“La normativa privacy consiste in un sistema complesso, multilivello e in continua evoluzione in cui convivono norme legislative nazionali ed europee, atti regolamentari, linee guida, best practice e provvedimenti delle Autorità italiana ed europee che coinvolgono aspetti giuridici e tecnici. L’apporto di un esperto professionista esterno può dare forte valore aggiunto, contribuendo concretamente al percorso di compliance di un’organizzazione. 

Sappiamo orientarci tra norme nazionali ed europee, legislative, regolamentari, regole tecniche, norme di settore…?

Naturalmente per ottenere risultati ottimali è necessario essere in grado di orientarsi correttamente nel mondo – assai variegato, complesso, dinamico perché in continuo mutamento ed estremamente tecnico in senso multidisciplinare – della protezione dei dati personali, oltre che delle norme che regolano e proteggono informazioni anche diverse dai dati personali ma ugualmente rilevanti per qualsiasi azienda (es. informazioni strategiche di tipo commerciale, industriale, di processo, anche non strutturate e magari neppure esplicitate…).

In particolare per quanto riguarda la normativa che tutela i dati personali, è importante tenere sempre presente innanzitutto che non rilevano solo il GDPR e il D. Lgs. 196/2003, ma anche tutte le normative italiane ed europee che impattano in materia di dati personali, tra cui, a solo titolo di esempio: la Direttiva 2002/58/CE (Direttiva e-Privacy), che rileva quando si tratta di trattamenti nel contesto di comunicazioni elettroniche (che a breve verrà sostituita da un Regolamento UE), le norme nazionali in materia rapporto di lavoro (Statuto dei Lavoratori: L. 300/1970) e altre norme che disciplinano il rapporto di lavoro dipendente, le norme a contrasto della pandemia, la L. 5/2018 sul funzionamento del Registro delle Opposizioni e il telemaketing…

Rilevano inoltre i continuativi aggiornamenti interpretativi e regolamentari – quali linee guida, pareri e provvedimenti – degli organi europei a ciò preposti – EDPB (European Data Protection Board) ed EDPS (European Data Protection Supervisor) – e delle Autorità per la protezione dei dati personali nazionali, le decisioni di adeguatezza della Commissione Europea per il trasferimento dei dati personali in territori extra europei e infine l’incessante attività degli organismi europei che sviluppano regole e best practice tecniche (ad esempio, ENISA – European Union Agency for Cybersecurity).

È chiaro dunque che per progettare e attuare una efficace data governance aziendale il primo presupposto essenziale è disporre di competenza giuridica e tecnica adeguata per orientarsi in questo sistema e garantirsi un costante aggiornamento.

Individuare e gestire il “rischio privacy” dei nostri trattamenti di dati personali

Ma non basta. Va anche considerato che quello che possiamo chiamare il “sistema GDPR” è caratterizzato da un approccio basato sul rischio: al titolare del trattamento è richiesto di progettare, attuare e controllare i propri trattamenti nell’ottica della prevenzione adeguata ed efficace del rischio di violazione dei diritti degli interessati e di potere dimostrare che il trattamento attuato è conforme alle norme (art. 5, co. 2 e 25 GDPR).

Viene dunque affermato un principio generale di responsabilizzazione (“accountability”), per cui al titolare del trattamento è richiesto di operare i propri trattamenti:

• individuando – in fase tanto di progettazione quanto di esecuzione dei trattamenti, in rapporto alle peculiarità del caso specifico – l’esistenza di rischi di violazione dei diritti degli interessati,
• valutandone natura, probabilità e gravità: dunque anche realizzando appropriate analisi del rischio e valutazioni d’impatto (DPIA),
• derivandone autonome decisioni e facendosi carico delle relative conseguenze,
• attuando le proprie azioni in un’ottica di privacy by design e by default,
• regolando preventivamente, mediante apposita documentazione che ne dettagli i processi, tutte le azioni progettate e attuate, compresi i controlli, per garantire l’efficacia del percorso costruito e poterne dimostrare in sede difensiva la conformità alle norme.

Dunque, alle competenze giuridica e tecnica bisogna aggiungere quella di tipo organizzativo, accompagnata da una consolidata esperienza nell’applicazione concreta di queste regole.

L’apporto del professionista esterno

Se tra le organizzazioni più grandi e strutturate è possibile trovare tutte queste competenze internamente, e a volte anche un ufficio dedicato, dotato di personale specializzato su questi temi, difficilmente le PMI sono in grado di affrontare un percorso così complesso sfruttando solo risorse interne, che – anche al di là del possesso delle necessarie competenze – vengono in genere già assorbite da altre mansioni.

Neppure è ragionevole immaginare che ogni organizzazione debba necessariamente sostenere i costi necessari per assumere personale appositamente formato da dedicare a queste attività.

La soluzione evidentemente esiste, ed è quella di affidarsi a un esperto esterno, il quale potrà fornire un prezioso supporto per implementare un modello privacy in linea con la normativa che rispecchi le caratteristiche e le esigenze reali della specifica organizzazione: in una situazione nella quale le risorse sono limitate è fondamentale sapere individuare quale percorso di adeguamento è ottimale.

In quest’ottica, un professionista esperto sa guidare l’azienda nel suo percorso di adeguamento alla normativa individuando le aree di maggiore rischio, dove è opportuno intervenire prima, aiutando il titolare del trattamento nella scelta di misure di prevenzione del rischio adeguate ed efficaci che, calate nella realtà dello specifico trattamento, siano proporzionate al rischio, anche nei costi.

In sostanza, questa figura può accompagnare il titolare in tutto il processo di primo adeguamento, e in particolare a:

• individuare i rischi che il trattamento comporta ;
• valutare le probabilità di accadimento di questi rischi e i danni che ne possono derivare con riferimento a tutti i diritti soggettivi potenzialmente coinvolti e dunque
• definire le priorità per gli interventi valutando l’efficacia delle misure e la rilevanza dei relativi costi;
• descrivere: le possibili soluzioni adottabili, i costi relativi, gli impatti organizzativi dell’adozione di queste soluzioni, le motivazioni sottese alla scelta di adottare o meno determinate misure e strumenti volontari e i limiti delle soluzioni, cioè i rischi residui stimati a valle dell’eventuale adozione di una soluzione
• implementare gli interventi individuati e il modello di gestione privacy, realizzando documenti, strumenti, procedure e misure tecniche e organizzative: tra questi, tutta la documentazione necessaria (a titolo di esempio: registri di trattamento, informative, designazioni di responsabile del trattamento, accordi di contitolarità del trattamento, autorizzazioni al trattamento, disciplinari, legitimate interest assessment…), la documentazione organizzativa interna (ad esempio, procedure di gestione di attività di trattamento, processi, azioni di controllo, gestione delle richieste di esercizio dei diritti da parte degli interessati…), le misure tecniche e organizzative per la sicurezza dei dati e dei sistemi.

Ma non è solo in questa fase che un professionista esterno può essere di aiuto.

È infatti fondamentale anche che l’organizzazione titolare svolga periodicamente attività di verifica sul proprio modello privacy, da non confondere con una semplice attività di riscontro fra quanto definito dalle proprie procedure e quanto agito nella realtà.

Mentre infatti quest’ultimo tipo di controllo può essere utilmente svolto anche da quanti gestiscono il modello privacy implementato presso il Titolare, la verifica della bontà del modello non può che essere effettuata da un soggetto terzo, imparziale, e dunque che non ha partecipato attivamente alla sua definizione ed implementazione.

In questo contesto, il professionista esterno può assumere il ruolo di DPO (“Data Protection Officier”, o “Responsabile della Protezione dei Dati”): una figura di garanzia introdotta da GDPR quale controllore dei trattamenti posti in essere dall’organizzazione: uno strumento dell’accountability che l’organizzazione adotta (a seconda dei casi, obbligatoriamente o volontariamente) nel contesto delle azioni di prevenzione del rischio di violazione dei dati personali e dei diritti delle persone fisiche.

Tale ruolo richiede competenze (tecniche, legali, conoscenze dello specifico settore in cui opera l’azienda…) e caratteristiche (posizione, assenza di conflitti di interesse…) specifiche, che l’organizzazione ha l’obbligo di valutare.

dell’Avv. Maria Roberta Perugini; IUSINTECH