Il ruolo del Data Protection Officer

---

Condividi l'articolo:

---

Una nuova figura importante e centrale definita da un Regolamento comunitario ancora in corso di emanazione

La figura del Data Protection Officer (o più semplicemente DPO, ma in italiano, Responsabile della Protezione dei Dati), oltre ad essere contemplata, in misura del tutto marginale, nel provvedimento del Garante Privacy in materia di Fascicolo Sanitario Elettronico (FSE) del 4 giugno 2015 (con riferimento agli obblighi di notificazione dei cosiddetti ‘Data Breach’ o violazione di dati personali) è disciplinata, in modo puntuale, in alcune previsioni del nuovo Regolamento comunitario in materia di protezione dei dati personali (c.d. General Data Protection Regulation), di imminente approvazione, nell’ottica di individuare, all’interno di organizzazioni complesse, un soggetto cui demandare il coordinamento della necessaria attuazione delle norme in materia, in corso di emanazione.

La ragione della individuazione, per legge, di una figura ad hoc all'interno di una organizzazione, anche per la gestione di  situazioni di crisi, quali sono gli  incidenti informatici, parimenti in  grado di interagire con le risorse  interne aziendali, per accertare la  causa della violazione, mitigarne  le conseguenze pregiudizievoli e  rapportarsi quindi con le Autorità di  controllo, si comprende con facilità,  facendo mente locale ai danni, non  solo reputazionali, conseguenti  a violazioni della sicurezza di  un’impresa o di un ente pubblico,  provocati da episodi di hacking e/o  concorrenza sleale, verificatisi di  recente anche a danno di importanti  multinazionali, della sicurezza  informatica e non.

Quando è obbligatoria la nomina 

L’art. 35 del Regolamento  comunitario, nella sua ultima  formulazione, prevede l’obbligo di  designazione del Responsabile  della protezione dei dati quando  il trattamento è effettuato da  un’autorità pubblica o da un  organismo pubblico, o le attività  principali consistono in trattamenti  che, per loro natura, campo di  applicazione e/o finalità, richiedono  il controllo regolare e sistematico  degli interessati su larga scala,  oppure, infine, quando le attività  principali consistono nel trattamento,  sempre su larga scala, di categorie  particolari di dati.

Le competenze richieste 

Nel dettaglio, l’art.  37 del Regolamento dispone che il DPO dovrà informare e consigliare il titolare del trattamento, vigilare sull'attuazione e sull'applicazione delle politiche in materia di Data Protection, verificare l’attuazione e l’applicazione del Regolamento, garantire la conservazione della documentazione relativa ai trattamenti, e, per quanto qui ci occupa, specificamente, controllare che le violazioni dei  dati personali siano documentate, notificate e comunicate. Dovrà inoltre controllare che il titolare o il responsabile del trattamento effettui la valutazione d’impatto sulla protezione dei dati e quindi esercitare una funzione da ‘punto di contatto’ per il Garante per la protezione dei dati personali. 

L’analisi delle norme appena richiamate ci consente di tratteggiare la figura del Privacy Officer, come quella di un soggetto il cui ruolo è fondamentale nelle dinamiche attuative degli obblighi di legge all'interno di una  organizzazione, ed in particolare,  come vedremo, in quelle relative  alle strategie di reazione ai c.d.  Incidenti informatici (da definirsi come qualsiasi violazione della sicurezza che comporta, anche accidentalmente, la distruzione, la perdita, la modifica, la rivelazione non autorizzata o l’accesso ai dati personali. 

Nel quadro descritto, il DPO è figura in grado di praticare due distinti domini di conoscenza.

Da una parte, quello della Sicurezza delle Informazioni, inteso quale quello che ha ad oggetto lo studio dei metodi, delle tecniche e delle teorie dirette ad assicurarne la riservatezza, l’integrità e la disponibilità. Dall'altra, quello della ‘protezione legale dei dati personali’, che trova, invece, la sua declinazione nei vari contenuti delle norme di legge vigenti in materia. Tanto più ove si consideri come il requisito A.18.1 della Norma ISO 27001:2013  - Compliance with legal and  contractual requirements - preveda  che il rispetto delle leggi vigenti  in materia di Data Protection, sia  cogente, non solo con riferimento  alla soggezione dell’organizzazione alle sanzioni in esse previste,  irrogabili da parte delle competenti  Autorità di controllo, ma anche  con riferimento alla possibilità  dell’Ente accreditato di certificare  l’Organizzazione stessa.

Tra i compiti del DPO sopra  menzionati, riferibili ad un momento  organizzativo-documentale della  vita di una impresa o di un ente  pubblico, sono particolarmente significativi, al fine di comprenderne  il ruolo nella gestione degli incidenti  informatici, sia quelli relativi al  controllo sulla effettuazione, da  parte del titolare, della valutazione  d’impatto sulla protezione dei dati  (il c.d. Privacy Impact Analysis), sia  quelli relativi alla notificazione delle  violazioni all'autorità di controllo. 

Privacy Impact Analysis 

Si ritiene utile sottolineare, nel  quadro degli obblighi di sicurezza  la cui attuazione afferisce al ruolo  del D.P.O., quelli relativi al Privacy  Impact Analysis, poiché, da un  punto di vista concreto, è proprio  in questa sede che, con il parere  del DPO, saranno gettate le basi,  all’interno di una Organizzazione,  di quel processo di analisi del  rischio - valutazione, mitigazione  ed eventuale trasferimento, che  costituisce il fondamento logico  di ogni strategia di prevenzione  del verificarsi di violazioni  della sicurezza sui dati.

Diventa altresì evidente che, per essere concretamente efficace, con riferimento a situazioni di ‘incident  handling’ e ‘incident response’, sarà  necessario, per esempio, che il  designato DPO abbia la capacità di  effettuare ispezioni, consultazioni,  attività di documentazione e analisi di file di registro.

Infatti, l’art. 31 comma 3 lett. b) del Regolamento comunitario, dedicato alla notificazione della violazione dei dati personali, precisa che la notifica della violazione deve indicare il nome e le coordinate di contatto del responsabile della protezione  dei dati presso cui ottenere più  informazioni. 

Conclusioni 

La circostanza che tale ultima  disposizione individui nel  DPO, il punto di contatto tra  l’organizzazione che ha subito una  violazione dei dati, e l’Autorità  di controllo che deve venirne a  conoscenza, secondo procedure  scandite da tempi certi e contenuti  normativamente predeterminati,  esprime a nostro avviso in modo  chiaro la centralità del ruolo del  D.P.O. nella gestione degli incidenti  informatici.

Egli non solo dovrà agire preventivamente all’interno dell’organizzazione, coordinando l’attuazione delle misure di sicurezza  ab origine imposte dalla norma, per  evitare che si verifichino incidenti  informatici, ma nel caso in cui  l’incidente si verifichi, dovrà anche  essere in grado (contenendo gli  effetti negativi dell’incidente stesso)  di relazionare in modo puntuale  all’Autorità di controllo su quanto accaduto. 

(Avv. Giuseppe Serafini – Office automation marzo 2016)