effettuati e alla protezione richiesta per i dati personali trattati dal titolare del trattamento o dal responsabile del trattamento”.

Pertanto, è stato chiarito che le competenze e le capacità si attestano su quattro livelli fondamentali:

– Livello di esperienza

– Qualità professionali

– Capacità di svolgimento dei compiti

– DPO sulla base di un contratto di servizio

Dal punto di vista del livello di esperienza, si precisa che il livello di competenza richiesto non è specificatamente definito, ma deve essere commisurato con la sensibilità, la complessità e la quantità di dati trattati all’interno dei processi organizzativi della struttura titolare o responsabile del trattamento (a maggiore complessità e quantità di dati scaturisce un più elevato livello di competenza e supporto).

Per quanto concerne le qualità professionali, sebbene non siano specificate nel GDPR, oltre ovviamente a una conoscenza approfondita dei contenuti del nuovo GDPR, è necessaria anche una consolidata esperienza sulle leggi in materia di protezione dei dati sia a livello nazionale che a livello europeo.
E’ utile anche la conoscenza del settore e/o dell’organizzazione del titolare del trattamento presso il quale il DPO andrà a svolge la propria attività professionale, nonché dei sistemi informatici/informativi e delle esigenze di sicurezza e di protezione dei dati dello stesso (nel caso degli enti pubblici occorre anche una buona conoscenza delle regole e delle procedure dell’organizzazione amministrativa).

La capacità di svolgere i compiti previsti dal GDPR rientra anch’essa tra i requisiti fondamentali che deve possedere un DPO (sia in riferimento alle sue qualità personali e alla conoscenza della materia che deve possedere per adempiere a quanto richiesto dalla normativa, sia per la posizione ricoperta all’interno dell’organizzazione presso cui svolgere l’attività di DPO). Si richiedono inoltre: integrità e alta etica professionale; rispetto della conformità al GDPR; promozione di una cultura della protezione dei dati all’interno dell’organizzazione di riferimento; ruolo di ausilio nell’implementare gli elementi essenziali del GDPR (dal rispetto dei principi generali, dei diritti degli interessati, della Privacy by Design e Privacy by Default, alla tenuta di un Registro delle attività di trattamento, alla verifica del rispetto della sicurezza nel trattamento e alla notificazione e comunicazione di eventuali “data breaches” verso l’Autorità di controllo e gli interessati).
Questi sono solo alcuni degli esempi riportati dai Garanti europei per descrivere le competenze di un DPO.

Con l’ultimo dei punti elencati: nomina del DPO sulla base di un contratto di servizio, le Linee guida chiariscono, infine, in maniera definitiva che: non solo il DPO può essere un soggetto (persona fisica) esterno, ma addirittura che la sua funzione può essere affidata mediante un contratto di servizi a una organizzazione esterna (quindi, non solo ad una singola persona fisica, ma anche a una persona giuridica/ente collettivo).

Ovviamente, in quest’ultimo caso, tale soggetto dovrà rispettare tutte le prescrizioni e i compiti che discendono dagli articoli 37-39 del GDPR e tali compiti potranno essere eseguiti ed espletati, non solo da un singolo professionista privacy, ma da una sorta di “team esterno” (un Team Privacy in definitiva) che fornisce il servizio di DPO. In ogni caso, tale servizio dovrà rimanere sotto la responsabilità di un capogruppo/referente del team DPO all’uopo designato e di un responsabile/delegato del cliente che ha deciso di esternalizzare il servizio di DPO in qualità di titolare o responsabile del trattamento.

In questo modo viene ammesso che diversi individui di uno stesso team di professionisti che lavorano insieme e offrono il servizio di DPO (es. una società, un’associazione di professionisti, uno studio legale), possano prestare lo stesso servizio per più clienti e in maniera più efficace nei confronti di ciascuno.

Tuttavia, dal punto di vista organizzativo e per garantire trasparenza dal punto di vista giuridico, si raccomanda di avere una chiara ripartizione dei compiti (per ciascun membro) all’interno del team di DPO e di individuare una sola persona fisica come referente/responsabile del team, così come una sola persona dovrà rappresentare il cliente (titolare o responsabile del trattamento) che abbia deciso di esternalizzare il servizio. Tutto ciò, ovviamente, può confluire ed essere ben dettagliato all’interno del contratto di servizi (si potrebbe definire DPO service) che si andrà a stipulare con ogni singolo cliente.

A queste prime Linee Guida dei Garanti europei presto seguiranno apposite schede di approfondimento, al fine di far comprendere meglio e utilizzare consapevolmente i nuovi strumenti introdotti dal Regolamento.
Il percorso di adeguamento è ancora molto lungo e non potrà essere garantito dalla sola nomina di un Data Protection Officer, che è solo uno dei passi, sebbene fondamentale, che porterà Enti Pubblici e Aziende verso una compliance alla nuova normativa europea.

Cookie	Durata	Descrizione
AWSALBCORS	7 days	This cookie is managed by Amazon Web Services and is used for load balancing.
cookielawinfo-checkbox-advertisement	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Advertisement" category .
cookielawinfo-checkbox-analytics	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Analytics" category .
cookielawinfo-checkbox-necessary	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Necessary" category .
cookielawinfo-checkbox-others	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to store the user consent for cookies in the category "Others".
PHPSESSID	session	This cookie is native to PHP applications. The cookie is used to store and identify a users' unique session ID for the purpose of managing user session on the website. The cookie is a session cookies and is deleted when all the browser windows are closed.
viewed_cookie_policy	1 year	The cookie is set by the GDPR Cookie Consent plugin to store whether or not the user has consented to the use of cookies. It does not store any personal data.
WLM_TEST_COOKIE	session	This cookie is used by the WishList Member. It checks whether the browser has enabled cookies or not.

Cookie	Durata	Descrizione
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_1975075_20	1 minute	Set by Google to distinguish users.
_gat_gtag_UA_92784998_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.
CONSENT	16 years 3 months	YouTube sets this cookie via embedded youtube-videos and registers anonymous statistical data.
vuid	2 years	Vimeo installs this cookie to collect tracking information by setting a unique ID to embed videos to the website.

Cookie	Durata	Descrizione
IDE	1 year 24 days	Google DoubleClick IDE cookies are used to store information about how the user uses the website to present them with relevant ads and according to the user profile.
test_cookie	15 minutes	The test_cookie is set by doubleclick.net and is used to determine if the user's browser supports cookies.
VISITOR_INFO1_LIVE	5 months 27 days	A cookie set by YouTube to measure bandwidth that determines whether the user gets the new or old player interface.
YSC	session	YSC cookie is set by Youtube and is used to track the views of embedded videos on Youtube pages.
yt-remote-connected-devices	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.
yt-remote-device-id	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.

Cookie	Durata	Descrizione
AWSALB	7 days	AWSALB is a cookie generated by the Application load balancer in the Amazon Web Services. It works slightly different from AWSELB.
captcha-cookie	1 day	No description
ccc	1 month	No description
xb	1 year	No description available.

Prima analisi delle nuove Linee guida dei Garanti europei sul nuovo Regolamento UE: il Data Protection Officer

Riorganizzazione, trasformazione digitale, comunità locali

I potenziali effetti discriminatori dell’IA: il ruolo dell’Avvocatura

WebTV MRTV ‖ Lo ho-BIT – una digicrazia inaspettata

Newsletter

Lecce

Milano

Roma

Biella

Castellammare di Stabia

NAVIGA