GDPR: Ruoli vecchi e nuovi

L’articolo 37 del GDPR ha introdotto la figura del Responsabile della protezione dei dati. Molto si è già scritto e detto in proposito, dimenticando che Isabelle Falque Pierrotin (presidente del Cnil e del WP29) ha dichiarato: "... we believe the DPO is key levy of this compliance scheme; he/she is the “Chef d’Orchestre” of the tool box. The WP29 wants to support this function and will deliver guidelines in 2016..."

Senza la disponibilità delle specifiche linee guida è quindi un pò prematuro prendere una posizione su questo tema.

Anche i soggetti che dovranno obbligatoriamente designare tale figura non sono ben definiti, a parte le Pubbliche Amministrazioni, per le quali tale designazione è inequivocabile:

1.Il titolare del trattamento e il responsabile del trattamento designano sistematicamente un responsabile della protezione dei dati ogniqualvolta:
a) il trattamento è effettuato da un'autorità pubblica o da un organismo pubblico, eccettuate le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali;

Al momento, infatti, l’ambito privato lascia ancora ampio spazio alla interpretazione. Il testo di legge recita infatti che fra soggetti obbligati a tale adempimento vi sono quelli per cui:

b) le attività principali del titolare del trattamento o del responsabile del trattamento consistono in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala…

e

c) le attività principali del titolare del trattamento o del responsabile del trattamento consistono nel trattamento, su larga scala, di categorie particolari di dati personali di cui all'articolo 9 o di dati relativi a condanne penali e a reati di cui all'articolo 10.

Il GDPR definisce in qualche misura i termini evidenziati. Il considerando 97 recita infatti:

"Nel settore privato le attività principali del titolare del trattamento riguardano le sue attività primarie ed esulano dal trattamento dei dati personali come attività accessoria."

ed il considerando 91 recita:

"Ciò dovrebbe applicarsi in particolare ai trattamenti su larga scala, che mirano al trattamento di una notevole quantità di dati personali a livello regionale, nazionale o sovranazionale e che potrebbero incidere su un vasto numero di interessati e che potenzialmente presentano un rischio elevato, ad esempio, data la loro sensibilità, laddove, in conformità con il grado di conoscenze tecnologiche raggiunto, si utilizzi una nuova tecnologia su larga scala, nonché ad altri trattamenti che presentano un rischio elevato per i diritti e le libertà degli interessati, specialmente qualora tali trattamenti rendano più difficoltoso, per gli interessati, l'esercizio dei propri diritti."

Ora, in particolare per il punto b), risulta molto difficile ipotizzare quali siano i Titolari o Responsabili che abbiano una attività principale che comporti un monitoraggio regolare e sistematico degli interessati, ma questo è uno dei requisiti richiesti per rendere obbligatoria la presenza di un DPO. Non è infatti sufficiente, come molti semplificando sostengono, un trattamento su larga scala.

Va da sé quindi che non basta essere una grande azienda o una banca per dover designare un DPO, ma è necessario valutare che le due condizioni evidenziate siano entrambe presenti.

Lo stesso vale per il punto c), dove è sicuramente molto più puntuale la possibilità di trattare dati sensibili o giudiziari, ad esempio da parte di strutture sanitarie o  laboratori di analisi, ma dove anche in questo caso deve essere necessario un trattamento su larga scala per imporre la necessità di un DPO. Il che porta ad escludere ad esempio un semplice studio dentistico o un professionista della sanità.

Per contro, la necessità di dimostrare la propria conformità al Regolamento, che non è basato su regole certe, ma su una compliance dinamica ( with the regulation, we go from static to dynamic compliance, dice Isabelle Falque Pierrotin) consiglia fortemente organizzazioni di un certa dimensione e complessità a dotarsi di un DPO.

Il Responsabile del trattamento

Figura già prevista dall’attuale normativa, sia come persona fisica, sia come persona giuridica, sia come soggetto interno, sia come soggetto esterno all’organizzazione, il Responsabile di trattamento è oggi una figura, teoricamente facoltativa, presente in quasi tutti gli organigrammi privacy.

Rispetto alla situazione attuale, nella quale il Responsabile difficilmente è soggetto a sanzioni (in particolare di natura amministrativa), il GDPR attribuisce a tale soggetto una reale corresponsabilità con il Titolare, compresa la possibilità di subire le pesantissime sanzioni (20 milioni di euro o 4% del fatturato annuo mondiale, se superiore) dallo stesso introdotte.

Questo porterà da un lato ad una rinegoziazione contrattuale da parte dei responsabili esterni (outsourcer e fornitori) che in seguito all’aumentato rischio sanzionatorio rivedranno i loro compensi, e dall’altra ad una dismissione in massa di tale ruolo da parte dei responsabili interni, che ben difficilmente vorranno mantenere la propri carica.

È infatti del tutto improbabile che la prospettiva di una sanzione milionaria possa convincere anche un dirigente ben pagato a ricoprire un ruolo che oltretutto potrebbe essere altrimenti gestito.

Nulla tuttavia vieta al Titolare di dare specifici incarichi e responsabilità differenziate ai vari soggetti che per suo conto trattano dati personali, costruendo così un proprio organigramma privacy senza la necessità di formalizzare un ruolo diventato alquanto scomodo e pericoloso.

La figura del Responsabile interno è quindi probabilmente destinata a scomparire, sostituita da soluzioni più in linea con il nuovo GDPR.

Leggete attentamente il testo normativo

Chiudo con un consiglio che dò sempre all’inizio delle mie presentazioni: leggete attentamente il testo normativo, evitando di basarvi solo sulle interpretazioni e le sintesi dei troppi esperti privacy che in questo momento riempiono le sale.