Una nuova guida del CNIL sul DPO mira a fornire indicazioni utili all’istituzione e al funzionamento del Responsabile della protezione dei dati personali.
Lo scorso 15 marzo, la Commission nationale de l’informatique et des libertés (“CNIL”) ha pubblicato una guida per i responsabili della protezione dei dati (RPD o DPO), la quale si pone il duplice obiettivo di fornire conoscenze utili e di rivelare le best practies al fine di assistere sia le organizzazioni nell’istituzione della funzione del responsabile della protezione dei dati, sia i responsabili della protezione dei dati nell’esercizio dei loro compiti1.
Ogni tema è illustrato da casi concreti e risposte a domande sull’argomento. Inoltre vengono messi a disposizione del lettore dei modelli pratici.
In particolare, la guida è suddivisa in 4 capitoli:
-
Il ruolo del DPO;
-
Designare il DPO;
-
L’esercizio dei compiti del DPO;
-
Supporto della CNIL per il DPO.
IL RUOLO DEL DPO
Innanzitutto, è opportuno ricordare come l’art. 37 del Regolamento UE 679/2016 ha previsto una figura importante nel modello privacy, quella del responsabile della protezione dei dati, anche denominato «DPO» (dall’inglese Data Protection Officer), con i seguenti compiti:
-
Informare e fornire consulenza al titolare e ai suoi dipendenti in merito agli obblighi derivanti dalle norme sulla protezione dei dati;
-
Sorvegliare l’osservanza delle norme sulla protezione dei dati, nonché delle politiche del titolare in tale materia;
-
Cooperare con l’Autorità Garante e fungere da punto di contatto per il Garante per questioni connesse al trattamento.
L’autorità francese ha fornito diversi consigli pratici, anche attraverso l’utilizzo di Focus illustrativi, per tutte le funzioni sopra elencate.
Per quanto riguarda la missione di informare e fornire consulenza, ai fini di garantire la conformità al GDPR, è possibile organizzare in anticipo gli interventi del DPO all’interno dell’organizzazione, i passi potrebbero essere i seguenti:
-formalizzare i casi di consultazione del DPO;
-prevedere una procedura interna in caso di audit della CNIL a causa di violazione dei dati personali;
-pianificare modelli di risposta alle richieste esterne;
-mantenere contatti regolari con il personale operativo che tratta i dati personali.
-identificare i dipartimenti pertinenti per le attività regolari e le procedure di formazione.
-Per quanto riguarda la funzione di monitoraggio, i controlli, ad esempio, potrebbero articolarsi in:
-verifiche dell’esattezza delle informazioni contenute nel registro delle operazioni di trattamento attuate dall’organizzazione;
-verifiche delle conformità dei trattamenti più sensibili, in base alle valutazioni d’impatto effettuate;
-verifiche circa l’efficacia delle misure tecniche e organizzative di protezione dei dati che l’organizzazione si è impegnata ad attuare.
Per quanto riguarda la funzione di cooperazione con l’autorità di controllo, il DPO, da una parte, svolge un ruolo di “facilitatore” durante i confronti con la CNIL, dall’altra è anche il punto di contatto per gli interessati. In questo nuovo assetto designato dal GDPR, l’Autorità francese nell’evidenziare come la documentazione giochi un ruolo essenziale – anche in vista del nuovo principio di accountability – al fine permettere al titolare o al responsabile di dimostrare il rispetto degli obblighi e delle misure adottate, ha suggerito:
-di inserire nella dichiarazione di missione del DPO che la tenuta del registro costituisce uno dei suoi compiti;
-di utilizzare un modello di record semplificato indicato sul suo sito, in forma di foglio elettronico, in formato aperto, che può essere adattato a molti casi di trattamento di dati.
DESIGNARE IL DPO
La designazione del DPO è imposta dalla normativa europea nel caso in cui il trattamento sia effettuato da:
-
autorità o organizzazioni pubbliche;
-
organizzazioni i cui trattamenti richiedano di realizzare un monitoraggio regolare e sistematico degli individui su larga scala;
-
organizzazioni che attraverso le loro attività principali procedano al trattamento di dati sensibili su larga scala o dati relativi a condanne penali e reati.
Tuttavia, anche al di fuori di questi tre casi tassativi, l’Autorità raccomanda la designazione di un DPO:
-non appena un’organizzazione incontra problemi relativi alla protezione dei dati personali;
-quando un’organizzazione privata venga incaricata di svolgere un servizio pubblico, nonostante mantenga lo status di diritto privato.
In aggiunta, le linee guida hanno fornito alcuni esempi riguardo all’interpretazione del concetto di “larga scala”, non esistendo una soglia applicabile a tutte le situazioni e rendendosi necessaria un’analisi caso per caso. L’Autorità ha affermato che costituiscono trattamento su larga scala:
-
il trattamento dei dati dei pazienti da parte di un ospedale come parte del normale corso della sua attività;
-
elaborazione dei dati di viaggio dei passeggeri che utilizzano il trasporto pubblico urbano (tracciati dai biglietti, per esempio);
-
il trattamento dei dati di geolocalizzazione in tempo reale dei clienti di una catena internazionale di fast food a fini statistici da parte di un elaboratore di dati specializzato nella fornitura di tali servizi;
-
il trattamento dei dati dei clienti da parte di una compagnia di assicurazioni o di una banca come parte del normale corso della sua attività;
-
il trattamento di dati personali da parte di un motore di ricerca per scopi pubblicitari mirati;
-
il trattamento dei dati (contenuto, traffico, ubicazione) da parte dei fornitori di servizi telefonici o Internet.
Non costituisce trattamento su larga scala:
-
il trattamento dei dati dei pazienti da parte di un medico locale che lavora su base individuale se la popolazione dei pazienti è inferiore a 10.000 persone all’anno;
-
il trattamento dei dati personali relativi a condanne penali e reati da parte di un singolo avvocato.
Nello schema informativo dedicato al tema di chi può essere nominato DPO, si affrontano le questioni riguardo alle competenze ed all’assenza di conflitto di interessi del DPO.
Ammesso che non esiste un profilo tipico della figura del responsabile della protezione dei dati, le competenze vengono così riassunte dall’Autorità:
-
Competenza giuridica e tecnica sulla protezione dei dati;
-
Conoscenza della linea di business, delle normative di settore e dell’organizzazione della struttura per la quale sono designati;
-
Una comprensione delle operazioni di trattamento, dei sistemi IT e delle esigenze di protezione e sicurezza dei dati dell’organizzazione;
-
Per un’autorità pubblica o un ente pubblico, una buona conoscenza delle norme e delle procedure applicabili.
Per quanto riguarda l’assenza di conflitti di interesse, si sostiene come il DPO pur potendo svolgere altri compiti all’interno dell’organizzazione, tuttavia non dovrebbe avere potere decisionale sulla determinazione delle finalità e dei mezzi del trattamento. Anche in questo caso la presenza di un conflitto di interessi viene valutata tenendo conto del caso specifico.
In ogni caso si suggerisce di documentare la scelta del DPO, in quanto l’organizzazione deve essere in grado di dimostrare che il responsabile della protezione dei dati soddisfa i requisiti richiesti dalla normativa (conoscenze, competenze, assenza conflitto di interessi, ecc.).
Nella scheda tecnica relativa alla scelta tra DPO interno ed esterno, oltre ad affermare la discrezionalità della scelta in base all’ente e al contesto di riferimento, ha elencato una serie di vantaggi e punti critici.
Segnatamente, per il DPO interno, i vantaggi potrebbero essere:
-
conoscenza dell’organizzazione della struttura, dei servizi e della linea di business;
-
vicinanza ai contatti interni;
-
migliore reattività in caso di sollecitazioni interne su temi legati alla protezione dei dati;
-
Maggiore facilità nel pianificare la loro presenza in caso di un audit della CNIL
I punti critici:
-
rischio di conflitto di interessi se il DPO svolge altri compiti;
-
assegnazione di tempo sufficiente al RPD;
-
posizionamento gerarchico adeguato;
-
un piano di formazione adattato al profilo dell’RPD deve essere preparato.
Per il DPO esterno, i vantaggi:
-
soluzione alla mancanza di risorse umane interne;
-
utilizzare l’esperienza e gli strumenti sviluppati dal DPO esterno;
-
specializzazione del DPO in un settore;
-
conoscenza delle migliori pratiche per organizzazioni simili;
I punti critici:
-
organizzazione di punti di scambio e contatti regolari contatti con il più alto livello di management, così come con i team aziendali per mantenere la vicinanza;
-
rendere il contatto con il DPO esterno altrettanto sistematico semplice e facile come contattare un individuo interno;
-
la difficoltà di scegliere un fornitore e garantire la loro competenza.
Che si tratti di un DPO interno o esterno, un DPO può essere condiviso, cioè designato per più entità. Nominare un DPO condiviso è possibile a certe condizioni che variano a seconda del tipo di struttura: per il settore privato, un gruppo di aziende situate in diversi Stati membri dell’UE può designare un unico RPD, a condizione che siano facilmente raggiungibili da ogni luogo di stabilimento e che venga messa in atto un’organizzazione adeguata; per il settore pubblico, la funzione condivisa tra diverse entità, dovrà essere valutata alla stregua della loro struttura organizzativa e delle loro dimensioni.
SVOLGERE LA FUNZIONE DI DPO
Nel schema informativo riguardante le risorse che dovrebbero essere assegnate al DPO, si sostiene come un RPD debba essere in possesso delle risorse necessarie allo scopo di poter svolgere i suoi compiti, come: tempo sufficiente affinché il DPO possa svolgere i suoi compiti; un sostegno adeguato in termini di risorse finanziarie e di infrastrutture; a seconda delle dimensioni e della struttura dell’organizzazione, potrebbe essere opportuno formare un team intorno al DPO, ecc. Ovviamente le risorse devono essere adattate in base alla struttura ed all’attività dell’ente, di conseguenza maggiore sarà la complessità delle operazioni, tanto più dovrebbero essere le risorse assegnate al DPO.
Nell’ultimo foglio informativo, si sottolinea l’importanza per un DPO di svolgere le sue funzioni con un sufficiente grado di autonomia e indipendenza rispetto all’organizzazione che lo designa.
Indipendenza che può essere così sintetizzata:
-
Non deve ricevere istruzioni sull’esecuzione delle sue funzioni, ad esempio su come trattare con un interessato, su come indagare su un reclamo, sui risultati da portare ad un audit interno o anche sull’opportunità di consultare l’autorità di controllo. Allo stesso modo, il DPO non può essere obbligato di adottare un certo punto di vista su una questione relativa alla legge sulla protezione dei dati, come una particolare interpretazione della legge.
-
Non può essere soggetto a una sanzione o ad un licenziamento per l’esercizio delle sue funzioni, per esempio se il DPO consiglia al responsabile del trattamento di effettuare una valutazione d’impatto e quest’ultimo non è d’accordo, o registra un’analisi giuridica o tecnica che contrasta con quella adottata dal responsabile del trattamento. Si noti, tuttavia, che le funzioni del DPO possono essere interrotte per motivi che rientrano nel diritto del lavoro (come: furto, molestie, altri gravi comportamenti scorretti).
-
Riferisce direttamente ai più alti livelli della direzione dell’organizzazione, in modo tale che quest’ultimi siano consapevoli delle opinioni e delle raccomandazioni del DPO. Pertanto, la CNIL raccomanda che l’RPD rediga e presenti ai più alti livelli dell’organizzazione un rapporto regolare (ad esempio, annuale) sulle sue attività. L’RPD deve anche essere in grado di parlare direttamente al più alto livello su una questione specifica se lo ritiene necessario.
SUPPORTO DELLA CNIL PER IL DPO
La CNIL supporta i DPO fornendo loro vari strumenti, i quali si articolano in strumenti per la formazione, strumenti per fornire risposte e strumenti per la conformità.
Per quanto riguarda gli strumenti per la formazione: l’autorità francese ha predisposto un sito web www.cnil.fr, costantemente aggiornato, nel quale si possono reperire molte informazioni riguardo a procedure, temi, tecnologie, testi ufficiali. Inoltre, attraverso la pubblicazione di comunicati stampa e di notizie si persegue l’obiettivo di mantenere continuamente aggiornati i DPO sulle ultime novità; in aggiunta, sono state avviate altre iniziative sia nei confronti DPO, come ad esempio dei Workshop, i quali consentono a tutti i professionisti di approfondire la loro formazione su di una specifica area tematica; sia nei confronti dei cittadini, attraverso eventi di formazione online, aperta a tutti, con lo scopo di diffondere una vera e propria cultura della consapevolezza dei diritti degli interessati, oltre che degli obblighi dei titolari.
Relativamente agli strumenti per fornire delle risposte utili: è stata creata una linea dedicata e diretta riservata a tutti i responsabili del trattamento. Viene, inoltre, incentivata la partecipazione a gruppi e reti professionali di formazione e informazione dei DPO, in quanto sono ritenute delle fonti utilissime al fine di poter reperire delle risposte alle domande e alle questioni concrete sorte sul campo.
In ultima analisi, per quanto concerne gli strumenti per la conformità, la CNIL ha allestito un modello di registrazione semplificato, il quale risulta essenziale per il controllo di conformità; per realizzare la valutazione d’impatto sulla protezione dei dati è stato creato uno strumento PIA pronto all’uso che permette di eseguire una DPIA dall’inizio alla fine. In aggiunta, alla pagina “DPO: da dove cominciare?”2 viene offerto un piano di lavoro che permette di procedere metodicamente per aiutare le organizzazioni ad adempiere ai loro obblighi.
Infine, allo scopo di sostenere le organizzazioni nell’identificazione del profilo appropriato, la CNIL ha istituito una procedura per la certificazione delle competenze del DPO basata su un di sistema di riferimento sviluppato dalla CNIL. Le certificazioni sono rilasciate da organizzazioni certificate approvate dalla CNIL ed è possibile reperire un elenco di tali organizzazioni sul sito dell’Autorità francese.
Domenico Talarico
1 https://www.cnil.fr/en/cnil-publishes-guide-dpos
2 https://www.cnil.fr/en/node/24124
