Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

L'analisi

GDPR e accountability, il ruolo del designato nelle società a struttura complessa

La normativa consente al titolare del trattamento dei dati di indicare un designato, una persona chiave che lo assiste in compiti specifici legati all’accountability, per garantire il pieno rispetto del GDPR. La figura assume particolare rilevanza in realtà come le società a struttura complessa

30 Ago 2019
D
Riccardo Di Gioia

Specialista Privacy


Con l’entrata in vigore del GDPR, l’accountability è diventata l’obiettivo primario di tutte le società che trattano dati personali: nelle realtà più grandi ecco che assume importanza la figura del designato. Individuato dal titolare, il designato ha specifici compiti e funzioni connessi al trattamento di dati personali. Un ruolo di rilievo laddove il DPO da solo non è sufficiente, come per esempio nelle società a struttura complessa.

Il contesto

Certamente per alcune realtà radicate nel territorio, che da sempre seguono le medesime procedure e metodologie, modificare l’assetto aziendale e i propri processi consolidati per seguire i principi della privacy by design e privacy by default (art. 25 GDPR) non è assolutamente un’impresa da poco.

Nelle società a struttura complessa, poi, soprattutto se prevedono una certa indipendenza delle sedi periferiche rispetto alla sede principale, seguire tutti i processi e i trattamenti, diventa un lavoro estremamente gravoso.

Una delle peculiarità del GDPR è la sua immediata applicabilità alle piccole imprese, la sua adattabilità alle medie imprese e la difficoltà di adattamento alle grandi imprese o, a onore del vero, la difficoltà di adattamento da parte delle grandi imprese al GDPR.

In aziende o società complesse e articolate non basta la nomina di un DPO, la cui figura in queste realtà risulta più vicina a quella di un consulente e di un formatore (art. 39.1 GDPR) che funge da punto di contatto tra il titolare e l’Autorità di controllo; difficile pensare che un singolo individuo possa assolvere appieno (anche) a quella funzione di sorveglianza sull’applicazione del Regolamento, richiesta dalla norma.

La responsabilità del corretto trattamento dei dati personali di clienti/dipendenti, ricade sempre e comunque sul titolare (art. 24 GDPR): è lui che “mette in atto misure tecniche e  organizzative per garantire, ed essere in grado di dimostrare” che il trattamento sia effettuato in conformità al Regolamento.

Non sarà certo il DPO a dover dimostrare l’aderenza al dettato normativo nel trattamento dei dati personali, né tantomeno sarà lui a subire le (eventuali) sanzioni amministrative pecuniarie (art. 83 GDPR) previste dal Regolamento, ma bensì il titolare. Anzi, l’art. 38 esplicitamente prevede che il DPO non possa essere “rimosso o penalizzato dal titolare del trattamento per l’adempimento dei propri compiti”, cosa che, viceversa, non è valida per i designati ex art. 2-quaterdecies D.lgs. 198/2003.

La figura del designato

WHITEPAPER
Cybersecurity: come superare le vulnerabilità delle tecniche di Intelligenza Artificiale
Sicurezza
Sicurezza

Il Codice Privacy del 2003, come innovato dal D.lgs. 101/2018, fornisce infatti alle società complesse uno strumento validissimo e spesso poco utilizzato (o conosciuto): l’art. 2-quaterdecies che prevede la possibilità per il titolare di attribuire sotto la propria responsabilità e nell’ambito del proprio assetto organizzativo, “specifici compiti e funzioni connessi al trattamento di dati personali […] a persone fisiche, espressamente designate, che operano sotto la loro autorità” (comma 1).

Aggiungendo anche che vi è la massima elasticità nell’individuare “le modalità più opportune per autorizzare al trattamento dei dati personali le persone che operano sotto la propria autorità diretta” (comma 2).

In questo modo si raggiunge un livello più profondo di accountability, prevedendo responsabilità concrete sulla gestione del trattamento dei dati anche a livelli più interni e profondi della società.

Il titolare in questo modo dovrà attivarsi concretamente in una fase inziale per individuare figure chiave per il trattamento dei dati personali all’interno dell’organigramma aziendale (anche tenuto conto della sede fisica in cui si svolge l’attività) e predisporre una buona attività formativa (artt. 29 e 32.4 – GDPR) per designati individuati.

Ovviamente questa figura è applicabile anche alla PMI, ma va da sé che esprima il suo massimo potenziale nelle società complesse e/o con più sedi in località diverse: è chiaramente più semplice gestire un perimetro circoscritto e/o una struttura unica, seppur di medio/grandi dimensioni.

Quanto alle formalità delle designazioni, seppure non assoggettate a vincoli, si devono, comunque, rispettare i principi di chiarezza, precisione e completezza.

L’individuazione di compiti e/o funzioni, inoltre, deve essere espressa e specifica, poiché non può essere desunta dal ruolo ricoperto nell’organigramma aziendale. Come non è più possibile richiedere tout court il “consenso generico” al trattamento dei dati personali, o fornire un’informativa non chiara e specifica in merito a finalità del trattamento, tempi di conservazione dei dati e esercizio dei propri diritti, così non può esistere una designazione vaga o una responsabilità indefinita.

Finalità del ruolo

Il designato d’altra parte, deve fornire idonea garanzia, per preparazione ed esperienza, del pieno rispetto delle vigenti disposizioni in materia di trattamento dei dati personali; per quanto concerne tutti gli aspetti relativi alla sicurezza del trattamento.

Considerando che nella realtà è difficile che in una società ci sia una figura talmente “poliedrica” da poter garantire la sicurezza del trattamento dei dati personali, sia sul piano amministrativo/commerciale che su quello informatico, il designato dovrà (e potrà) ricorrere, se necessario al supporto dell’unità information tecnology aziendale, qualora vi sia, per il trattamento informatizzato dei dati; la sicurezza del trattamento informatizzato può essere ancor più rafforzata prevedendo all’interno dell’organigramma privacy, la figura dell’amministratore di sistema (provvedimento del Garante del 27 novembre 2008 relativo a “misure e accorgimenti prescritti ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni delle funzioni di amministratore di sistema”, pubblicato sulla G.U. n. 300 del 24 dicembre 2008).

Il designato, inoltre, è autorizzato a procedere all’organizzazione, nell’ambito dell’area di competenza, di ogni operazione di trattamento di dati personali svolta con o senza l’ausilio di strumenti elettronici o comunque automatizzati, nel pieno rispetto delle norme previste dal Regolamento Europeo e dalla normativa vigente, nonché di quanto disposto dalle istruzioni operative e dalle procedura aziendali impartite dal titolare del trattamento o dal Responsabile della Protezione dei Dati (DPO), qualora vi fossero.

Egli deve verificare che i trattamenti di dati personali, effettuati nell’ambito della propria area, non si discostino dalle finalità per cui i dati stessi sono raccolti, conformemente alle informative rilasciate agli interessati ai sensi dell’art. 13 del Regolamento. A tale fine il designato dovrà quindi mantenere attivo il monitoraggio dei trattamenti di propria competenza, avvalendosi della collaborazione del Responsabile della Protezione dei Dati (DPO) che, come indicato in precedenza, in queste realtà complesse funge più da consulente e supervisore.

Le funzioni specifiche del Designato

Vediamo nello specifico un elenco (non esaustivo) di funzioni che il designato ha per garantire il rispetto delle vigenti disposizioni di legge in materia di trattamento dei dati personali nelle attività operate nell’ambito della propria area:

  1. individuare le persone autorizzate al trattamento, anche per relationem, con riferimento alla preposizione di uno o più soggetti ad attività comportanti il trattamento di dati personali di pertinenza del proprio ufficio (nel rispetto delle procedure aziendali in essere);
  2. rispettare e far rispettare agli autorizzati al trattamento e agli altri soggetti che per qualsivoglia motivo entreranno in contatto con i trattamenti di dati personali di pertinenza del proprio Ufficio, le adeguate misure di sicurezza già attuate o che verranno in futuro predisposte ai sensi della normativa applicabile in materia di protezione dei dati personali;
  3. verificare, con cadenza almeno annuale, che i profili di accesso assegnati agli autorizzati al trattamento siano adeguati e non eccedenti le esigenze della mansione cui gli stessi sono stati assegnati;
  4. assistere il titolare del trattamento e il Responsabile della Protezione dei Dati (eventualmente coinvolto) nel processo di valutazione d’impatto sulla protezione dei dati (DPIA – Data Protection Impact Assessment) di cui all’art. 35 del Regolamento, nonché nella eventuale fase di consultazione preventiva con l’Autorità di controllo ai sensi dell’art. 36 del Regolamento;
  5. collaborare con il titolare del trattamento o il Responsabile della Protezione dei Dati, al fine di soddisfare l’obbligo di dare seguito alle richieste per l’esercizio dei diritti dell’interessato di cui al Capo III del Regolamento e fornire tutto il supporto necessario al fine di consentire una risposta nei termini previsti, ivi inclusi i reclami avanzati dagli interessati, nonché delle eventuali istanze presentate al Garante dagli stessi;
  6. informare prontamente il titolare del trattamento e il Responsabile della Protezione dei Dati dell’intenzione di introdurre un nuovo trattamento e di ogni questione rilevante ai fini della normativa in materia di protezione dei dati personali;
  7. nel caso in cui il designato affidi all’esterno l’esecuzione di specifiche attività di trattamento, rispettare l’apposita procedura prevista per disciplinare le modalità di nomina dei responsabili esterni e dei sub-responsabili (di cui all’art. 28 Reg. UE 2016/679);
  8. collaborare con il titolare e il Responsabile della Protezione dei Dati, nell’ambito delle attività affidate all’Area di competenza, nell’attività di aggiornamento del registro delle attività di trattamento (di cui all’art. 30 Reg. UE 2016/679).

Questi ed eventuali altri compiti devono essere esplicitamente indicati in apposito atto di nomina, la cui forma è lasciata alla libera iniziativa del titolare, e sottoscritta per accettazione.

WHITEPAPER
Mobile security: come proteggere gli smartphone dai malware
Mobility
Sicurezza

Giova infine ricordare che la recente giurisprudenza in materia di violazione dei dati personali, successiva all’entrata in vigore del GDPR, si stia già orientando verso la possibilità per il titolare di rivalersi sul designato in caso di sanzioni o indennizzi direttamente riconducibili ad una condotta “colposa” del designato al trattamento del dato violato.

@RIPRODUZIONE RISERVATA

Articolo 1 di 5