Gdpr come funziona e la figura del DPO Ecco cosa c’è da sapere
Il GDPR si sa ha apportato importanti modifiche alla disciplina sul trattamento dei dati personali, creando parecchio clamore forse, anche, per gli elevati importi delle sanzioni applicabili.
Ma esattamente il GDPR come funziona?
In realtà, malgrado le preoccupazioni suscitate dalle sanzioni l’approccio del GDPR non è poi così stringente di quanto non lo fosse già la precedente normativa. Molti titolari del trattamento, in particolare le PMI, non intravedono nell’adeguamento al GDPR un’opportunità di crescita e di investimento per le proprie aziende. Anzi, lo percepiscono come adempimento obbligatorio e formale oltre che un costo, non considerando che maggiori sarebbero quelli relativi alle sanzioni e al porre rimedio a problemi come un eventuale data breach.
Per capire l’importanza dell’adeguamento alle norme, basta farsi un po’ i conti.
Ciò che impedisce ai titolari del trattamento di avere una visione “positiva”, è senza dubbio la complessità della disciplina dal punto di vista del contenuto e dell’ applicabilità operativa.
Per questo motivo, un titolare del trattamento che non ha mai curato l’aspetto data protection nell’ambito della propria attività, deve necessariamente adeguare la propria azienda ad una normativa che risulta praticamente impossibile applicare correttamente per i “non addetti ai lavori”. In questo caso è fondamentale il ruolo dei Data Protection Officer, che hanno l’importante compito di tradurre il linguaggio del GDPR e trasmetterne e divulgare i principi.
1) Gdpr come funziona: L’approccio privacy basato sul rischio
La normativa sulla privacy si basa su due nuovi fondamentali principi: la Privacy by Design e la Privacy by Default. Il consenso al trattamento dei dati personali è sempre valido, esplicito e revocabile
La Privacy by Design, stabilisce che ogni progetto deve essere pensato in modo da garantire la privacy degli utenti, riservando e proteggendo i loro dati personali coinvolti in quel determinato progetto. In questo caso, quindi, non si segue uno standard fisso, bensì occorre una tutela ad hoc per ogni singola situazione.
Con la Privacy by Default, invece, si stabilisce che le aziende devono trattare i dati personali solo ed esclusivamente nella misura necessaria per quelli che sono gli scopi previsti, e solo per un tempo strettamente necessario.
Questi principi, dunque, non fanno altro che guidare i titolari del trattamento verso l’adozione di misure e cautele che consentono di trattare i dati personali limitando il più possibile i rischi per gli interessati. L’approccio basato sul rischio, quindi, può tradursi come l’analisi preventiva del contesto del trattamento, del grado di probabilità e di gravità dei potenziali rischi ai quali è esposto l’interessato e la predisposizione di piani di azione volti a limitare il verificarsi degli eventi a rischio.
È un processo di autovalutazione, all’esito del quale il titolare deve adottare le cautele e le misure che risultino più idonee a tutelare e proteggere gli interessati e i relativi dati personali.
Il principio di accountability, insieme all’approccio privacy basato sul rischio, determina il superamento del concetto di misure “minime di sicurezza” della precedente disciplina, colpevole di aver generato nei titolari la percezione errata che la conformità alla normativa e la tutela dei dati personali potesse essere conseguita mediante adempimenti meramente formali, scollegati dall’applicazione pratica e quotidiana di trattamento.
2) Gdpr come funziona: La valutazione di impatto come best practice e adempimento obbligatorio
Sulla base dei citati principi e dell’approccio basato sul rischio, il GDPR ha previsto un adempimento obbligatorio, la cosiddetta valutazione di impatto Data Protection Impact Assessment, finalizzato a tutelare i casi in cui i rischi ai quali si espone l’interessato siano particolarmente elevati e mettano in pericolo i diritti e le libertà delle persone fisiche.
Senza entrare nel merito degli aspetti interpretativi e applicativi della norma, la valutazione di impatto e i suoi benefici, sono importantissimi per i titolari del trattamento, in termini di conformità e di adeguatezza nella gestione del rischio.
La predisposizione di una valutazione di impatto da parte di un titolare del trattamento non obbligato figurerebbe senz’altro come l’adozione di una best practice, in perfetta sintonia con l’applicazione del principio di accountability e dell’approccio basato sul rischio.
—->>>> TI POTREBBE INTERESSARE: FOCUS GDPR 2016/679 Corso di approfondimento sul trasferimento transfrontaliero dei dati alla luce della sentenza di invalidità del Privacy Shield
La figura del DPO (Data Protection Officer)
Non a caso è stata prevista la figura del “Responsabile della protezione dei dati” (DPO), incaricato di sorvegliare l’osservanza delle disposizioni in materia di protezione dei dati personali nelle imprese e negli enti e individuato in funzione delle qualità professionali e della conoscenza specialistica della normativa e della prassi in materia di protezione dati. Il Responsabile della protezione dei dati riferisce direttamente al vertice, è indipendente. Inoltre, non riceve istruzioni per quanto riguarda l’esecuzione dei compiti.
In realtà ancora oggi persistono troppi dubbi su cosa sia il DPO.
È una figura rilevante, ma certamente non è il “centro” del sistema posto in essere dal GDPR, che nel nuovo ordinamento è sempre il Titolare del trattamento. Il DPO deve avere una specifica competenza “della normativa e delle prassi in materia di dati personali nonché delle norme e delle procedure amministrative che caratterizzano il settore”.
È non meno importante però che abbia anche “qualità professionali adeguate alla complessità del compito da svolgere” e possa dimostrare di avere anche competenze specifiche rispetto ai tipi di trattamento attuati al titolare. È altrettanto importante l’autonomia decisionale e l’estraneità del DPO rispetto alla determinazione delle finalità e delle modalità del trattamento dei dati se si vuole restituire agli interessati quella sovranità sulla circolazione dei propri dati.
