Competenza e autonomia del responsabile della protezione dei dati

A norma dell’art. 39, comma 1, Regolamento UE 2016/679 (GDPR), il responsabile della protezione dei dati (RPD) o Data Protection Officer (DPO) è incaricato almeno dei seguenti compiti:

«a) informare e fornire consulenza al titolare del trattamento o al responsabile del trattamento nonché ai dipendenti che eseguono il trattamento in merito agli obblighi derivanti dal presente regolamento nonché da altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati;

b) sorvegliare l’osservanza del presente regolamento, di altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati nonché delle politiche del titolare del trattamento o del responsabile del trattamento in materia di protezione dei dati personali, compresi l’attribuzione delle responsabilità, la sensibilizzazione e la forma- zione del personale che partecipa ai trattamenti e alle connesse attività di controllo;

c) fornire, se richiesto, un parere in merito alla valutazione d’impatto sulla protezione dei dati e sorvegliarne lo svolgimento ai sensi dell’articolo 35;

d) cooperare con l’autorità di controllo;

e) fungere da punto di contatto per l’autorità di controllo per questioni connesse al trattamento, tra cui la consultazione preventiva di cui all’articolo 36, ed effettuare, se del caso, consultazioni relativamente a qualunque altra questione».

Tenuto conto dei compiti sopra elencati, il responsabile della protezione dei dati dovrà essere una persona:

  • dotata di competenze adeguate allo svolgimento dei compiti stessi,
  • dotata di sufficiente autonomia rispetto al titolare e al responsabile del trattamento dei dati.

Competenze del responsabile della protezione dei dati

A norma dell’art. 37, comma 5, GDPR «Il responsabile della protezione dei dati è designato in funzione delle qualità professionali, in particolare della conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati, e della capacità di assolvere i compiti di cui all’articolo 39».

Quindi, il titolare e il responsabile del trattamento, nel designare il responsabile della protezione dei dati, dovranno sincerarsi che la persona prescelta abbia dette «qualità professionali».

Tali qualità vanno valutate in considerazione della «specifica funzione di garanzia insita nell’incarico conferito, il cui precipuo oggetto non è costituito dalla predisposizione dei meccanismi volti ad incrementare i livelli di efficienza e di sicurezza nella gestione delle informazioni ma attiene semmai […] alla tutela del diritto fondamentale dell’individuo alla protezione dei dati personali indipendentemente dalle modalità della loro propagazione e dalle forme, ancorché lecite, di utilizzo» (cit. Tribunale Amministrativo Regionale per il Friuli-Venezia Giulia, sentenza n. 287/2018, pubblicata in data 13/9/2018).

Pertanto, il profilo professionale da ricercare «non può che qualificarsi come eminentemente giuridico» (cfr sempre Tribunale Amministrativo Regionale per il Friuli-Venezia Giulia, sentenza n. 287/2018, pubblicata in data 13/9/2018).

Autonomia del responsabile della protezione dei dati

A norma dell’art. 37, comma 6, GDPR, il responsabile della protezione dei dati può essere

  • sia «un dipendente del titolare del trattamento o del responsabile del trattamento»,
  • sia un terzo che assolve «i suoi compiti in base a un contratto di servizi».

Tuttavia, in molti casi, tale alternativa sembra essere solo ipotetica, poiché i compiti che deve assolvere il responsabile della protezione dei dati presuppongono un’ampia autonomia di quest’ultimo, autonomia difficilmente conciliabile con il vincolo di subordinazione tipico del lavoro dipendente.

A riguardo, v’è anche da sottolineare che l’art. 38, comma 3, GDPR, precisa quanto segue:

  • «Il titolare del trattamento e il responsabile del trattamento si assicurano che il responsabile della protezione dei dati non riceva alcuna istruzione per quanto riguarda l’esecuzione di tali compiti»;
  • «Il responsabile della protezione dei dati non è rimosso o penalizzato dal titolare del trattamento o dal responsabile del trattamento per l’adempimento dei propri compiti».

Un esempio pratico per trattare i dati personali in modo trasparente

Di seguito si vedrà come gestire i documenti informatici archiviati nel cloud con la massima trasparenza nei confronti del soggetto interessato al trattamento.

Creare delle cartelle

All’interno del proprio spazio web (c.d. cloud) verranno create più cartelle (nell’esempio si tratta di Google Drive, ma molti altri gestori forniscono servizi con caratteristiche analoghe).

 

 

Con un doppio click sulla singola cartella (nell’esempio sotto riportato, la cartella “Tizio”) sarà possibile :

  • visualizzare e gestire i documenti ivi contenuti;
  • verificare e gestire la condivisione della cartella stessa.

Condividere le cartelle

Una volta entrati nella cartella, apparirà la seguente schermata:

 

 

Poi, cliccando sul pulsante indicato nella foto che precede, apparirà la seguente schermata:

 

 

Attraverso questo form sarà possibile (tra l’altro):

  • condividere con altre persone il contenuto della cartella;
  • attribuire ad ogni persona le credenziali opportune, a seconda del caso e del ruolo che la persona assumerà nel trattamento dei dati personali.

Quindi, ogni cartella potrà essere condivisa:

  1. con l’interessato al trattamento dei dati personali;
  2. con uno o più collaboratori;
  3. con altri soggetti.

Precisare le finalità del trattamento dei dati personali

Prima di iniziare ad utilizzare la cartella creata, si suggerisce, in conformità a quanto previsto dal Regolamento UE 2016/679 (GDPR), di precisare le finalità del trattamento dei dati personali.

Il software messo a disposizione dal cloud utilizzato nell’esempio permette di specificare dette finalità in un apposito spazio, ben visibile da tutte le persone che avranno l’accesso alla cartella.

 

 

Registro del trattamento dei dati personali

Bisogna anche precisare che, dal momento in cui la cartella viene creata, il software messo a disposizione dal cloud utilizzato nell’esempio, terrà traccia, cronologicamente, di tutte le modifiche e di chi le ha apportate.

Attraverso la scheda “Dettagli” riportata più sotto sarà possibile controllare sempre i dettagli della cartella:

  • chi è il proprietario;
  • con chi viene condivisa;
  • ecc.

 

 

Invece, attraverso la scheda “Attività” riportata più sotto sarà possibile controllare

  • ogni operazione effettuata all’interno della cartella (aggiunta e cancellazione files, modifiche, ecc.);
  • chi ha compiuto dette operazioni;
  • quando le ha compiute.

 

GDPR Compliance

Con il sistema illustrato sarà possibile trattare i dati personali in conformità a quanto prescritto dal GDPR, in quanto:

  • allo stato dell’arte, il cloud costituisce uno strumento sufficientemente sicuro (vedi “GDPR: come archiviare i documenti informatici in modo sicuro?“);
  • le finalità del trattamento dei dati personali vengono palesate prima ancora di iniziare il trattamento stesso;
  • l’interessato al trattamento dei dati personali, munito delle credenziali di accesso alla cartella contenente i dati al medesimo riferibili, potrà costantemente monitorarli e controllare se detti dati sono coerenti alle finalità del trattamento;
  • il software messo da disposizione dal cloud, tenendo traccia cronologica di ogni modifica apportata, potrà essere utile ai fini della tenuta del registro dei trattamenti.

Ovviamente, il sistema illustrato non garantisce la completa conformità del trattamento se non si usano anche altre accortezze, quali, ad esempio:

  • l’utilizzo di passwords “solide”;
  • la corretta scelta di applicazioni sicure per la gestione del cloud;
  • l’aggiornamento delle stesse applicazioni;
  • ecc.

 

GDPR: come archiviare i documenti informatici in modo sicuro?

L’art. 32, Regolamento UE 2016/679 (GDPR), dispone quanto segue:

Tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio […]”.

Considerato che, in concreto, non sono definite tali misure di sicurezza, è necessario domandarsi quale sia il modo più sicuro per archiviare i documenti informatici.

Possesso del supporto e possesso dei files

Spesso si pensa che avere il possesso del supporto materiale sul quale sono salvati i documenti informatici sia la soluzione più sicura.

Ciò potrebbe essere vero se il supporto materiale non fosse connesso (mai) al web, direttamente (un pc, uno smartphone, ecc.) o indirettamente (una c.d. penna usb, un hard-disk esterno, ecc.).

Tuttavia, oggi è pressoché impensabile usare un dispositivo informatico soltanto offline.

Quindi, la sicurezza dei dati archiviati sul dispositivo informatico è affidata esclusivamente alla “tenuta” del software ivi installato.

Laddove tale software presentasse delle vulnerabilità, o semplicemente non fosse aggiornato, un malintenzionato potrebbe facilmente appropriarsi dei dati presenti sul dispositivo informatico.

Il proprietario del dispositivo informatico, in tal caso, pur rimanendo in possesso del dispositivo stesso, verrebbe spogliato del contenuto senza neppure accorgersi dell’intrusione da parte di terzi.

In casa o in banca?

Le considerazioni svolte più sopra devono indurre a valutare soluzioni alternative, tenendo conto che custodire dei documenti informatici è come custodire denaro o preziosi: è meglio nasconderli in casa sotto il materasso o depositarli in banca in una cassetta di sicurezza?

Fuor di metafora, la soluzione alternativa attualmente più sicura per archiviare documenti informatici sembrerebbe quella di affidarne la custodia a chi è esperto di sicurezza informatica e detiene i mezzi per contrastare efficacemente gli accessi non autorizzati.

La soluzione di cui si parla è quella che comunemente viene definita come cloud.

Il “cloud”

Si tratta di uno “spazio” localizzato su un computer (configurato come server) messo a disposizione da imprese specializzate.

Su questo spazio è possibile trasferire e archiviare i propri documenti informatici, accedendo telematicamente tramite delle credenziali.

Considerato che i dati sono trasferiti e archiviati in modo sicuro, perché criptati (naturalmente ci si riferisce ai servizi resi dai “big” del settore), il proprietario dei documenti dovrà principalmente preoccuparsi

  1. di utilizzare delle password “solide”;
  2. di modificare le password con una certa frequenza;
  3. di scegliere con prudenza le applicazioni che avranno accesso al cloud;
  4. di curarsi di aggiornare tempestivamente dette applicazioni.

Al resto, ci penserà il gestore del cloud.

Consenso al trattamento dei dati personali da parte di un minore – art. 8 GDPR

Il minore ha la capacità di esprimere il consenso al trattamento dei dati personali?

L’art. 8, Regolamento UE 2016/679 (GDPR), fissa la seguente regola:

  • se il minore ha meno di 16 anni, il consenso può essere prestato o autorizzato dal titolare della responsabilità genitoriale,
  • se il minore ha più di 16 anni, il consenso può essere prestato dal minore stesso.

Tale norma, però, ha una portata circoscritta, in quanto

  • non pregiudica le disposizioni generali del diritto dei contratti degli Stati membri, quali le norme sulla validità, la formazione o l’efficacia di un contratto rispetto a un minore” (v. art. 8, ultimo comma GDPR);
  • riguarda l’ipotesi di “offerta diretta di servizi della società dell’informazione ai minori” (si tratta di servizi prestati “normalmente dietro retribuzione, a distanza, per via elettronica e a richiesta individuale di un destinatario di servizi”; v. art. 2 del DLgs 70/2003 e art. 1, comma1, lettera b, della Legge 317/1986).

Il titolare del trattamento dei dati personali, dovrà adoperarsi “in ogni modo ragionevole […] in considerazione delle tecnologie disponibili” per verificare che il consenso sia stato prestato o autorizzato

  • o da un minore che abbia compiuto 16 anni,
  • oppure dal titolare della responsabilità genitoriale sul minore.

Qualora il titolare del trattamento dei dati personali non si sia adoperato in tal senso (o non abbia la possibilità di provarlo), potrà incorrere

  • sia in una responsabilità civile, ai sensi dell’art. 82, GDPR;
  • sia in una responsabilità amministrativa, ai sensi dell’art. 83, comma 4, lettera a, GDPR, che prevede “sanzioni amministrative pecuniarie fino a 10 000 000 EUR, o per le imprese, fino al 2% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore”.

Trattamento dei dati personali

Il “trattamento dei dati personali” è regolato da una rigorosa e complessa normativa, il Regolamento UE 2016/679 (GDPR).

Ci sono almeno tre fondamentali motivi in forza dei quali “vale la pena” (visti gli oneri economici e burocratici) uniformare la propria attività a detto Regolamento:

  • la protezione delle persone fisiche con riguardo al trattamento dei dati di carattere personale è un diritto fondamentale (Considerando n. 1, GDPR);
  • una imprudente gestione dei dati personali potrebbe facilmente arrecare danni gravi e irreparabili al titolare di tale diritto;
  • le responsabilità, in caso di violazione del diritto in questione, sono decisamente importanti (oltre alla responsabilità civile, l’art. 84 del GDPR prevede sanzioni amministrative pecuniarie fino a 20 000 000 EUR, o per le imprese, fino al 4 % del fatturato mondiale totale annuo dell’esercizio precedente, se superiore).

Senza alcuna pretesa di esaustività, al fine di inquadrare in modo semplice il contesto in cui opera il Regolamento citato si risponde in modo sintetico a 4 domande.

Cosa si intende per “trattamento dei dati personali”?

Prima di rispondere a tale domanda è bene precisare che per “dato personale” si intende “qualsiasi informazione riguardante una persona fisica identificata o identificabile” (art. 4, comma 1, numero 1, GDPR).

In particolare “si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale” (v. sempre art. 4, comma 1, numero 1, GDPR).

La persona in tal modo identificabile è definita dal GDPR con il termine “interessato”.

Ciò detto, per “trattamento dei dati personali” si intende “qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione”.

Quando il trattamento dei dati personali è consentito?

Il trattamento dei dati personali è consentito (art. 6 GDPR):

  • quando è autorizzato dall’interessato;
  • quando è autorizzato dalla legge.

Nel secondo caso può farsi rientrare anche l’ipotesi del trattamento dei dati personali effettuato “da una persona fisica per l’esercizio di attività a carattere esclusivamente personale o domestico” (in questa ipotesi, forse è più corretto parlare di trattamento libero, anziché di trattamento autorizzato).

Quando il trattamento dei dati personali è lecito?

Non è sufficiente che il trattamento dei dati personali sia consentito (autorizzato dall’interessato, permesso/autorizzato dalla legge), ma è necessario che sia effettuato entro determinati limiti e ispirato a determinati principi (cfr art. 5, GDPR).

Cosa si rischia in caso di trattamento dei dati personali illecito?

Un trattamento dei dati personali illecito può comportare delle rilevanti responsabilità in capo a chi ha violato le prescrizioni del GDPR:

  • illecito civile (il responsabile è tenuto al risarcimento integrale dei danni arrecati);
  • illecito amministrativo (il responsabile è tenuto al pagamento di sanzioni pecuniarie fino a 20 000 000 EUR, o per le imprese, fino al 4 % del fatturato mondiale totale annuo dell’esercizio precedente, se superiore).