LA GUIDA PRATICA

Organigramma e funzionigramma privacy: come gestire la “responsabilità generale” dei trattamenti dati

Ogni impresa o P.A. che gestisce dati personali nel ruolo di titolare del trattamento ha la responsabilità di tutti i trattamenti. Una “responsabilità generale” poiché rimane sempre e comunque in capo al titolare che, non potendo “trasferirla” ad altri, ha solo la possibilità di gestirla attraverso efficaci strumenti di controllo e gestione come un buon organigramma e un collegato funzionigramma

2 giorni fa
A
Giuseppe Alverone

DPO dell'Arma dei Carabinieri. Certificato UNI 11697:2017

Ogni organizzazione, pubblica o privata, che, per il raggiungimento dei suoi obiettivi, tratta dati personali, assume il ruolo “privacy” di “titolare del trattamento”.

Tale ruolo, in base quanto sancito dal Considerando 74 del GDPR, implica la responsabilità generale per qualsiasi trattamento di dati personali che lo stesso “titolare” effettui, sia direttamente tramite i lavoratori dipendenti, sia indirettamente, tramite altri soggetti (in genere i fornitori) che effettuano i trattamenti di dati personali per suo conto.

Si tratta di una responsabilità generale molto particolare, che non può – come avviene nel sistema normativo nazionale di “Safety” – essere ripartita tra entità interne all’Organizzazione.

Infatti, atteso che il “Core” di tutela del sistema privacy è la protezione dei diritti e delle libertà fondamentali delle persone fisiche relativamente al trattamento dei dati personali, la responsabilità dei trattamenti rimane sempre e comunque in capo al “titolare” il quale, non potendo “trasferirla” ad altri, ha solo la possibilità di gestirla, adottando, come indicato nel Considerando 78 del GDPR, politiche interne e attuando misure tecniche ed organizzative che soddisfino in particolare i principi della protezione dei dati (fissati dall’art. 5 del GDPR) fin dalla progettazione dei relativi processi aziendali.

In una parola, il titolare deve predisporre un “modello organizzativo privacy”, attagliato, in modo sartoriale, alla sua organizzazione ed alle sue finalità.

Il primo adempimento da porre in essere per la costruzione del “modello organizzativo” è la predisposizione dell’organigramma e del relativo “funzionigramma privacy”, attraverso l’attribuzione di ben determinati compiti e delle relative responsabilità a tutte le entità, interne ed esterne all’organizzazione, che concorrono a sviluppare i processi aziendali in cui girano i dati personali.

Bisogna quindi stabilire con meticolosità “chi” fa “che cosa”.

Attenzione: quelle attribuite/riconosciute a dette entità, sono responsabilità di natura disciplinare o contrattuale ma non sono, e non possono essere, un segmento della “responsabilità generale dei trattamenti” che, come precisato prima, rimane sempre in capo al “titolare”.

GDPR, una protezione tra rischi e pericoli per le persone fisiche e per l’economia

L’organigramma “privacy” disegnato dal GDPR

Il GDPR prevede cinque figure coinvolte nel trattamento di dati personali:

  • il “titolare”;
  • il “contitolare”;
  • il responsabile della protezione dei dati o Data Protection Officer (DPO);
  • il “responsabile del trattamento”;
  • gli “autorizzati al trattamento”.

Il titolare del trattamento

Il titolare del trattamento è la persona fisica o l’organizzazione che determina, singolarmente o insieme ad altri, le finalità e i mezzi del trattamento di dati personali. Quando svolge tali funzioni “singolarmente” si dice che è “titolare autonomo”, quando invece opera “congiuntamente ad altri titolari” assume il ruolo di “contitolare”.

WHITEPAPER
Perché impostare una strategia di manutenzione dei server?
Datacenter
Sicurezza

Come precisato dai Garanti Europei al punto 17 delle Linee Guida EDPB 7/2020, il ruolo di titolare potrebbe essere assunto da un’organizzazione, o anche da un singolo o da un gruppo di persone. In pratica, tuttavia, è solitamente l’organizzazione in quanto tale e non una persona fisica all’interno dell’organizzazione (come l’amministratore delegato, un dipendente o un membro del consiglio di amministrazione) ad agire in qualità di “titolare del trattamento” ai sensi del GDPR.

Il contitolare del trattamento

Contitolare del trattamento è la persona fisica o l’organizzazione che, quale titolare del trattamento, determina “congiuntamente ad altro titolare”, le finalità e i mezzi di un trattamento di dati personali.

Il punto 51 delle Linee Guida EDPB 7/2020 suggerisce che per valutare l’esistenza di contitolari del trattamento è necessario esaminare se la determinazione delle finalità e dei mezzi, che è prerogativa del titolare del trattamento, sia appannaggio di più di un solo soggetto.

Il termine «congiuntamente» deve essere interpretato nel senso di «insieme con» o «non isolatamente», in diverse forme e combinazioni.

I “contitolari” devono determinare in modo trasparente, mediante un accordo interno, le rispettive responsabilità in merito all’osservanza degli obblighi derivanti dal GDPR, con particolare riguardo all’esercizio dei diritti degli interessati.

Attenzione: con l’accordo di contitolarità deve essere sempre designato il punto di contatto per gli interessati. Comunque, indipendentemente dalle disposizioni di tale accordo, gli interessati possono sempre esercitare i loro diritti nei confronti di ciascun titolare del trattamento.

Il responsabile del trattamento

Un “titolare” che, per esigenze organizzative, ha la necessità di esternalizzare una attività che comporta un trattamento di dati personali, affidandola ad un fornitore, ha l’obbligo, posto dal GDPR, di ricorrere unicamente ad un “responsabile del trattamento” che presenti garanzie sufficienti, per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del GDPR e garantisca la tutela dei diritti degli interessati.

Il fornitore, come responsabile del trattamento deve essere vincolato al “titolare”, per conto del quale tratta i dati personali, attraverso un contratto o altro atto giuridico che fissi precise istruzioni e pertinenti condizioni di garanzia.

Tale contratto deve avere, come contenuto minimo, le prescrizioni fissate nell’art. 28, paragrafo 3 del GDPR. Vi è anche la possibilità di far ricorso ai nuovi modelli di “Clausole Contrattuali Tipo che la Commissione UE ha adottato con la Decisione di Esecuzione 2021/915 del 4 giugno 2021.

Il responsabile del trattamento può anche affidare parte del trattamento commissionatogli dal Titolare ad un altro “responsabile” (è il c.d. sub-responsabile) ma può farlo solo previa autorizzazione scritta, specifica o generale, dello stesso titolare.

Titolare o responsabile del trattamento?

I Garanti Europei, nei punti 12 e 26 delle Linee Guida EDPB 7/2020, hanno ben chiarito che quelli di “titolare del trattamento” e di “responsabile del trattamento” sono concetti funzionali: i.e. mirano a ripartire le responsabilità in funzione dei ruoli effettivamente svolti. Ciò implica che lo status giuridico di un soggetto in quanto “titolare del trattamento” o “responsabile del trattamento” deve, in linea di principio, essere determinato dalle attività effettivamente svolte in una situazione specifica, piuttosto che dalla sua designazione formale. Quindi, la ripartizione dei ruoli dovrebbe, di norma, derivare da un’analisi degli elementi di fatto o delle circostanze del caso e, in quanto tale, non è negoziabile.

La necessità di una valutazione fattuale significa anche che la titolarità di un trattamento non deriva dalle caratteristiche soggettive di chi tratta i dati, ma dalle attività concretamente svolte da tale soggetto in un contesto specifico.

Attenzione: Uno stesso soggetto può, quindi, agire contemporaneamente in qualità di titolare del trattamento per determinate operazioni di trattamento, e in qualità di responsabile del trattamento per altre operazioni. Inoltre, la qualifica di titolare o di responsabile del trattamento va valutata in relazione a ciascuna specifica attività di trattamento dei dati.

Il responsabile della protezione dei dati o Data Protection Officer (DPO)

Il responsabile della protezione dei dati o Data Protection Officer (DPO) svolge la doppia funzione di “”Advisor” e di “Auditor” in favore del “Titolare” o del “Responsabile del trattamento” che lo abbia designato.

In particolare l’art. 39 del GDPR gli attribuisce i compiti di:

  1. informare e fornire consulenza a tutto il personale del Titolare in merito agli obblighi da adempiere nel settore della protezione dei dati;
  2. sorvegliare l’osservanza del GDPR nonché delle politiche definite in ambito organizzativo, compresi l’attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo;
  3. fungere da punto di contatto con il Garante per la Protezione dei Dati Personali.

Il titolare o il responsabile, qualora sia una P.A., deve sempre designare il DPO. Se invece è un privato, deve designarlo qualora il suo “core business” sia un trattamento che – su larga scala – comporti un monitoraggio regolare e sistematico degli interessati ovvero venga eseguito su dati “sensibili” o “giudiziari”.

Per poter esercitare efficacemente i suoi compiti, il DPO è posto in posizione di “Staff” e riferisce direttamente al titolare o al responsabile che lo ha designato.

Attenzione: La designazione del DPO deve essere effettuata in funzione delle sue qualità professionali, in particolare della sua conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati, e della capacità di assolvere i compiti fissati dal GDPR. Designare un DPO che non abbia adeguata competenza ed esperienza può esporre il titolare a pesanti sanzioni.

Recentemente, l’Autorità Garante del Lussemburgo ha sottolineato la necessità che il soggetto designato quale DPO di un’organizzazione, pubblica o privata, abbia maturato almeno tre anni di esperienza nel settore della protezione dei dati personali.

Gli “autorizzati al trattamento”

Tutto il personale dipendente da un titolare che ha accesso ai dati personali, non può trattare tali dati se non è specificamente istruito ed autorizzato.

Questa prescrizione del GDPR costituisce anche una fondamentale misura di sicurezza dei trattamenti.

L’autorizzazione al trattamento dovrebbe essere conferita a ciascun lavoratore dipendente individualmente e per iscritto: Per particolari esigenze organizzative, è anche possibile conferire una “autorizzazione generale” a tutto il personale dipendente attraverso un’unica misura organizzativa strutturale. È quello che, e.g., ha fatto la Presidenza del Consiglio dei Ministri, nel predisporre il proprio Modello Organizzativo Privacy, con il D.P.C.M. 25 maggio 2018. In particolare l’art. 10, comma 2 dello stesso D.P.C.M. stabilisce che è autorizzato al trattamento dei dati personali tutto il personale in servizio presso la PCM che tratta dati personali, in relazione alle competenze della unità organizzativa alla quale è stato assegnato, salvo eventuali diverse determinazioni adottate dai dirigenti generali che hanno il potere decisionale di determinare finalità e mezzi dei trattamenti.

Secondo quanto fin qui descritto, l’Organigramma Privacy disegnato dal GDPR può essere schematizzato nella seguente tabella.

L’organigramma privacy nell’ordinamento italiano

Dall’esame di quanto finora descritto, è agevole indurre che l’organigramma disegnato dal GDPR non è facilmente adattabile alla maggior parte delle Organizzazioni pubbliche e private italiane.

Per tale motivo, ad integrazione di quanto previsto dal GDPR, il “Codice Privacy novellato”, al fine di garantire nelle organizzazioni complesse un’effettiva governance del sistema privacy, all’art. 2 quaterdecies sancisce che il titolare del trattamento:

  1. può attribuire specifici compiti e funzioni connessi al trattamento di dati personali a persone fisiche che operano sotto la sua autorità espressamente designate;
  2. individua le modalità più opportune per autorizzare al trattamento dei dati personali le persone che operano sotto la propria autorità diretta.

Tale norma attribuisce così ad ogni “titolare” la facoltà di “ingegnerizzare” la propria organizzazione, differenziando vari livelli e diverse modalità di autorizzazioni al trattamento di dati personali, attraverso specifiche designazioni.

Vediamo allora, di seguito, alcuni ruoli che possono essere formalizzati in applicazione del citato art.2 quaterdecies del Codice Privacy novellato, facendo anche specifico riferimento al modello organizzativo disegnato dalla Presidenza del Consiglio dei Ministri e a una specifica best practice nazionale.

Gli esercenti le funzioni di titolare

I soggetti ai quali è stato attribuito il potere decisionale di determinare le finalità ed i mezzi del trattamento possono essere designati dalla “organizzazione/titolare” da cui dipendono quali “esercenti le funzioni di titolare”. È questa e.g. la scelta che ha effettuato la Presidenza del Consiglio dei Ministri che all’art. 3 del citato D.P.C.M. ha individuato alcune figure di dirigenti generali (quali e.g. i Capi dei Dipartimenti e i Capi degli uffici autonomi) per l’esercizio delle funzioni di titolare del trattamenti dei dati personali, ciascuno nel rispettivo ambito di competenza.

Nelle imprese private possono assumere tale ruolo i soggetti appartenenti al “C-Level”.

I delegati o designati

Nelle organizzazioni molto complesse, per demoltiplicare l’alta direzione degli esercenti la funzione di titolare è possibile designare alcuni soggetti che esercitano una funzione di “comando e controllo” delle attività svolte dagli autorizzati al trattamento. Si tratta di un ruolo intermedio tra gli “esercenti le funzioni di titolare” e gli “autorizzati al trattamento”, attribuito a manager/dirigenti che vengono definiti delegati o designati.

Sono una sorta di “autorizzati di primo livello” e sono previsti anche nel modello organizzativo privacy della PCM. L’art.10 comma 1 del più volte citato DPCM 25 maggio 2018 prevede, infatti, testualmente che “i dirigenti della Presidenza del Consiglio dei ministri che trattano dati personali in relazione alle competenze attribuite o comunque esercitate presso gli uffici cui sono preposti, secondo l’ordinamento della PCM, sono autorizzati al trattamento nel rispetto delle misure e delle istruzioni adottate da chi esercita le funzioni di titolare del trattamento dei dati personali”.

I nuovi profili della privacy secondo la norma UNI 11697:2017

Altri ruoli da formalizzare all’interno di aziende o P.A. complesse, possono essere mutuati dalla norma tecnica UNI 11697:2017. Tale standard nazionale (vds. qui) prevede che a supporto del titolare, oltre al Data Protection Officer, possono collaborare altri professionisti della protezione dei dati personali, come il Manager Privacy, lo Specialista Privacy ed il Valutatore Privacy.

  1. Il “manager privacy”: come il DPO, è una figura di garanzia, che assiste il titolare nelle attività di coordinamento di tutti i soggetti coinvolti nel trattamento di dati personali all’interno dell’organizzazione, garantendo il rispetto delle norme e il mantenimento di un adeguato livello di misure organizzative, di sicurezza e di protezione dei dati.
  2. Lo “specialista privacy”: collabora con il manager privacy, curando la corretta attuazione del trattamento dei dati personali all’interno dell’organizzazione e svolgendo le attività operative necessarie.
  3. Il “valutatore privacy”: ha competenze informatiche, tecnologiche e giuridiche, e svolge attività di monitoraggio e audit, esamina periodicamente il trattamento dei dati personali, valuta il rispetto delle normative, applica le misure opportune per eliminare eventuali non conformità. Il Valutatore opera in maniera indipendente dalle altre figure manageriali e operative.

Sulla base dei “ruoli integrativi” descritti, è quindi possibile schematizzare nella tabella seguente, un organigramma privacy più adatto alla complessità delle P.A. e delle imprese italiane:

Il funzionigramma privacy

L’organigramma disegnato secondo le indicazioni sopra descritte, deve poi essere supportato da un funzionigramma, i.e. un documento che stabilisca compiti e responsabilità di ogni profilo/ruolo professionale coinvolto a vari livelli nel trattamento dei dati personali.

I compiti e le responsabilità potranno essere attribuiti attraverso l’esercizio della “delega” oppure, laddove è possibile, applicando il “principio di effettività”, cioè polarizzando all’attività di trattamento dei dati personali, i compiti e le funzioni già attribuite dalle leggi e/o dai documenti ordinativi a particolari soggetti.

Quindi e.g., nel funzionigramma dovrà essere precisato quali entità sono chiamate a tenere il registro dei trattamenti o a dare esecuzione alle procedure di gestione dell’esercizio dei diritti privacy da parte degli interessati o dei data breach.

WHITEPAPER
Certificazioni GDPR: tutti i vantaggi per le organizzazioni che vi aderiscono
Legal
Privacy
@RIPRODUZIONE RISERVATA

Articolo 1 di 5