Data Protection & Data Officer: un binomio perfetto!?!…

Il nuovo Regolamento UE 2016/679 pubblicato il 4 maggio 2016 sulla GUUE, conosciuto con l’acronimo GDPR (general data protection regulation), pienamente esecutivo dal giorno 24 e in via transitoria per i successivi 24 mesi, sarà definitivamente operativo in tutti gli stati della Unione dal 25 maggio 2018; rappresenta una futuristica, avanzata normativa comunitaria in materia di data protection che abolirà definitivamente la direttiva europea n° 95/46/CE, meglio conosciuta come direttiva madre, modificando, peraltro, simultaneamente anche il D.Lgs 196/2003, quale Codice del trattamento dei dati personali, introducendo nel contempo diverse novità normative e operative, quali ad esempio:

  • obbligo di conformità dei prodotti ICT secondo la normativa;
  • obbligo della compliance per i data center;
  • potere di controllo maggiore a favore dell’interessato sui propri dati personali;
  • obbligo di notificazioni delle violazioni, all’interessato ed alla Autorità nei casi di data breach;
  • obbligo di analisi del rischio e delle adeguate misure di sicurezza;
  • principio di privacy by design e by default;
  • DPIA (data protection impact assessment);
  • responsabilità di Data Controller (Titolare), Joint Controller (Contitolare) e Data Processor (Responsabile);
  • DPO (Data Protection Officer).

La garanzia di una maggior sicurezza dei dati e delle informazioni, configura un obbligo stringente che il Regolamento generale impone sul trattamento e la gestione dei dati dei cittadini comunitari, e lo richiede non più genericamente in nome dei cd dati sensibili previsti nelle passate normative privacy, ma lo vincola a qualunque informazione riguardante una persona fisica identificata o identificabile, direttamente o indirettamente (il nuovo GDPR prevede come mutamento della propria identità in digitale anche gli indirizzi IP, cookies, etc) trattati con procedimenti automatizzati oppure manuali.

Altra importante novità contenuta nel nuovo Regolamento è l’introduzione del DPO (di cui parleremo più avanti) una figura specializzata, trasversale e indipendente, che supporterà il titolare e/o il responsabile del trattamento, osservando, valutando e organizzando la gestione e la protezione del trattamento dei dati personali in conformità alla normativa.

Il GDPR, rispetto al D.Lgs 196/2003, conosciuto come Codice della Privacy (CdP), potenzia gli aspetti dell’analisi e della gestione dei rischi, in un unico dominio inserito nel sistema di controllo interno e di gestione delle minacce; introduce, inoltre, il più stringente principio di accountability (responsabilizzazione) in capo al titolare del trattamento dei dati, e non ultimo, anche della sicurezza delle informazioni.

L’innesto normativo del processo di DPIA (Art. 35, data protection impact assessment), altra novità del Regolamento, costituisce una sorta di tool strategico per assicurare il principio dell’accountability, fondamentale al controller per dimostrare l’adozione di tutte le idonee e appropriate misure di sicurezza adeguate al rischio e volte a garantire il rispetto della normativa, attestandone la specifica compliance in materia di trattamento dei dati. In buona sostanza, si passa dal generico obbligo di applicazione delle misure minime di sicurezza uguali per tutti al di la delle dimensioni del trattamento e dei dati raccolti, contenute nella regola 25 dell’allegato B al CdP, a un più generale obbligo di responsabilizzazione del titolare nell’applicazione del binomio normativo delle adeguate misure alla proporzione del rischio:

  • misure di sicurezza = proporzione del rischio.

Queste valutazioni vanno sempre eseguite tenendo in considerazione i rischi noti e quelli evidenziabili, come le misure tecniche e organizzative che si ritiene necessario adottare per mitigarli tali rischi, evitando di porsi nelle condizioni di violazioni della sicurezza previsti nell’art. 33, ovvero nei casi di Data Breach, circostanza non contemplata espressamente nella precedente direttiva madre (in realtà per i data breach in attuazione della direttiva europea 2009/136/CE sulla privacy nel settore delle comunicazioni elettroniche, l’Autorità Garante emanò il provvedimento del 4 aprile 2013 pubblicato in GU n. 97/2013 che modificava in parte il CdP) come obbligo di notifica all’Autorità, entro le 72 ore dall’incidente di sicurezza rilevato.

Invero, il GDPR ha sostanzialmente surrogato l’obbligo della notifica preliminare già contemplata nel CdP, quando il trattamento dei dati presentava rischi specifici per i diritti e le libertà fondamentali, nonché per la dignità dell’interessato, in relazione alla natura del dato, o alle sue modalità di trattamento, e agli effetti che poteva determinare. In realtà l’obbligo di consultazione dell’autorità Garante è divenuto un appendice residuale dell’art. 36 del CdP, come specificato, peraltro, nel considerando 84 del Regolamento, ovvero soltanto per le ipotesi in cui la valutazione d’impatto indichi che il trattamento presenterebbe un rischio elevato che non può essere attenuato con misure opportune in termini di tecnologia disponibile e costi di attuazione.

L’art. 35 (e considerandi 71, 75, 89, 90, 91), ai commi 1-3, specifica alcuni esempi di trattamento dati che mostrano un possibile ed elevato rischio:

  • (com.1) quando un tipo di trattamento, allorché prevede in particolare l’uso di nuove tecnologie, considerati la natura, l’oggetto, il contesto e le finalità del trattamento, può presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento effettua, prima di procedere al trattamento, una valutazione dell’impatto dei trattamenti previsti sulla protezione dei dati personali. Una singola valutazione può esaminare un insieme di trattamenti simili che presentano rischi elevati analoghi;
  • (com.3a) una valutazione sistematica e globale di aspetti personali relativi a persone fisiche, basata su un trattamento automatizzato, compresa la profilazione, e sulla quale si fondano decisioni che hanno effetti giuridici o incidono in modo analogo significativamente su dette persone fisiche;
  • (b) il trattamento, su larga scala, di categorie particolari di dati personali di cui all’articolo 9, paragrafo 1, o di dati relativi a condanne penali e a reati di cui all’articolo 10;
  • (c) la sorveglianza sistematica su larga scala di una zona accessibile al pubblico.

Considerando nel merito il contenuto del processo DPIA (WP 29: una valutazione d’impatto sulla protezione dei dati è un processo inteso a garantire e dimostrare la conformità) previsto nelle linee guida in materia di valutazione d’impatto sulla protezione dei dati e determinazione della possibilità che il trattamento “possa presentare un rischio elevato” ai fini del regolamento (UE) 2016/679 pubblicate il 4 aprile 2017, da parte del WP 29, ci si pone, allora, un generale interrogativo: come analizzare e misurare l’elevato rischio dettato nell’art. 35, comma 1 del GDPR?, perché è a tutti noto che solo quando l’attività di trattamento comporta un rischio elevato scatta l’obbligatorietà di un processo di impact assessment, connotato, tra l’altro, quale primaria attività preventiva. E proprio in questa specificità che le linee guida tracciano, in primis, un concreto disegno nelle applicazioni operative, tant’è che all’interno delle stesse linee vengono determinate talune tipologie di attività distinte da diversi fattori di rischio, relativi, ad esempio, alla finalità, al contenuto, agli interessati o alle modalità del trattamento.

Con la parola rischio si sostanzia, e si prefigura, una situazione particolareggiata di un evento e le connesse conseguenze, misurate in termini di gravità e probabilità. Sappiamo, peraltro, come la gestione dei rischi (norma ISO 31000) sia definita come l’insieme coordinato delle attività finalizzate a guidare e monitorare un ente o organismo nei riguardi di tale rischio. Parlando di approccio basato sul rischio nel quadro giuridico della protezione dei dati, il sotteso riferimento ai diritti e alle libertà degli interessati va interpretato, in primo luogo, come connesso al diritto alla privacy, ma può riguardare anche altri diritti fondamentali, quali:

  • la libertà di espressione, di pensiero, di movimento, il divieto di discriminazioni, il diritto alla libertà di coscienza e di religione, etc.

Inoltre, qualora si preveda di effettuare un trattamento che possa presentare un rischio elevato, il titolare del trattamento deve:

  • scegliere una metodologia per la valutazione d’impatto sulla protezione dei dati (esempi riportati nell’allegato 1 doc. WP 29 4/4/2017) che soddisfi i criteri di cui all’allegato 2, oppure specificare ed attuare un processo sistematico di valutazione d’impatto sulla protezione dei dati che:
    1. sia conforme ai criteri di cui all’allegato 2 (doc. WP 29);
    2. sia integrata nei processi in materia di progettazione, sviluppo, cambiamento, rischio e riesame operativo in conformità con i processi, il contesto e la cultura interni;
    3. coinvolga le parti interessate appropriate e definisca chiaramente le loro responsabilità (titolare del trattamento, responsabile della protezione dei dati, interessati o loro rappresentanti, imprese, servizi tecnici, responsabili del trattamento, responsabile della sicurezza dei sistemi d’informazione, ecc.);
    4. fornire la relazione relativa alla valutazione d’impatto sulla protezione dei dati all’autorità di controllo, laddove gli venga richiesto di procedere in tal senso;
    5. consultare l’autorità di controllo, qualora il titolare del trattamento non sia riuscito a determinare misure sufficienti per attenuare i rischi elevati;
    6. riesaminare periodicamente la valutazione d’impatto sulla protezione dei dati e il trattamento che essa valuta, almeno quando si registra una variazione del rischio posto dal trattamento;
    7. documentare le decisioni prese (analisi delle misure di sicurezza).

Orbene, per ritornare agli argomenti tematici della safaty e security, trattati da questo magazine, possiamo dunque esemplificare quanto fin qui detto, in tema di compliance al GDPR, con un case study generico, ma decisamente significativo: le applicazioni innovative e combinate di particolari e differenti sistemi; difatti, implementando (risorse hardware e software) due diverse tecnologie per tipologia e funzionamento, come la biometria (impronte digitali) e le immagini facciali (geometria del volto) in un unico sistema, realizzeremo un potente impianto di controllo fisico degli accessi negli edifici: una integrazione così spinta diventa istantaneamente una soluzione tanto organizzativa, quanto di sicurezza. Parliamo di un vero e proprio sistema di sicurezza perimetrale integrato che disciplina e autorizza gli accessi, proteggendo gli ingressi da eventuali intrusi in ordine a problematiche tanto di security, quanto safety; per contro, tecnologie che raccolgono dati biometrici innescano, per la coppia responsabile titolare/DPO, una problematica in più avendo tale complessa integrazione, un particolare peso specifico sull’impatto del trattamento dei dati personali, e una certa rilevanza sulle adeguate misure di sicurezza (art. 32) in funzione dei rischi, quali ad esempio:

  1. la pseudonimizzazione e la cifratura dei dati personali;
  2. la capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento;
  3. la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico (security) o tecnico (disaster recovery);
  4. una procedura per testare (penetration test), verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.

Appare chiaro come in un simile contesto tecnologico, al di la di ogni ragionevole suggerimento contenuto nell’art. 35, e nei considerando a supporto, che per una attenta valutazione di impatto (privacy by default), una puntuale analisi del rischio e una ragionata progettazione (privacy by design) di idonee misure di sicurezza, sia necessario per il titolare dotarsi, quale supporto decisionale, di una figura professionale con spiccate competenze trasversali, e non certamente limitate alle semplici conoscenze giuridiche o tecniche che fossero. Il DPO (art. 37), o responsabile della protezione dei dati, rappresenta la figura principe, la vera struttura complementare per poter realizzare soluzioni compliance che facilitino il titolare nell’adottare e rendere operative in totale sicurezza, tutte quelle innovazioni tecnologiche dal forte impatto privacy, mettendolo al riparo dai rischi previsti dall’art. 32, in riferimento alle adeguate misure di sicurezza, e in primo luogo, rispetto al principio di accountability, delineato negli artt. 5 e 24 del nuovo Regolamento: quel titolare che non peserà bene queste scelte si esporrà certamente a pesanti sanzioni che potranno arrivare fino a 20 milioni di euro o al 4% del fatturato annuo.

Detto ciò, un DPO è sicuramente un esperto dal duplice ruolo, forse multiruolo: un supervisore interno fondamentale per dimostrare le conformità, le capacità di facilitatore, di comunicatore, sia verso i vertici aziendali (supporto e sorveglianza), sia verso l’esterno (punto di contatto con l’Autorità, con gli interessati). Tra l’altro, proprio la nuova normativa sulla Data Protection impone la prevenzione e la mitigazione dei rischi, come metodologia proattiva, significando da una parte la tutela dei diritti e le libertà degli interessati, e dall’altra, valutando preventivamente l’impatto che alcune scelte possano avere sull’immagine dell’organizzazione, e sulla stessa continuità operativa (piani e processi di BC & DR).

Entrando nel merito dei requisiti soggettivi, specificatamente al profilo dello status, va primariamente sottolineato come proprio il GDPR (art. 37, com. 5) non preveda nessun vincolo certificativo (come possibile garanzia sulla scelta operata dal titolare) per questa atipica professionalità. Un DPO tipo, potrebbe occupare idealmente una posizione dirigenziale e/o manageriale, letto l’obbligo normativo di supportare e riferire al vertice gerarchico (art. 38), una potenziale sicurezza per escludere ogni ingerenza nelle proprie attività da parte del titolare; dovrà essere dotato di adeguate risorse umane a supporto, della logistica e le attrezzature sufficienti per adempiere ai propri compiti, se dotato di adeguate risorse economiche, indubbiamente tarate alla complessità aziendale. Pur non essendo obbligatoria nessun tipo di certificazione personale, peraltro ribadita dalla stessa Autorità Garante, tuttavia una certificazione volontaria supportata da uno schema, da una norma tecnica, può rappresentare un valido indirizzo nelle scelte del titolare, e proprio sul merito delle competenze e conoscenze professionali del data protection officer.

A questo proposito, l’ente di normazione UNI (ente nazionale italiano di unificazione, associazione privata senza scopo di lucro), istituzionalmente riconosciuta ai sensi dell’art. 27 del Regolamento UE 2012/1025, che storicamente sviluppa e pubblica norme tecniche di carattere volontario in diversi settori, industriali, commerciali e del terziario, anche questa volta non si è fatta cogliere di sorpresa, pubblicando una norma di settore che prevede, appunto, l’istituzione di specifici profili professionali nel settore della Data Protection.

Nel novembre 2017 l’ente ha rilasciato una nuova norma di settore, la UNI 11697_2017: “Attività professionali non regolamentate -Profili professionali relativi al trattamento e alla protezione dei dati personali – Requisiti di conoscenza, abilità e competenza. Schema normativo finalizzato alla definizione dei requisiti relativi all’attività dei professionisti operanti nell’ambito del trattamento e della protezione dei dati personali, esercitata a diversi livelli organizzativi, tanto pubblico, quanto privato.

Nello specifico lo schema UNI definisce i profili professionali relativi al trattamento e alla protezione dei dati personali, coerentemente con il quadro europeo delle qualifiche ai livelli EQF, utilizzando gli strumenti messi a disposizione contenuti in altre diverse normative UNI, ovvero la 11506, la 11621, la 16234, etc.

Le nuove figure professionali delineate dalla nuova 11697 sono quattro, così identificate:

Il DPO (data protection officer), ovvero il responsabile della protezione dei dati, figura centrale e di supporto al titolare, o responsabile del trattamento, nell’applicazione e per l’osservanza del regolamento (UE) 2016/679 in conformità a quanto previsto nell’ art. 37; avrà il compito principale di garantire, in maniera indipendente, l’applicazione interna delle disposizioni contenute nel regolamento da parte del titolare del trattamento; deve (art. 38), inoltre, essere coinvolto dal titolare e/o dal responsabile del trattamento in tutte le questioni riguardanti la protezione dei dati personali. Una totale apertura nei confronti del DPO trova giustificazione nella necessità di rendere consapevole tale figura sulle finalità e sulle tipologie di trattamento, oltre che sulle misure di sicurezza implementate a loro garanzia. La totale conoscenza delle prassi aziendali pone il DPO in condizione di valutarne la compliance al regolamento, garantendo nel contempo una maggiore tutela del titolare e del responsabile. Altri sono i compiti del responsabile della protezione dei dati stabiliti nell’art. 39, quali:

  • informare e consigliare il titolare o il responsabile e gli incaricati del trattamento circa i loro obblighi ai sensi del regolamento e delle altre disposizioni, europee e statali, in materia di protezione dei dati;
  • fornire consulenza ove richiesto per quanto riguarda la valutazione d’impatto sulla protezione dei dati, la cd PIA (privacy impact assessment art.35) e monitorare i relativi adempimenti; i pareri espressi dal DPO andranno documentati, così come se il titolare decidesse di discostarsene è tenuto a darne motivazione;
  • cooperare con l’Autorità di controllo;
  • agire come punto di contatto per l’autorità di controllo (art. 36) su tutte le questioni relative al trattamento dei dati personali;
  • controllare il rispetto del regolamento, delle altre disposizioni relative alla protezione dei dati, e delle regole interne del titolare o del responsabile in materia di protezione dei dati personali, inclusi l’assegnazione delle responsabilità, la formazione del personale coinvolto nelle operazioni di trattamento, e i relativi programmi di audit.

Un secondo livello professionale è riservato al Manager Privacy, figura anche questa di garanzia con un altissimo livello di conoscenze, che assiste il titolare nelle attività di coordinamento di tutti i soggetti che all’interno dell’organizzazione sono coinvolti nel trattamento di dati personali (responsabili, incaricati, amministratori di sistema, etc.), garantendo il rispetto delle norme in materia di privacy e il mantenimento di un adeguato livello di misure organizzative, di sicurezza e protezione dei dati personali;

Il terzo livello professionale specificatamente di supporto è quello previsto dello Specialista Privacy, figura che deve essere appositamente formata; collabora a stretto contatto con il Manager Privacy, curando la corretta attuazione del trattamento dei dati personali all’interno dell’organizzazione, svolgendo le attività operative che, di volta in volta, si rendono necessarie durante tutto il ciclo di vita di un trattamento dati; una figura indispensabile all’interno delle grandi organizzazioni aziendali, articolate su più uffici, stabilimenti, e diversa collocazione territoriale, laddove, e soprattutto, ci siano le condizioni proprie per creare più uffici privacy, di protezione dei dati.

Il quarto livello previsto nella norma è quello del Valutatore Privacy, figura dotata di un profilo pertinente a conoscenze e competenze nei settori informatico, tecnologico e giuridico; questa figura si caratterizza per la sua terzietà nei confronti delle figure del Manager e dello Specialista Privacy; esplica tutte quelle attività di monitoraggio, audit, esaminando periodicamente il trattamento dei dati personali, valutandone il rispetto delle normative di settore emanate a livello nazionale e comunitario, applicando tutte le misure ritenute necessarie per l’eliminazione di eventuali non conformità ai vincoli normativi prescritti dal regolamento, in maniera del tutto indipendente da tutte le altre figure manageriali ed operative.

Per completare il processo di attuazione normativa, il 13 febbraio con la Circolare Tecnica n° 03/2018 (scaricabile dal sito) contenente le “Disposizioni in materia di certificazione e accreditamento per la conformità alla norma UNI 11697:2017 – Profili professionali relativi al trattamento e alla protezione dei dati personali” , ACCREDIA (ente italiano di accreditamento) comunicava a tutti gli organismi di certificazione (OdC) le nuove modalità di accreditamento per poter operare al rilascio delle certificazioni professionali di settore previste nel nuovo schema. Il 13 marzo scorso ho avuto l’onore di partecipare, in qualità di commissario esaminatore in coppia con il Dr Eric Falzone, alla prima sessione nazionale di esami UNI 11697, che ha visto coinvolti quattro professionisti candidati ai quattro diversi profili di certificazione. Una prima assoluta in fatto di applicazione operativa della circolare al primo OdC richiedente, svoltasi presso la sede romana di AJA Registrars Europe, alla presenza dello AD, del direttore della divisione competenze, del responsabile di divisione, dell’ente ACCREDIA nelle persone dell’ispettore titolare e dell’esperto legale a supporto, e da due osservatori ministeriali che hanno seguito l’intera fase del processo certificativo, valutando la consistenza del procedimento valutativo. Una seduta di esame che ha coinvolto emotivamente un po’ tutti, vista la complessità dell’esame, diviso (in funzione del profilo di certificazione richiesto) in una prova scritta tra le 35/40 domande e risposte multiple, e una ulteriore prova scritta di 2/3 casi di studio; la prova orale finale oscillava tra i 30/50 minuti minimi a testa. Ed è stata proprio questa la parte più interessante, soprattutto per noi esaminatori: un role play di 10 minuti circa, all’interno del quale il candidato simulava una procedura operativa su nostro specifico argomento; una rappresentazione quasi teatrale, dove il candidato interpretava il ruolo di attore, simulando la propria attività professionale in funzione di un accadimento che poteva verificarsi all’interno dell’azienda. Un’opportunità decisamente positiva, utile a riesaminare il comportamento emotivo e professionale del candidato, che ha ricevuto l’approvazione reale del team ispettivo e quello di osservazione, per le modalità in cui è stata applicata e condotta questa attività simulativa. Il processo valutativo nella sua interezza è complesso: la prova di suo richiede ai candidati una preparazione profonda e una certa multidisciplinarità (non comune) nelle competenze/conoscenze, ma questo è a tutti noto! La figura del DPO è complessa e trasversale, realtà oggettiva emersa in tutto il suo splendore durante la nostra sessione valutativa, momento altamente formativo, professionalmente, anche per noi commissari.

Sitografia consultata

A cura di: Giovanni Villarosa

Profilo Autore

Giovanni Villarosa, laureato in scienze della sicurezza e intelligence, senior security manager, con estensione al DM 269/2010, master STE-SDI in sistemi e tecnologie elettroniche per la sicurezza, difesa e intelligence.

Condividi sui Social Network:

Articoli simili