Nell’ultima versione del Regolamento Europeo, la figura del Responsabile della Protezione dei dati personali (DPO) non è obbligatoria per i Titolari, ma è un’opzione.
Il DPO è obbligatorio per tutte le organizzazioni dell’Unione Europea (Agenzie comprese).
L’ultima versione del Regolamento prevede la certificazione come opzione. Un’organizzazione che intende certificarsi dovrebbe nominare un project manager per seguire il progetto per ottenere e mantenere la certificazione.
Molte delle certificazioni (per esempio la ISO 9001) richiedono una qualche forma di audit interno e normalmente questo compito è assegnato al project manager per la certificazione (Quality Assurance Manager nell’esempio).
Il rispetto delle leggi e del regolamento è uno dei compiti normalmente assegnato all’Internal Audit (vedi https://it.wikipedia.org/wiki/Internal_auditing) e l’indipendenza e l’obiettività sono pietre miliari degli standard professionali applicabili.
Secondo lo “Enterprise Risk Management Framework” di COSO, i rischi di compliance dovrebbero essere gestiti nel quadro della Gestione dei Rischi con un approccio olistico.
Pertanto il rispetto della Privacy dovrebbe essere affrontata con un approccio basato sulla gestione del rischio e più precisamente accanto ai rischi della Sicurezza Informativa. Infatti il punto 18.1.4 “Privacy and protection of personally identifiable information” parla esplicitamente di Privacy.
Quindi si può riassumere che nella maggior parte dei casi il responsabile della certificazione della Privacy (chiamiamolo il Privacy Assurance Manager) dovrebbe essere collocato come ruolo organizzativo all’interno dell’internal audit e molto vicino al Responsabile della Sicurezza Informativa.
Il Regolamento 45/2001 della comunità Europea nella Sezione 8 (articolo 24) prescrive che “Ogni istituzione ed organismo della Comunità nomina almeno un responsabile della protezione dei dati personali“ per garantire il rispetto del Regolamento stesso in stretta collaborazione con il Garante Europeo per la Protezione dei dati personali. Quest’ultima figura è prevista come un’autorità indipendente dal Regolamento 45/2001 al Capo V (art. 41) con poteri vicini a quelli dei Garanti Privacy nazionali. Infatti queste ultime sono istituite dal Capo VI (art.28) della Direttiva Privacy “Ogni Stato membro dispone che una o più autorità pubbliche siano incaricate di sorvegliare, nel suo territorio, l’applicazione delle disposizioni di attuazione della presente direttiva, adottate dagli Stati membri”.
Non essendo la direttiva di per se non strettamente applicabile agli organi della Comunità Europea, essa stessa ha provveduto a individuarne uno.
Il regolamento 45/2001, sempre all’articolo 24 specifica le caratteristiche personali del Responsabile della Protezione dei dati (DPO), il suo ruolo organizzativo, la sua indipendenza, i suoi doveri e i suoi rapporti con il Garante Europeo (EDPS).
Il Garante Europeo ha promosso la stesura di un documento che precisa l’indipendenza e i doveri dei DPO dei diversi organismi e lo ha pubblicato sul suo sito.
Penso che molti dei contenuti di questo documento si possano applicare alla figura del DPO di altre entità: le conoscenze e capacità si possono applicare a tutte le organizzazioni, mentre le relazioni con il Garante Europeo, o più generalmente con i Garanti degli stati membri si può concretamente applicare solo a entità pubbliche quali i ministeri, le regioni e le agenzie pubbliche.
Un cittadino può facilmente cambiare uno dei suoi fornitori di servizi se non è contento di come quello scelto gestisce la Privacy, ma per cambiare regione devi emigrare. Quindi queste entità senza una logica di profitto devono tutelare maggiormente i cittadini e, in tali contesti la possibilità del DPO di ricorrere al Garante per segnalare cattive condotte dell’organizzazione di appartenenza, ha più senso.
Le aziende di mercato possono fallire a causa di pesanti multe e della cattiva immagine aziendale dei clienti e quindi un DPO deve pensarci 2 volte prima di rivelare alle autorità le cattive condotte aziendali.
L’articolo 22 del nuovo regolamento Privacy ha diverse formulazioni nelle sue versioni (Commissione, Parlamento, Consiglio) ma tutte prevedono che almeno in alcuni casi il Titolare debba adottare politiche ed approntare procedure per assicurare e poter dimostrare che il trattamento sia svolto secondo i dettami del Regolamento.
La norma italiana di recepimento dell’attuale direttiva (il Dlgs. 196/2003) all’art. 15 richiede il pagamento dei danni all’interessato con le modalità dell’art. 2050 del codice civile, la cosiddetta prova diabolica, dimostrando quindi in tribunale che esso abbia fatto ogni ragionevole sforzo per evitare il danno.
Penso che la certificazione sia la migliore (e forse l’unica) soluzione per obbedire all’art. 22 del nuovo Regolamento e il DPO (o un ruolo organizzativo molto simile) sia la via migliore per conseguire detta certificazione.
Quindi concludo esponendo il mio punto di vista sul ruolo del DPO e della relativa indipendenza:
- La certificazione Privacy è un’opzione che presenta il vantaggio di soddisfare quanto previsto dall’art. 22 (prova di compliance)
- Il DPO è una fonte di informazione e conoscenza sulle tematiche di Privacy
- Il DPO può essere visto come un internal auditor sulla Privacy richiesto da ogni progetto credibile di Certificazione Privacy
- Il DPO deve essere indipendente e lavorare dentro e/o in stretta cooperazione con le funzioni aziendali di Internal Audit e Sicurezza Informativa
- I DPO delle entità del gruppo deve riportare funzionalmente al DPO della capogruppo
- Il DPO di un ente pubblico dovrebbe essere libero di interagire con il Garante