Il vademecum

GDPR, ecco perché serve adottare un sistema di governance “customizzato”

Nelle grandi realtà è importante adattare alle caratteristiche aziendali i ruoli delle persone incaricate della data protection: vediamo in che modo è possibile

03 Lug 2020
M
Francesca Mistretta

Specialista in Protezione dei Dati, Funzione Compliance


Lelaborazione e l’adozione di un sistema di governance personalizzato per la protezione dei dati personali risulta essere fondamentale per la compliance al GDPR. Importante la definizione dei ruoli e delle persone coinvolte, anche a livello locale. Vediamo in che modo.

La governance nelle grandi realtà

Oltre alle responsabilità in capo al titolare del trattamento, nelle grandi realtà aziendali è impensabile non adottare un sistema di governance tailorizzato sulla struttura e sulle esigenze dell’azienda stessa.

Nella maggior parte dei casi, nelle aziende con una struttura complessa ed articolata il titolare del trattamento è identificato nel Consiglio di Amministrazione che, al fine di essere compliant con il GDPR e di ottemperare alle responsabilità sopra indicate, agisce per il tramite di “referenti privacy” aventi specifiche skill, task, duties e responsabilità.

Detti referenti fungono da “collettori” per una serie di attività afferenti alla privacy. Se immaginiamo di adottare una struttura piramidale, è possibile collocare al vertice la figura del c.d. “privacy manager”, ossia colui che, ricoprendo una carica apicale, supervisiona le attività GDPR svolte rispettivamente dai “referenti focali”, individuati in tutti i responsabili delle varie funzioni aziendali, e dai “soggetti incaricati” del trattamento dei dati personali, e assiste la gestione, il coordinamento e l’implementazione di tutte le attività connesse alla protezione dei dati personali per conto del titolare del trattamento.

Quest’ultimo identifica il “privacy manager” nella figura del responsabile della funzione aziendale che tratta il numero più alto di dati personali (e.g. i dati dei dipendenti e i dati dei clienti).

Il “privacy manager” instaura un rapporto di collaborazione con il DPO, supportandolo, per esempio, nella corretta gestione delle richieste da parte dei soggetti interessati afferenti all’esercizio dei propri diritti, nell’ elaborazione di un parere sulla DPIA e nel monitorare la sua stessa performance, nel mettergli a disposizione la versione aggiornata del “registro delle attività di trattamento dei dati personali” su sua richiesta, nell’informarlo e consultarlo tutte le volte che si verifichi un “personal data breach” o un altro incidente che comprometta la tutela della privacy.

Il “privacy manager” supervisiona altresì le attività di implementazione di aggiornamento del registro delle attività di trattamento dei dati personali che vengono svolte dai “referenti focali” ossia da quelle figure che hanno una conoscenza approfondita dei processi, delle attività, degli obblighi e delle responsabilità afferenti ai trattamenti dei dati personali eseguiti all’interno di una funzione.

In questo caso, il “privacy manager” dà il suo supporto allo scopo di assicurare la completezza, l’accuratezza e l’aggiornamento periodico del predetto registro.

Il “privacy manager” è inoltre tenuto a informare periodicamente il DPO su tutte le questioni attinenti al trattamento dei dati personali e ad elaborare annualmente una relazione ove descrivere la tipologia di attività che sono state intraprese allo scopo di recepire quanto definito nel framework interno ed esterno vigente in materia di protezione dei dati personali.

Il referente focale

Un’altra figura da prevedere nel potenziale sistema di governance da adottare è quella del “referente focale” che viene individuata all’interno di ogni funzione aziendale che tratta dati personali e che è identificata nel responsabile dell’area stessa.

A sua volta, il “referente focale” ha la possibilità di avvalersi di uno o più “soggetti incaricati”, ossia di risorse che a livello operativo lo possano affiancare nello svolgimento di tutte quelle tasks stabilite dal GDPR.

Il requisito fondamentale per essere nominato “referente focale” è la conoscenza approfondita di tutte quelle operazioni, procedure e responsabilità connesse al trattamento dei dati personali all’interno della propria funzione.

Alla luce di quanto sopra, il “referente focale” diventa responsabile di un’attività di analisi e di monitoraggio di tutto l’operato dei suoi “soggetti incaricati” fondato sul rispetto dei principi di cui all’articolo 5 del GDPR, ossia dei principi di accuratezza, liceità, correttezza, trasparenza, minimizzazione dei dati, limitazione della conservazione, integrità e riservatezza, dovendo informare il “privacy manager” circa potenziali circostanze volte a compromettere il rispetto dei predetti principi.

Il “referente focale” è tenuto notificare tempestivamente il “privacy manager” nell’ipotesi di un personal data breach”, dovendo documentare l’incidente, valutarne il rischio e determinare i possibili rimedi.

Lo stesso è tenuto altresì a supervisionare la compilazione e l’aggiornamento annuale del “registro delle attività di trattamento dei dati personali”, individuando specifici “soggetti incaricati” che dovranno svolgere operativamente le predette attività.

Inoltre, il “referente focale”, con il supporto dei “soggetti incaricati”, deve svolgere la DPIA prima che un nuovo progetto abbia inizio allo scopo di analizzare gli eventuali rischi dello stesso, definendo i gap rispetto alla corretta gestione dei predetti e prevedendo una serie di misure e di cautele per mitigarlo/eliminarlo.

Il “referente focale” assieme ai “soggetti incaricati” valuta l’esercizio dei diritti da parte dei soggetti interessati accertandosi dell’identità dei predetti e verificando la fondatezza delle richieste entro un arco temporale pari a 5 giorni lavorativi dal momento di ricezione della richiesta stessa.

È possibile, pertanto, definire la figura del “referente locale” come quella preziosa risorsa che coordina a livello operativo i “soggetti incaricati” nello svolgimento di tutte le attività previste dal GDPR, collaborando con le altre strutture aziendali per garantire il più alto livello di protezione dei dati personali.

A mente dell’articolo 29 del GDPR i dipendenti, che agiscono sotto l’autorità del titolare del trattamento e che hanno accesso ai dati personali, non possono trattare i predetti se non sono stati istruiti in tal senso dal titolare del trattamento.

WEBINAR
Sicurezza IT: focus su casi reali, “schemi di gioco” e organizzazioni criminali
Cybersecurity
Sicurezza dei dati

Quest’ultimo, pertanto, deve fornire al proprio personale tutte le tecniche e le misure adeguate da adottare nel trattamento dei dati personali al fine di tutelare i diritti dei soggetti interessati.

I “soggetti incaricati” devono quindi operare nel rispetto della normativa esterna ed interna vigente, nell’ esclusivo ambito dei profili di autorizzazione che vengono loro assegnati, avendo cura di segnalare tempestivamente al titolare del trattamento, per il tramite dei propri “referenti focali” e “privacy manager”, eventuali casi di trattamento non conformi alla normativa o alle disposizioni ricevute nonché situazioni di anomalie sopravvenute.

I “soggetti incaricati” sono tenuti altresì a rispettare gli obblighi di riservatezza che sono imposti dalla propria mansione.

DPO e privacy officer: le differenze

La grande novità introdotta dal GDPR è la figura del “responsabile per la protezione dei dati personali” o meglio conosciuto con l’acronimo di “DPO”.

Si tratta di una figura completamente nuova che il titolare del trattamento e il responsabile del trattamento designano tutte le volte che:

  1. il trattamento sia effettuato da un’autorità pubblica o da un organismo pubblico;
  2. le attività principali del titolare del trattamento o del responsabile del trattamento consistano in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico dei soggetti interessati su larga scala;
  3. le attività principali del titolare del trattamenti o del responsabile del trattamento consistano nel trattamento, su larga scala, di categorie particolari di dati personali di cui all’articolo 9), o di dati relativi a condanne penali e a reati di cui all’articolo 10.

Il titolare del trattamento e il responsabile del trattamento non solo devono garantire il tempestivo e adeguato coinvolgimento del DPO su tutte le questioni afferenti alla protezione dei dati personali, ma devono anche fornirgli le risorse adeguate e necessarie per assolvere i compiti previsti dall’articolo 39.

Il GDPR stabilisce in modo esplicito i requisiti di indipendenza e autonomia del DPO non dovendo quest’ultimo ricevere alcuna istruzione per quanto riguarda l’esecuzione dei propri compiti.

Il DPO svolge un ruolo essenziale non solo nel promuovere l’attuazione delle leggi e delle normative applicabili in materia di protezione dei dati personali, ma anche nel facilitare – e dunque garantire – la compliance con tutto framework normativo.

Tuttavia, il titolare del trattamento resta il responsabile definitivo, essendo tenuto a dimostrare che ciascuna operazione di trattamento è stata effettuata in conformità alle disposizioni applicabili. Importante precisare che attualmente le grandi aziende optano per la vera e propria creazione di una funzione ad hoc costituita da una serie di risorse volte a supportare il DPO nello svolgimento di tutte le sue attività.

Diventa pertanto lecito parlare di un’ulteriore nuova figura che è possibile definire “privacy officer”. Si tratta di una figura operativa che vanta competenze cross – functional nell’ambito giuridico, informatico e gestionale.

Il “privacy officer” si differenzia dunque dalla figura del DPO che svolge non solo un ruolo di controllo e di supervisione sulla corretta applicazione del GDPR e della interna normativa aziendale, ma anche di consulenza per tutte le potenziali issues emergenti.

Il GDPR continua inoltre a disciplinare la figura del “responsabile del trattamento” che è da intendersi come la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta i dati personali per conto del titolare del trattamento.

Il rapporto tra titolare e responsabile

La figura del responsabile del trattamento è connessa alla possibilità del titolare del trattamento di esternalizzare parte delle attività afferenti al trattamento dei dati personali a un fornitore esterno (es. società terza).

Quest’ultimo è selezionato sulla base della sua capacità di offrire garanzie sufficienti per attuare le adeguate misure tecniche e organizzative affinché il trattamento soddisfi i requisiti stabiliti dal GDPR e assicuri la tutela dei diritti dell’interessato.

Il titolare del trattamento nomina il responsabile del trattamento tramite un contratto ad hoc attraverso il quale il titolare del trattamento fornisce al responsabile del trattamento specifiche istruzioni sull’attività di trattamento, che quest’ultimo è tenuto a svolgere per fornire i propri servizi.

Il contratto definisce altresì la durata, la natura e le finalità del trattamento, il tipo di dati personali e le categorie di soggetti interessati dal trattamento, nonché gli obblighi e i diritti del titolare del trattamento.

Il responsabile del trattamento tratta i dati personali, per conto del titolare del trattamento, seguendo rigorosamente le istruzioni e perseguendo le finalità stabilite da quest’ultimo.

Inoltre, il titolare del trattamento stabilisce controlli e procedure specifici e determinati per garantire che la designazione del responsabile del trattamento sia conforme ai requisiti normativi in materia di protezione dei dati, compresa l’adozione di adeguati modelli standard per la nomina del responsabile del trattamento.

A tale riguardo, si precisa che nel designare il responsabile del trattamento ci sono due fasi da porre in atto, ossia la “fase della selezione e la “fase della designazione” del fornitore come responsabile del trattamento dei dati.

La prima fase consiste in una valutazione approfondita per selezionare esclusivamente fornitori che siano in grado di offrire sufficienti garanzie per attuare adeguate misure tecniche e organizzative al fine di garantire il rispetto dei requisiti normativi in materia di protezione dei dati e la protezione dei dati diritti delle persone interessate.

Una volta terminata la predetta fase, ha inizio la seconda che consiste appunto nella nomina del fornitore quale responsabile del trattamento.

La personalizzazione del modello organizzativo

Ebbene, il sopra descritto modello organizzativo necessita di essere customizzato nella grande realtà aziendale che presenta numerose succursali estere. Il titolare del trattamento è tenuto dunque a prendere in considerazione tutte le peculiarità organizzative e strutturali della propria azienda e a elaborare un sistema di governance solido e tailorizzato.

Analizzando la realtà di una grande azienda articolata in numerose branches site all’estero il modello organizzativo sopra analizzato non risulterebbe adeguato a rispondere alle varie esigenze aziendali senza una corretta e ragionata customizzazione e senza la previsione di flussi specifici di reporting verso l’autorità di controllo locale e verso il DPO dell’Headquarter.

A livello locale il titolare del trattamento identifica le figure del “privacy manager locale”, del “referente focale locale”, dei “soggetti incaricati locali” e del “referente locale del DPO” tenendo conto delle peculiarità e della grandezza dell’azienda al fine di promuovere e assicurare la gestione, il coordinamento e l’implementazione delle attività connesse alla normativa sulla privacy ponendo la propria attenzione anche sulle leggi e regolamenti emanati a livello locale.

Diventa quindi lecito parlare di “privacy manager locale” inteso come una trasposizione della figura del “privacy manager” a livello di branch e avente poteri similari a quest’ ultimo – logicamente basati sulle caratteristiche proprie della branch.

In linea di massima, il “privacy manager locale” è responsabile per lo svolgimento di attività quali la gestione corretta delle richieste di esercizio di propri diritti da parte del soggetto interessato, l’elaborazione di un parere sulla DPIA e il controllo del roll-out della stessa, il monitoraggio dell’aggiornamento del registro delle attività di trattamento dei dati personali e la gestione di un potenziale personal data breach o di un altro incidente che comprometta la tutela della privacy, potendosi consultare prontamente con il DPO.

Ed ancora, diventa corretto parlare anche di “referente focale locale” e di “soggetto incaricato locale” che risultano essere una trasposizione delle stesse figure presenti nell’ Headquarter. In base alla struttura della branch il “referente focale locale” è considerarsi come il responsabile di un’attività di analisi e di monitoraggio di tutto l’operato dei suoi “soggetti incaricati locali”, dovendo assicurare un costante flusso di reporting al “privacy manager locale” circa potenziali eventi volti a compromettere il rispetto dei principi sulla privacy.

Il “referente focale locale” è tenuto notificare tempestivamente il “privacy manager locale” nell’ipotesi di un “personal data breach”, dovendo documentare l’incidente, valutare il rischio e determinare i possibili rimedi.

Lo stesso è tenuto altresì a supervisionare la compilazione e l’aggiornamento annuale del “registro delle attività di trattamento dei dati personali”, individuando specifici “soggetti incaricati locali” che dovranno svolgere operativamente le predette attività.

Inoltre, il “referente focale locale”, con il supporto dei “soggetti incaricati locali”, deve svolgere il processo di DPIA prima sia avviato un nuovo progetto allo scopo di analizzare i rischi dello stesso, definendo i gap rispetto alla corretta gestione dei predetti e prevedendo una serie di misure di sicurezza e di cautele volte a mitigarlo/eliminarlo.

Il “referente focale locale” assieme ai “soggetti incaricati locali” valuta l’esercizio dei diritti da parte dei soggetti interessati accertandosi dell’identità dei predetti e verificando la fondatezza delle richieste entro un arco temporale pari a 5 giorni lavorativi dal momento di ricezione della richiesta stessa.

Pertanto, anche a livello locale, è possibile definire la figura del “referente focale locale” come quella imprescindibile risorsa che coordina operativamente i “soggetti incaricati” nello svolgimento di tutte le attività previste dal GDPR, collaborando con le altre funzioni aziendali per garantire il più alto livello di protezione dei dati personali.

Ed inoltre, i sopracitati “soggetti incaricati locali” devono operare nel rispetto della normativa esterna ed interna vigente, nell’esclusivo ambito dei profili di autorizzazione che vengono loro assegnati, avendo cura di segnalare tempestivamente al titolare del trattamento, per il tramite dei propri “referenti focali locali” e “privacy manager locale”, eventuali casi di trattamento non conformi alla normativa o alle disposizioni ricevute nonché situazioni di anomalie sopravvenute.

I “soggetti incaricati” devono quindi essere stati istruiti in tale senso dal proprio titolare del trattamento.

Da ultimo, il titolare del trattamento può prevedere l’ulteriore figura del “referente locale del DPO”, ossia quella figura che è da intendersi come una estensione del DPO dell’Headquarter e che è tenuta a:

  1. collaborare con il DPO stesso, con il “privacy manager locale” e con tutti i “referenti focali locali”;
  2. fungere da punto di contatto per l’autorità di controllo locale e gli interessati nella giurisdizione pertinente;
  3. garantire una puntuale e precisa attività di consulenza sulle disposizioni amministrative locali;
  4. monitorare il livello di conformità interna alle leggi sulla protezione dei dati personali, sia nazionali che europee;
  5. fornire una costante reportistica DPO sullo stato di attuazione della legislazione locale in materia di protezione dei dati.
WHITEPAPER
La guida per scegliere il miglior antivirus gratuito per il tuo PC
Personal Computing
Privacy

@RIPRODUZIONE RISERVATA

Articolo 1 di 4