Protezione dati personali: tutte le FAQ

A seguito del ciclo di webinar sulla Protezione dei Dati Personali, ecco una serie di FAQ curate dalla relatrice Paola Generali.

Primo webinar: Il DPO ed il Responsabile del Trattamento

Il DPO può essere nominato a livello regionale/divisionale (europeo)? E' consentita la nomina di un unico DPO per più autorità pubbliche o per un gruppo imprenditoriale. Ciò a condizione che il DPO sia facilmente raggiungibile dalle autorità nazionali e dai soggetti intressati e sia in grado di svolgere i suoi compiti in relazione alle dimensioni e alla realtà del gruppo.
Il Responsabile del trattamento, figura esistente da tempo, che relazione ha con il DPO? Il Responsabile del trattamento avrà l'onere di informare e coinvolgere il DPO quanto prima possibile in ogni questione attinente la
protezione dei dati. Dovrà considerare sempre il parere del DPO e consultarlo qualora si verifichi una violazione dei dati o un altro incidente.
Un conservatore di documenti digitali deve avere il DPO? La nomina del DPO è prevista anche nel caso in cui l'attività principale consista nel trattamento su larga scala di categorie particolari di dati (ex dati sensibili) o di dati personali relativi a condanne penali e reati. Se il numero di documenti digitali conservati contenenti tali tipologie di dati, nonché il numero di soggetti interessati coinvolti, sono da considerare su "larga scala" allora è obbligatoria la nomina di un DPO.
Per il Responsabile del trattamento quando scatta l'obbligo del DPO  per esempio un consulente del lavoro, commercialista, società di gestione dei sistemi informatici che effettua consulenza per Ente Pubblico)? L'obbligo di nomina di un DPO da parte di un Responsabile del trattamento scatta in egual misura e per le medesime condizioni previste per un Titolare. In taluni casi è possibile che il Titolare non sia tenuto alla nomina, mentre il Responsabile sì, se il trattamento è su larga scala e rientra nelle casistiche previste.
Il commercialista ed il consulente devono avere il DPO? Solo se il commercialista o il consulente del lavoro in questione tratta dati particolari per conto di molte aziende di grandi dimensioni e, pertanto, il trattamento può considerarsi su larga scala, è tenuto alla nomina di un DPO.
Tale normativa riguarderà anche i Caaf come società di servizi che tratta dati personali e/o sensibili? Sì, il Regolamento si applica a tutti i soggetti che trattano dati personali non per scopi domestici.
Quanto dura l'incarico assegnato al DPO? Esiste un periodo minimo? Il Regolamento non specifica le tempistiche riferite al rapporto di lavoro del DPO o alla sua sostituzione. Tuttavia, è previsto che il DPO non sia rimosso dal suo incarico o penalizzato per l'esercizio dei suoi compiti, visti negativamente dal Titolare o dal Responsabile. Quanto maggiore è la stabilità del contratto stipulato e maggiori le tutele previste contro l’ingiusto licenziamento/rimozione, tanto maggiore sarà la probabilità che l’azione del DPO si svolga in modo efficiente ed indipendente.
Anche la GDO che fa profilazione deve avere il DPO? Sì, la GDO è tenuta alla nomina di un DPO  in quanto tratta dati personali su larga scala per fini di monitoraggio, i quali comprendono ad esempio attività di profilazione, programmi di fidelizzazione e  pubblicità comportamentale.
A proposito di enti obbligati ad avere il DPO: è corretto dire che una società di Telecomunicazioni non ha come core business il monitoraggio e la profilazione di dati personali su larga scala? Il funzionamento di una rete di telecomunicazioni rientra indubbiamente nella casistica di monitoraggio regolare e sistematico su larga scala per cui è obbligatoria la nomina di un DPO.
Il DPO deve essere un Privacy Officer certificato? Il DPO deve avere adeguate  qualità professionali, particolare conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati e capacità di assolvere i compiti previsti. Ad oggi non esistono certificazioni sulla figura del DPO a comprova di tali competenze. A breve, presumibilmente verso maggio, saranno pubblicati da UNI gli schemi di certificazione previsti per diverse figure operanti nel settore della data protection, tra cui il DPO.
Cosa si intende per conflitto di interessi? Potrebbe il datore di lavoro essere un DPO? Il DPO non può avere un ruolo in azienda che comporti la definizione delle finalità o modalità del trattamento di dati personali. Pertanto non può essere il datore di lavoro né avere ruoli manageriali di vertice (amministratore delegato, responsabile operativo, responsabile finanziario, responsabile sanitario, direzione marketing, direzione risorse umane, responsabile IT).

 

Secondo webinar: Il legame tra Data Breach/By Design/By Default/Impact Analysis 

Nel caso in cui il DPO sia un soggetto esterno, pertanto legato da rapporti contrattuali col titolare, può esserne limitata la responsabilità sulla base delle stesse disposizioni contrattuali? Il DPO, sia interno che esterno, non è mai personalmente e direttamente responsabile in caso di inosservanza al Regolamento da parte dell'azienda.
Con quale strumento/mezzo comunico l'evento di data breach al Garante? Come certifico l'avvenuta comunicazione (PEC)? Presumibilmente il Garante istituirà adeguati sistemi telematici di notifica in caso di violazione.
In caso di grave violazione come la comunico agli interessati? Mail, PEC (se disponibile), SMS? Il Regolamento non specifica i mezzi di comunicazione per la notifica agli Interessati. Ogni casistica è a sé e saranno da valutare gli interlocutori, i mezzi solitamente utilizzati per comunicare con gli stessi, la tempestività del mezzo, etc..
Il testo dice "entro 72 ore dal momento in cui se ne viene a conoscenza". Se il mio outsourcer non me lo comunica tempestivamente, io non ne sono a conoscenza: cosa succede? E' fondamentale regolamentare nel contratto con il proprio outsourcer gli obblighi di comunicazione e le tempistiche in caso di rilevazione di una violazione. Le 72 ore sono dal momento in cui ne viene a conoscenza, non dal momento in cui si verifica la violazione. In caso di ritardo può giustificare il motivo al Garante.
Dove si può trovare un modello di impact analysis? L'autorità Garante Inglese ICO ha pubblicato nel 2014 un "privacy impact assessments code of practice". Inoltre, entro il 2017 il Gruppo di Lavoro Art. 29WP pubblicherà delle linee guida su come effettuare una valutazione di impatto.
Quali caratteristiche e competenze deve avere un soggetto per poter essere incaricato come DPO? Può essere anche un dipendente o collaboratore interno o deve essere un soggetto esterno indipendente? Il DPO deve avere adeguate  qualità professionali, particolare conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati e capacità di assolvere i compiti previsti. Può essere sia un soggetto interno sia un soggetto esterno, persona fisica o persona giuridica, che opera per mezzo di un contratto di servizi.

 

Terzo webinar: Impact Analysis

E' prevista una qualche forma di "interpretazione" o di "adattamento" del Regolamento al mondo delle PMI? Il Regolamento propone l'istituzione di codici di condotta come strumento di adeguamento per le PMI. I codici di condotta saranno realizzati da Associazioni di categoria e autorizzati dall’autorità Garante. L'adesione a codici di condotta per le PMI e il rispetto delle indicazioni previste all'interno possono essere considerati uno strumento di comprova della conformità dell'azienda al Regolamento.
In che modo il responsabile del trattamento può determinare il contesto del trattamento del data controller al fine di determinare una corretta privacy assessment? Come può tutelarsi il data processor? La valutazione d'impatto di un trattamento è un obbligo in capo al Titolare del trattamento, ove previsto. Solo  in casi particolari il Titolare può decidere di chiedere al Responsabile di collaborare per la valutazione di aspetti che ricadono nell'ambito delle attività svolte dal Responsabile e per cui ha una conoscenza più approfondita  (ad esempio le misure di sicurezza adottate nell'ambito dei servizi ICT).
Sono previsti controllo da parte dell'autorità a livello di adeguatezza del trattamento, o si prevedono azioni soltanto in caso di violazioni e di conseguente denuncia? L'autorità ha la facoltà di effettuare controlli sulla corretta applicazione del Regolamento anche in assenza di segnalazioni, reclami o denunce.
Nell'ambito di un contratto di outsourcing, quando un data processor gestisce la sola infrastruttura IT (HW e SW di base) ed è impossibilitato a identificare il data flow (magari non lo conosce nemmeno il cliente), può essere completamente manlevato trasferendo la responsabilità sul cliente? Oppure mantiene comunque una certa responsabilità verso il GDPR? Il data processor a cui compete l'implementazione e la gestione di un'infrastruttura informatica, HW e SW, è direttamente responsabile per i servizi svolti per conto del titolare, in caso di mancato rispetto del Regolamento e per eventuali violazioni che dovessero verificarsi.
Il registro del trattamento prevede che il data controller deve comunicare la categoria di dati consegnati e trattati dal data processor. Per definire una corretta impact analysis, il data processor dovrebbe conoscere i data element trattati per essere in grado di definire la matrice di rischio. Attualmente, sopratutto nelle grandi realtà (banche, industrie, etc) tali informazioni non sono disponibili. Il data processor, ovviamente, non è in grado di identificare e suggerire le misure adeguate. Cosa potrebbe essere suggerito in modo da ridurre il rischio complessivio senza dover applicare misure di sicurezza magari spoporzionato? Con il Regolamento all'interno della nomina o del contratto il Titolare dovrà indicare al responsabile il servizio oggetto della nomina, la durata del trattamento, la natura e la finalità del trattamento, il tipo di dati personali e le categorie di interessati, gli obblighi e i diritti del titolare del trattamento. L'impact analysis dovrà essere svolta dal cliente, il quale potrà richiedere a seguito dell'analisi dei rischi l'adozione di ulteriori misure all'outsourcer responsabile del trattamento. L'outsourcer farà l'impact analysis per i propri trattamenti di dati personali che svolge in qualità di titolare del trattamento.