Software Privacy
Nato con l’obiettivo di rafforzare la protezione dei dati personali dei cittadini dell’Unione Europea, il GDPR (General Data Protection Regulation 2016/679/UE) è diventato lo strumento attraverso il quale il Legislatore europeo ha voluto garantire un sistema normativo armonizzato tra tutti gli Stati membri. La portata innovativa di tale Regolamento si evidenzia principalmente nella introduzione della figura del Data Protection Officer (in seguito DPO), ovvero di un Responsabile della protezione dei dati che il Titolare e il Responsabile del trattamento devono designare ogniqualvolta si presentino i presupposti indicati dall’art. 37 GDPR (trattamento effettuato da un’autorità pubblica e/o da un organismo pubblico o con un ambito di applicazione e/o finalità che per natura richiedono un monitoraggio regolare-sistematico su larga scala o avente ad oggetto particolari categorie di dati su larga scala).
A ben vedere però tale figura non è del tutto estranea al sistema di protezione dei dati nell’Unione: il DPO può infatti essere considerato come un’evoluzione del privacy officer di cui all’art. 18 della Direttiva 95/46/CE in materia di “tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati” (che verrà abrogata contestualmente all’entrata in vigore del GDPR), che consente agli Stati membri di predisporre semplificazioni e/o esoneri nel caso in cui venga nominato un soggetto autonomo ed indipendente, cui demandare l’applicazione della normative nazionali di attuazione della direttiva stessa. Previsto obbligatoriamente in diversi Paesi UE da alcuni anni (si pensi ad esempio al Privacy Officer tedesco), in Italia il Garante della Privacy aveva già auspicato che i titolari del trattamento individuassero “una figura di responsabile della protezione dei dati che svolga il ruolo di referente con il Garante” (cfr. “Linee guida in materia di Dossier Sanitario” del 4 giugno 2015).
Secondo il GDPR, il DPO deve essere “tempestivamente e adeguatamente coinvolto” in tutte le questioni che riguardino la protezione dei dati personali sin dalle fasi iniziali (art. 38); in particolare, le aziende che rispettino i requisiti per la nomina previsti dall’art. 37 del Regolamento devono garantire al Responsabile la partecipazione alle riunioni di management di alto e medio livello e a quelle in cui debbano essere assunte decisioni che possano influire sulla protezione dei dati, dando la dovuta considerazione ai pareri che il DPO ha la facoltà di formulare (sebbene siano privi di efficacia vincolante).
I compiti del Responsabile della protezione dati sono sommariamente indicati nell’art. 39 del Regolamento (la cui formulazione letterale non esclude però che essi possano essere ampliati). Nello specifico, il DPO deve fornire attività di informazione e consulenza sugli obblighi derivanti dal GDPR o da altre disposizioni imperative europee e nazionali, deve sorvegliare sull’osservanza del regolamento e delle altre fonti da parte del titolare o del responsabile del trattamento (comprese le attribuzioni di responsabilità, la sensibilizzazione e la formazione del personale aziendale), su richiesta specifica deve fornire un parere sulla “valutazione d’impatto” della protezione dati, deve cooperare con l’autorità di controllo ed infine fungere da tramite per l’autorità di controllo stessa su questioni connesse al trattamento (e fornire eventuali consultazioni).
Il GDPR ha altresì onerato le imprese europee (ed i loro titolari e responsabili del trattamento) di costituire e tenere un registro in forma scritta -anche elettronica- sulle attività di trattamento, il cui contenuto deve recare tutti gli elementi indicati nei paragrafi 1 e 2 dell’art. 30. L’obbligo di tenuta del registro non si estende però alle imprese o alle organizzazioni con meno di 250 dipendenti, salvo che “il trattamento che esse effettuano possa presentare un rischio per i diritti e le libertà dell’interessato, il trattamento non sia occasionale o includa il trattamento di categorie particolari di dati…o i dati personali relativi a condanne penali”.
In un’ottica di gestione telematica dei dati personali all’interno delle imprese europee si inserisce altresì la possibilità per i DPO di elaborare i documenti connessi all’esercizio delle loro funzioni, che abbiano anche valore probatorio, attraverso l’utilizzo di un software gestionale, il quale permetterebbe loro di gestire più accuratamente le ottemperanze richieste dal Garante.