Privacy e Modelli organizzativi ex D.Lgs 231/2001
Adeguamento dei Modelli alle Linee Guida del nuovo Regolamento privacy
di Tiziana Bastianelli e Fabrizio Cugia di Sant’Orsola
Sono dello scorso dicembre le Linee guida approvate dal Gruppo dei Garanti UE in merito al Regolamento n. 2016/679 (applicabile dal 25 maggio 2018) sulla protezione dei dati personali. Il Regolamento e le Linee Guida, alla cui elaborazione ha partecipato anche il Garante Italiano, forniscono importanti chiarimenti sulla figura del Data Protection Officer (DPO), portabilità dei dati personali e sportello unico sui trattamenti transnazionali.
In tema Data Protection Officer (DPO), le Linee Guida specificano i requisiti soggettivi ed oggettivi di questa figura, che non solo sarà obbligatoria per tutti i soggetti pubblici ma anche per alcuni soggetti privati (segnatamente quando le attività principali del titolare del trattamento o del responsabile del trattamento consistono in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala, oppure quando le attività principali del titolare del trattamento o del responsabile del trattamento consistono nel trattamento, su larga scala, di categorie particolari di dati di cui all'articolo 9 (dati sensibili) o di dati relativi a condanne penali e a reati di cui all'articolo 10).
La figura del DPO dovrà essere dotata di specifiche competenze tecniche e professionali oltre che di garanzie di inamovibilità, autonomia e indipendenza nell’esercizio delle proprie funzioni. Il DPO dovrà possedere la conoscenza specialistica della normativa e potrà essere scelto tra dipendenti interni purché non in conflitto di interessi (nonostante sia consentito al DPO di svolgere anche altre mansioni, queste non devono però risultare incompatibili con la stessa posizione di Data Protection Officer) o adempiere ai suoi compiti in base a un contratto di servizi e quindi essere un libero professionista. La violazione degli obblighi di nomina del Data Protection Officer (DPO) è sanzionata dal Regolamento Europeo Privacy con sanzioni amministrative pecuniarie.
Con riferimento alla portabilità dei dati il documento ne evidenzia il valore di strumento per l'effettiva libertà di scelta dell'utente, che potrà decidere di trasferire altrove i dati personali forniti direttamente al titolare del trattamento (piattaforma di social network, fornitore di posta elettronica etc.) oppure generati dall'utente stesso navigando o muovendosi sui siti o le piattaforme messe a sua disposizione.
A tal fine si sancisce il diritto per l’interessato di ricevere in un formato strutturato, di uso comune e leggibile da dispositivo automatico i dati personali che lo riguardano forniti ad un titolare del trattamento. L’interessato avrà inoltre il diritto di trasmettere tali dati a un altro titolare del trattamento senza impedimenti da parte del titolare del trattamento cui li ha forniti.
Inoltre, nell'esercitare i propri diritti relativamente alla portabilità dei dati l'interessato ha il diritto di ottenere la trasmissione diretta dei dati da un titolare del trattamento all'altro, se tecnicamente fattibile. Il documento esamina anche gli aspetti tecnici legati soprattutto ai requisiti di interoperabilità fra i sistemi informatici e alla necessità di sviluppare applicazioni che facilitino l'esercizio del diritto.
Le linee Guida chiariscono infine i criteri per la individuazione della "Autorità capofila" che deve fungere da "sportello unico" per i trattamenti transnazionali . L’ipotesi riguarda il caso in cui il titolare o il responsabile tratta dati personali in più stabilimenti nell'UE o offre prodotti o servizi in più Paesi UE anche a partire da un solo stabilimento ed è finalizzata ad individuare in maniera più agevole l'Autorità competente in questi casi così da evitare controversie e garantire un'attuazione efficace del Regolamento.
Il DPO rivestirà quindi un ruolo centrale nell’adozione e determinazione delle corrette ed idonee politiche di intervento con riguardo all’uso delle dotazioni informatiche aziendali e relative misure di sicurezza, ricoprendo un ruolo diretto nell’asseveramento delle misure organizzative da adottare anche con riflesso sull’applicazione a vantaggio dell’impresa delle scriminanti ed esimenti di responsabilità. Con riguardo specifico ai processi informatici per l’accesso ed uso delle dotazioni informatiche (server, pc, posta elettronica ed in generale banche dati e/o sistemi di sicurezza) e con riguardo, ad esempio, alla fattispecie dell’accesso abusivo ad un sistema informatico o telematico di cui all’art. 615 ter c.p., le misure da adottare dovranno stabilire le gerarchie interne ed i livelli autorizzativi aziendali individuando le misure di sbarramento e di protezione adottate con riguardo alla possibilità o meno per i lavoratori di accedere al sistema informatico della propria azienda, onde scongiurare la raccolta non autorizzata di dati, la loro duplicazione o il trattamento per finalità estranee alle ragioni di impiego e agli scopi sottostanti alla protezione dell’archivio informatico. Secondo l’orientamento prevalente, la protezione del sistema può essere adottata anche con misure di carattere organizzativo, che disciplinino tuttavia in dettaglio le modalità di accesso ai sistemi e le persone abilitate al loro utilizzo.
Nell’ anno e mezzo ci separa dalla piena applicazione in Italia del Regolamento, che non manca di presentare criticità e problemi interpretativi, occorrerà procedere ad una adeguata revisione dei Modelli di Organizzazione e Controllo che dovranno essere resi il più aderenti possibile alla nuova normativa, sia in termini di individuazione delle aree maggiormente a rischio, sia in termini di adozione di procedure di prevenzione e cautele idonee a rendere i Modelli medesimi efficaci al fine di consentire all’Ente di fruire del meccanismo di esonero dalla responsabilità.
Avv. Tiziana Bastianelli e Avv. Fabrizio Cugia di Sant’Orsola