ORGANISMI DI CONTROLLO E RUOLI PRIVACY

di | 9 January 2017

La figura del DPO come è noto ha fra i suoi compiti (art. 39 1b) quello di

sorvegliare l’osservanza del presente regolamento, di altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati nonché delle politiche del titolare del trattamento o del responsabile del trattamento in materia di protezione dei dati personali, compresi l’attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo;

ed inoltre, in base all’articolo 38 comma 3:

Il titolare del trattamento e il responsabile del trattamento si assicurano che il responsabile della protezione dei dati non riceva alcuna istruzione per quanto riguarda l’esecuzione di tali compiti.

In tale contesto quindi, il DPO decide in autonomia in merito ai trattamenti che riguardano il suo specifico compito, analogamente a quanto fa un Titolare di trattamento, come meglio indicato nell’articolo 4 del GDPR:

«titolare del trattamento»: la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali; quando le finalità e i mezzi di tale trattamento sono determinati dal diritto dell’Unione o degli Stati membri, il titolare del trattamento o i criteri specifici applicabili alla sua designazione possono essere stabiliti dal diritto dell’Unione o degli Stati membri;

Tale caratteristica non è tipica solo del DPO, che essendo una ben definita figura prevista dal GDPR non si configura come Titolare, pur avendone in parte le caratteristiche, ma si ritrova analogamente in altri organismi di controllo presenti già oggi in numerose organizzazioni italiane in quanto previsti da altre normative.

Mi riferisco in particolare agli OdV istituiti in base alla legge 231/01 ed ai collegi sindacali. Il compito di tali organismi è, semplificando, quello di vigilare sull’operato di una specifica organizzazione e nello svolgere tale compito sono completamente autonomi, determinano cioè finalità e i mezzi del trattamento.

In altre parole tali organismi si configurano come Titolari distinti ed autonomi rispetto all’organizzazione sulla quale sono tenuti a vigliare.

Quello che è interessante osservare è che nella pratica la coscienza di svolgere tale ruolo da parte di questi organismi non è molto diffusa.

Un comportamento questo che può esporre al rischio di sanzioni con l’attuale normativa, ed è ancor più rischioso, visto i livelli delle sanzioni previste, con il GDPR.

Sul piano pratico la gestione degli adempimenti privacy da parte di tali organismi presenta non poche difficoltà; ad esempio la titolarità del trattamento è da intendersi riservata all’organismo nel suo complesso o deve essere considerata una contitolarità da parte di tutti i membri dell’organismo (un po’ come avviene per i condomini)?

Devono rilasciare autonome informative o è sufficiente adeguare le informative dell’organizzazione di cui si occupano nel loro mandato?

Come vanno regolati i rapporti fra questi organismi e le strutture, non sempre appartenenti all’organizzazione sottoposta alla loro vigilanza, che forniscono loro supporti operativo, informatico, logistico…

Si consideri ad esempio il caso in cui tutti o parte di tali servizi siano forniti da fornitori o outsourcer interni o esterni ad un gruppo, eventualmente designati responsabili dall’organizzazione titolare.

Come regolare dal punto di vista privacy i rapporti?

C’è molto da fare e da implementare da qui al maggio del 2018 e nessuno (salvo che sia espressamente fuori dall’ ambito di applicazione del GDPR), è esonerato dal rispetto di quanto richiesto dal GDPR per il solo ruolo che riveste, fosse anche quello di semplice vigilanza.

Categoria: Data Protection Officer Legal framework

Informazioni su Giancarlo Butti

Deals with ICT, organization and legislation since the early 80s covering different roles: security manager, project manager, auditor at banking groups, consultant in security and privacy to companies of different sectors and sizes. Performs regular activity of dissemination through articles (over 700), books (21 between books and white papers also used as university texts, 11 collective works within the ABI LAB, Oracle Community for Security and CLUSIT), technical manuals, courses, seminars, conferences… participates in working groups to ABI LAB on Business Continuity, Risk and GDPR, ISACA-AIEA on GDPR and 263, Oracle Community for Security, UNINFO, ASSOGESTIONI and the Committee of experts for the innovation of OMAT360. He is a member of the faculty of ABI Training. He is a partner and proboviro of ISACA-AIEA Member of CLUSIT and BCI. He is certified (LA BS7799), (LA ISO IEC 27001:2013), CRISC, ISM, DPO, CBCI, AMBCI.

Lascia un commento

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.