Blog : regolamento europeo privacy

Il Data Protection Officer: in quali casi è obbligatorio nominarlo

Il Data Protection Officer: in quali casi è obbligatorio nominarlo

Il nuovo Regolamento Europeo in materia di protezione dei dati personali, tra le numerose novità introdotte al fine di rafforzare i presidi posti a tutela della riservatezza degli individui, ha tracciato la nuova figura del Responsabile della Protezione dei dati (Data Protection Officer).

A partire dal 25 maggio 2018, un numero elevatissimo di enti pubblici (tutta la Pubblica Amministrazione), enti e società private nonché gli studi professionali, saranno obbligati a individuare e nominare il Data Protection Officer (di seguito D.P.O.), all’interno del proprio organico ovvero all’esterno tramite contratti di outsourcing.

Purtuttavia e nonostante il breve periodo di tempo che ci separa dal termine ultimo entro cui bisogna nominare tale figura, un ristrettissimo numero di istituzioni pubbliche e private si sta occupando o preoccupando di formare il Data Protection Officer, allo stato non paragonabile ad altra figura consulenziale o aziendale già esistente ed operativa. In altri termini, sul mercato italiano delle professioni, ad oggi, non si è in grado, a meno di “forzature” dannose e controproducenti, di riscontrare un profilo professionale dotato delle abilità e competenze richieste dal Regolamento Comunitario.

Secondo la nuova normativa europea, il Data Protection Officer è un professionista aziendale “poliedrico”, con competenze giuridiche, informatiche e aziendalistiche¸ tra le quali il profilo legale deve necessariamente prevalere sulle altre figure professionali (l’informatico e l’aziendale).

In buona sostanza, il Data Protection Officer si può definire come il professionista al servizio di vari soggetti istituzionali (azienda, ente, Pubblica Amministrazione, studi professionali ecc. ecc.), la cui mission è assicurare la protezione del patrimonio informativo aziendale e dei dati personali trattati dagli stessi. Il DPO avrà una necessaria vocazione giuridica, ma dovrà essere dotato di conoscenze adeguate di natura informatica e aziendale, che saranno supportate dalle figure che opereranno a suo sostegno (i Privacy Officer); egli costituirà il fulcro di tutti i processi aziendali e degli Uffici incardinati nelle Pubbliche Amministrazioni, in modo trasversale e con concretezza decisionale, a fianco del Top Management, consigliando e sorvegliando sulla corretta applicazione del Nuovo Regolamento Comunitario.

In pratica, la figura professionale del DPO come sopra delineata ad oggi non è ancora ben inquadrata nel nostro ordinamento giuridico e, allo stato attuale, appare di difficilissima reperibilità, eccezion fatta per rarissimi casi di professionisti che, vuoi per vocazione vuoi per esperienza personale, hanno operato in contesti aziendali connotati dalla trasversalità organizzativa.

Uno degli interrogativi principali che connotano attualmente la discussione in materia riguarda l’individuazione dei casi in cui sia obbligatorio designare il D.P.O., in quanto il Regolamento Comunitario introduce tale obbligo in presenza di attività dei titolari del trattamento che richiedono il monitoraggio regolare e sistematico di dati su larga scala. Considerata la genericità delle indicazioni fornite dal Regolamento stesso circa l’obbligatorietà o meno di tale designazione per le aziende, e stante invece l’obbligatorietà della designazione per tutte le pubbliche amministrazioni, il Working Party dei Garanti privacy europei ha emanato le linee guida per fornire i chiarimenti in merito.

Quando si configura un monitoraggio regolare e sistematico di dati su larga scala?

Per saperne di più scarica la guida.

La privacy in azienda: trasferibilità all’estero di dati tramite incaricato in outsourcing residente in un paese Extra-UE

La privacy in azienda: trasferibilità all’estero di dati tramite incaricato in outsourcing residente in un paese Extra-UE

Poter trasferire dati personali in paesi extra UE è diventato di fondamentale importanza per le aziende, sull’onda di una internalizzazione che riguarda trasversalmente la quasi totalità delle società commerciali.

Se è vero che l’art. 43 del D.lgs. 196/03 ammette il trasferimento fuori del territorio dello Stato qualora l’interessato abbia manifestato il proprio consenso espresso, dall’altro canto, è difficilmente ipotizzabile che una multinazionale con migliaia di dipendenti riesca ad acquisire il consenso di tutti.

Di frequente, tra l’altro, i dati non sono trattati direttamente dalla società, ma tali attività, specialmente quelle riguardanti la gestione delle risorse umane avvengono in outsourcing. In tal caso, a quali ulteriori adempimenti deve far fronte il titolare, qualora incarichi un responsabile in outsourcing il quale a sua volta affidi il trattamento ad un incaricato con sede in un paese extra UE?

Le strade percorribili dalle aziende sono le seguenti:

  • Presenza di una decisione di adeguatezza della Commissione EU

  • Utilizzo di clausole contrattuali standard predisposte con decisione dalla Commissione Europea

  • Adozione di Binding Corporate Rules (BCR)

  • Adozione di Binding Corporate Rules for Processor

Le decisioni di adeguatezza della Commissione, ad oggi, riguardano solamente tredici stati, per i quali è stato stabilito che la tutela assicurata al trattamento dei dati in quei paesi è soddisfacente ed è, quindi, possibile trasferirvi dati. Si veda, da ultimo, la questione relativa al trasferimento dei dati negli Stati Uniti da poco conclusasi con l’adozione, il 12 luglio scorso, da parte della Commissione europea del cd. Privacy Shield e già trattata in un precedente articolo.

Le clausole contrattuali standard sono predisposte dalla Commissione Europea e, una volta incorporate nel testo di un contratto commerciale consentono di trasmettere dati in paesi terzi.Esse prevedono le misure tecniche e organizzative di sicurezza che l’incaricato del trattamento, stabilito in un paese terzo non garante di un livello di protezione adeguato, è tenuto ad applicare.

La Commissione ha predisposto le clausole standard, con decisione del 5 febbraio 2010, utilizzabili nel caso in cui il titolare, residente in Europa, incarichi al trattamento una società comunitaria che, a sua volta, dia il subappalto ad una società extra UE.

La decisione ha stabilito che per il responsabile del trattamento, stabilito nell’Unione europea, sarà sufficiente avvalersi delle clausole standard al fine di presentare garanzie sufficienti al trasferimento verso l’incaricato extra UE. Il contratto deve essere soggetto alla legge dello Stato membro in cui è stabilito il titolare, in modo da garantire eventuali azioni dell’interessato a tutela dei propri dati.

Ovviamente, le autorità di controllo degli Stati membri devono, in ogni caso, continuare a svolgere un ruolo di garanzia, vigilando affinché i dati personali siano adeguatamente garantiti in seguito al trasferimento.

Il Garante italiano ha recepito la decisione della Commissione (Gazzetta Ufficiale n.141 del 19 giugno 2010) e, successivamente, con provvedimento del 15 novembre 2012 ha fornito ulteriori chiarimenti in merito. In particolare, ha prescritto al titolare del trattamento di conferire al responsabile con sede nell’Unione europea un apposito mandato, ai sensi dell’art. 1704 c.c., per la sottoscrizione delle clausole contrattuali tipo stabilite dalla Commissione; il Garante ha lasciato comunque facoltà ai titolari del trattamento, che non intendano avvalersi del mandato, di richiedere all’Autorità una specifica autorizzazione ai sensi dell’art. 44, comma 1 lett. a del D.lgs. 196/03.

Nella sua ultima relazione annuale il Garante per la protezione dei dati personali, ha dimostrato una particolare attenzione al tema del trasferimento dei dati verso paesi extra UE. L’Autorità ha evidenziato il grande incremento dell’ impiego di Binding Corporate Rules (di seguito BCR), le quali stanno rivelandosi il mezzo privilegiato per i trasferimenti di dati personali verso Paesi terzi attuati nell’ambito di gruppi di imprese.

Allo stesso modo, le BCR for Processors rappresentano una valida opzione in quanto permettono il trasferimento, sempre all’interno dello stesso gruppo societario, di dati personali sui quali si opera in qualità di responsabili del trattamento per conto di titolari stabiliti in un Paese comunitario. In questo modo, i titolari sono garantiti dalla presenza delle BCR for Processors, le quali provano la liceità dei trasferimenti effettuati dalla società responsabile in outsourcing. Per ulteriori approfondimenti sulle BCR potete visionare un nostro precedente articolo.

Proprio alla luce di tale cospicuo aumento dei trasferimenti di dati personali verso paesi terzi, l’autorità Garante ha concentrato le ispezioni presso soggetti che effettuano trasferimenti di dati all’estero, “al fine di verificare le tipologie di trattamento effettuate, le misure di sicurezza predisposte, nonché i presupposti giuridici, l’ambito e le modalità del trasferimento di dati personali in Paesi non appartenenti all’Unione europea”1.

Il nuovo Regolamento Europeo in materia di trasferimenti dati verso paesi extra UE ha previsto un generale divieto, salvo l’esistenza di una decisione di adeguatezza della Commissione2. E’ stato, inoltre, previsto un obbligo per la Commissione di effettuare una valutazione complessiva che consideri, più in generale, le norme del paese terzo in materia di tutela dei dati personali.

Nel caso in cui non vi sia una decisione di adeguatezza, il titolare del trattamento dovrà compensare la carenza con adeguate garanzie a tutela dell’interessato. Tali garanzie possono consistere nell’applicazione di BCR, di clausole standard adottate dalla Commissione, clausole tipo di protezione dei dati adottate da un’autorità di controllo o clausole contrattuali autorizzate da un’autorità di controllo.

Numerosi sono gli strumenti di tutela predisposti, sia dalla normativa nazionale e sia da quella comunitaria, a garanzia dei trasferimenti di dati verso paesi extra UE. È certo che un’adeguata conoscenza ed una puntuale applicazione di tali strumenti permetterà alle aziende di poter operare, esportando dati oltre i confini europei, senza troppi impedimenti e senza dover porre limiti alle proprie azioni.

2 Considerando 103 ed art. 45 Regolamento UE 679/2016

Il Data Protection Officer: le novità del nuovo Regolamento Europeo sulla Protezione dei Dati Personali

Il Data Protection Officer: le novità del nuovo Regolamento Europeo sulla Protezione dei Dati Personali

È stata ufficializzata, con il nuovo Regolamento sulla protezione dei dati personali, pubblicato in data 4 Maggio 2016, la figura del Data Protection Officer o Responsabile della Protezione dei Dati (qui di seguito DPO), il quale interesserà sia la Pubblica Amministrazione  sia gli operatori privati, in virtù del fatto che questo nuovo ruolo, in alcuni casi, dovrà necessariamente essere presente all’interno dei rispettivi organigrammi.

Professionista con ruolo aziendale (anche in outsourcing), il DPO deve necessariamente essere in possesso di competenze giuridiche, informatiche, di analisi dei rischi e dei processi; la sua nomina spetta al titolare od al responsabile del trattamento.

Al DPO spettano specifici compiti: informare e fornire consulenza al titolare, al responsabile del trattamento nonché ai dipendenti che effettuano tale trattamento così come stabilito dal nuovo Regolamento; vigilare affinché il Regolamento, le altre norme sia UE e sia degli Stati Membri in relazione alla protezione dei dati personali, siano osservati ed attuati; occuparsi della formazione del personale; fornire pareri riguardo l’impatto dei trattamenti di dati e verificarne lo svolgimento; collaborare con l’autorità di controllo, anche in merito a questioni connesse al trattamento e ad eventuali pareri. Sul DPO ricade l’obbligo di svolgere le proprie mansioni in totale riservatezza.

Di fondamentale importanza la distinzione fra la nomina del DPO nei casi di trattamento di dati personali effettuato dalla Pubblica Amministrazione dai casi in cui il trattamento sia svolto da operatori privati. Per ciò che riguarda la Pubblica Amministrazione (pubblica autorità o organismo pubblico), il DPO deve necessariamente essere designato dal titolare e dal responsabile del trattamento di dati personali ( con eccezione dei tribunali giudiziari nell’esercizio delle loro funzioni giurisdizionali). Con riferimento agli operatori privati, è necessario nominare il DPO unicamente nei casi in cui le attività principali del titolare o del responsabile del trattamento abbiano ad oggetto trattamenti che comportino un controllo continuo e sistematico degli interessati su larga scala e quando siano effettuati trattamenti, su larga scala, di categorie di dati particolari (opinione politica, origine razziale o etnica, appartenenze sindacali, convinzioni religiose o filosofiche, dati genetici o relativi all’orientamento sessuale) o di dati relativi a condanne penali. Infine, è doveroso sottolineare una delle condizioni fissate dal Regolamento circa la nomina del DPO, la quale prevede che quest’ultimo sia agevolmente raggiungibile da ogni stabilimento di un qualsiasi gruppo imprenditoriale.

Per saperne di più visitate il relativo articolo sul sito web di S News.

Diritto all’oblio e Business Information nel Nuovo Regolamento UE sulla protezione dei dati personali

Diritto all’oblio e Business Information nel Nuovo Regolamento UE sulla protezione dei dati personali

Il Nuovo Regolamento sulla protezione dei dati personali ha confermato il diritto all’oblio quale forma di garanzia della libertà e della dignità dell’individuo. E’ interessante esaminare i profili giuridici di tale diritto, alla luce della normativa oggi in vigore e quella europea, che sarà adottata nei prossimi due anni.

Già nel 2010 la Corte di Giustizia dell’Unione Europea affermò che i motori di ricerca sono tenuti al rispetto del diritto europeo anche nel caso in cui la loro sede si trovi in uno Stato terzo e che è sempre riconosciuto agli utenti il diritto di richiedere al motore di ricerca la cancellazione di dati personali, qualora questi risultino essere errati, inadeguati, insignificanti o eccessivi; pertanto ne consegue essere necessario un bilanciamento d’interessi, tra quelli dell’individuo e quelli relativi alla libertà d’espressione e dei media.

Alla luce del Nuovo Regolamento Europeo ed entrando più nel particolare, il diritto all’oblio prevede che l’interessato possa ottenere dal titolare la cancellazione dei propri dati personali nei casi in cui tali dati non appaiano più necessari, siano stati trattati illecitamente,  debbano essere eliminati per adempiere ad obblighi legali, ovvero l’interessato si opponga al trattamento, oppure abbia revocato il consenso.

D’altro canto, la rimozione non è prevista nel caso in cui i dati personali siano necessari a garantire la libertà di espressione e informazione, l’adempimento di un obbligo legale o la difesa di un diritto giudiziario, cosi come il pubblico interesse in materia sanitaria o a fini di pubblico interesse, di ricerca scientifica, statistica o storica. all’interessato, in presenza di inesattezze di dati personali o trattamenti illeciti, è riconosciuto il diritto di richiedere la rettifica e la limitazione del trattamento: In ogni caso, il titolare del trattamento ha l’obbligo di notificare l’interessato.

E’ importante focalizzare la questione inerente il diritto all’oblio, in quanto informazioni non più attuali  e prive di particolare interesse possono generare effetti “negativi” nel campo della business information (intesa come “fornitura di servizi informativi e/o valutativi che comportano la ricerca, la raccolta, l’elaborazione, l’analisi, anche mediante stime e giudizi, e la comunicazione di informazioni commerciali).

In proposito, il Garante Privacy  ha emanato il Codice di deontologia e buona condotta per il trattamento dei dati personali effettuato a fini di informazione commerciale (Provvedimento Generale del Garante pubblicato in data 13 Ottobre 2015 – documento web 4298343) che entrerà in vigore a decorrere dal 1 Ottobre 2016.

Il codice di condotta individua gli ambiti oggettivi e soggettivi di applicazione: esso si applica esclusivamente alle informazioni commerciali riferite a persone fisiche ed acquisite da fonti pubbliche (pubblici registri, elenchi, atti o documenti come il registro delle imprese, bilanci ed elenchi dei soci, visure e/o atti catastali, atti relativi a fallimenti o altre procedure concorsuali, registro informatico dei protesti presso le camere di commercio) e fonti pubblicamente e generalmente accessibili (quotidiani e testate giornalistiche, elenchi categorici e telefonici, siti Internet che appartengono a enti pubblici, servizi online di elenchi telefonici e categorici).

Ciò che rileva è che il fornitore deve obbligatoriamente adottare misure idonee e preventive al fine di assicurarsi che l’informazione sia esatta e pertinente rispetto al fine perseguito, che sia riportata la specifica fonte di origine dei dati e che sia eseguito l’aggiornamento degli stessi dati nei propri rapporti informativi.

Per saperne di più visitate il relativo articolo sul sito web di S News.