Siamo in dirittura di arrivo con l’entrata in vigore, anche in Italia, del fantomatico GDPR, ovvero il regolamento europeo per la gestione e protezione dei dati personali. E come ogni norma che atterra nelle nostre vite, professionali ma non solo, si porta dietro una discreta pletora di termini con cui ci tocca familiarizzare, oggi più che mai. Quanto meno per capire che implicazioni hanno e perché non dovremmo sottovalutarli.
Per toglierci da ogni imbarazzo abbiamo raggruppato i sei termini chiave che identificano le altrettante figure chiave disegnate dal GDPR, in questa maniera intendiamo anche fornire una sorta di mappa, o forse meglio, una check list delle figure che dobbiamo pensare di integrare nel nostro attuale processo di gestione dei dati in azienda.
1. Il (famoso) Titolare del trattamento
Questo è uno dei termini che abbiamo già sentito aleggiare nelle nostre informative sulla privacy che facciamo firmare ai nostri clienti oppure che (fino ad oggi) abbiamo chiesto di accettare implicitamente. Per dirla con la norma attuale (D.Lgs. 196/2003) si tratta de
«la persona fisica, giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo cui competono, anche unitamente ad altro titolare, le decisioni in ordine alle finalità, alle modalità del trattamento dei dati personali ed agli strumenti utilizzati, ivi compreso il profilo della sicurezza».
Nel nuovo contesto viene anche definito “Data Controller“.
2. Rappresentante Nazionale del Titolare straniero
Tale figura deve essere obbligatoriamente nominata dalle società che hanno loro sede in un paese extra UE e che trattino dati personali di interessati che si trovano nell’Unione.
Come previsto infatti dall’art. 3, paragrafo 2, infatti, il Regolamento si applica anche “al trattamento dei dati personali di interessati che si trovano nell’Unione, effettuato da un titolare del trattamento o da un responsabile del trattamento che non è stabilito nell’Unione, quando le attività di trattamento riguardano:
- l’offerta di beni o la prestazione di servizi ai suddetti interessati nell’Unione, indipendentemente dall’obbligatorietà di un pagamento dell’interessato; oppure
- il monitoraggio del loro comportamento nella misura in cui tale comportamento ha luogo all’interno dell’Unione”.
Queste condizioni non si applicano in tutti quei casi in cui il trattamento non riguarda veri e propri dati sensibili (preferenze sessuali, salute, orientamento religioso o politico, etc.).
LEGGI ANCHE:
VIDEOSORVEGLIANZA, LAVORO E PRIVACY, COSA DOVRESTI SAPERE
3. Il Responsabile del trattamento
È il cosiddetto “Data Processor“. Di nomina facoltativa, è incaricato dal titolare del trattamento, alle cui istruzioni deve attenersi, con compiti documentati e dettati in forma scritta. Di fatto si tratta della persona fisica o giuridica, interna o esterna all’azienda, che dovrà materialmente occupare della sicurezza e garanzia delle modalità di trattamento attraverso procedure tecniche, organizzative ma anche tecnologiche. Per questo dovrà avere competenze verificabili e costantemente aggiornate.
In merito al fatto che il Responsabile del trattamento possa essere interno o esterno all’azienda non vi sono vincoli particolari se non che, scegliendo la seconda soluzione, dovrà essere formalizzato contrattualmente l’incarico in modo specifico in quanto direttamente responsabile davanti alle autorità di controllo e alla magistratura. Il Responsabile del trattamento (esterno o interno all’azienda) ha sempre il potere di conferire incarichi e attività per attuare le disposizioni della norma, ad esempio, allo studio legale incaricato o al marketing, ma la responsabilità rimane diretta e personale.
Nel caso di reti di imprese una di queste può essere nominata dalla capo gruppo Responsabile del trattamento dell’intera della rete.
4. L’Incaricato del trattamento
È la persona fisica (ad esempio un dipendente) autorizzata a compiere il trattamento da parte del Titolare o del Responsabile.
La sua nomina è obbligatoria e la designazione deve essere espressa e specifica, per iscritto. Per dirla in parole ancora più semplici: non possiamo incaricare verbalmente un nostro dipendente di occuparsi anche di questa “rogna”. Dobbiamo infatti formalizzare un nuovo incarico specifico, scritto e condiviso.
5. L’Amministratore di sistema (A.d.s.)
È una figura specializzata, nominata dal Titolare del trattamento, dedicata alla gestione e manutenzione di impianti di elaborazione con cui vengono effettuati trattamenti di dati personali.
Devono considerarsi Amministratori di sistema, ad esempio, anche coloro che svolgono attività di system, web, network, security, database, server administrator, etc.
L’attribuzione delle funzioni di A.d.s. deve avvenire previa valutazione dell’esperienza, delle capacità e dall’affidabilità del soggetto designato. Per essere chiari: non può essere “il ragazzo dei computer”, ma deve essere un tecnico qualificato nella gestione delle risorse informatiche che coinvolgono il trattamento e la conservazione dei dati.
Per questo il Titolare dovrà predisporre un documento interno che riporti
- l’identificativo e le funzioni dell’A.d.s.;
- le procedure di controllo sull’operato dell’A.d.s.;
- le modalità di registrazione degli accessi ai sistemi, che dovranno essere tracciate e conservate per 6 mesi.
Va detto che il regolamento non è particolarmente generoso di definizioni su questa figura, a discapito delle grandi professionalità che esistono attorno al tema della cyber security. Una piccola occasione persa, forse, per meglio strutturare una professione che, ad oggi, rimane all’ombra di altre competenze mentre, in realtà, è di grande valenza strategica per le aziende di ogni dimensione.
6. Data Protection Officer (D.P.O.)
Di nomina obbligatoria solo per i soggetti pubblici e per i soggetti privati che svolgano attività che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala o qualora siano trattatati principalmente dati sensibili su larga scala.
È il soggetto dotato di appropriate competenze, che informa e consiglia il Titolare in merito agli obblighi derivanti dal GDPR; verifica l’attuazione di tutta la disciplina privacy; partecipa alle valutazioni di impatto del rischio privacy; interagisce con l’Autorità Garante.
Ove nominato, nell’organigramma aziendale dovrebbe essere collocato immediatamente al di sotto del C.d.a. a sottolineare il ruolo e il peso nell’ambito di una strategia ad ampio raggio in materia di dati e Governance.
Sei più uno, e più importante di tutti.
Si, perché, per dirla tutta, un ulteriore termine chiave dovrebbe capeggiare all’interno di questa lista. Colui a cui tutto si riconduce e si riferisce: l’interessato. Ovvero, la persona fisica cui si riferiscono i dati personali, il destinatario delle tutele offerte dalla normativa in esame.
Perché, al di là di tutti i tecnicismi, non dimentichiamo che tutto questo processo ha come scopo la protezione dei mei e dei tuoi dati personali, quelli che ci caratterizzano, che ci definiscono, quelli che permettono, a chiunque li abbia in mano, di tracciare il nostro profilo, le nostre abitudini e i nostri interessi. Informazioni che, lo ricordiamo sempre, è nostra facoltà condividere, ma è dovere di chi le riceve proteggerle.
