GDPR e 231

Abbiamo già detto che la protezione dei dati personali non è più (non lo è mai stato) produrre scartoffie che nessuno legge, conosce o applica; si tratta di implementare un modello di gestione.

Alcuni lo chiamano Sistema Gestione Privacy (S.G.S.), altri lo definiscono Modello Organizzativo Privacy (M.O.P.).

Per quanto mi riguarda, ritengo che la definizione “privacy” da tempo non sia più adeguata, ma occorra adottare la più rispondente “dataprotection“.

Putroppo per i non anglofoni, anche in questo caso il linguaggio inglese si adatta meglio a descrivere, con due sole parole, il concetto: DataProtection Model (l’acronimo potrebbe essere D.P.M.).

Quindi tutte le aziende che vorranno essere costantemente “compliant” al GDPR, dovranno adottare, ed esercire, un DataProtection Model, con i relativi “innesti” ai processi esistenti e la creazione di quelli necessari.

Dato che molte aziende hanno già adottato altri modelli organizzativi e/o sistemi di gestione (es. Gestione Qualità, Gestione Ambientale, Responsabilità Amministrativa delle Aziende, ecc.), ci sono diverse attività che si sovrappongono.

Il D.Lgs. 231/01 e Regolamento 679/2016 condividono il concetto di “valutazione del rischio”; in effetti essi risultano avere vari “punti di contatto”, tra i quali:

  • reati informatici;
  • trattamento illecito di dati;
  • software illegale;
  • whistleblowing;
  • in alcuni ambiti, sicurezza informatica.

Il D.Lgs. 231 è attualmente obbligatorio solo per le società quotate; in Senato è all’esame un decreto legge che ne estenderebbe l’obbligo alle società di capitali che abbiano avuto, in uno degli ultimi tre esercizi, un attivo patrimoniale non inferiore a 4.400.000 euro oppure ricavi non inferiori ad 8.800.000 euro.

Insieme ad altri colleghi esperti, abbiamo valutato l’opportunità di creare un modello integrato GDPR – D.Lgs. 196/03+101/18 – D.Lgs. 231/01; stiamo quindi lavorando su questo nuovo modello, che presto potrà essere adottato ed implementato dalle aziende italiane.

GDPR e le misure minime di sicurezza

Domande ricorrenti: esistono sempre le misure minime di sicurezza? Quali sono? Dobbiamo adottarle o no?

Le famigerate misure minime di sicurezza erano allegate al D.Lgs. 196/03 (allegato B); il D.Lgs. 101/2018 le ha abrogate (art. 27, comma 1, lett. d).

Per 14 anni sono state oggetto di critica (troppo oppure troppo poco), ridicolizzate dagli estremisti, snobbate dagli asceti, sottovalutate dai qualunquisti.

Posso tranquillamente affermare che, ad oggi, molte organizzazioni non hanno neanche adottato tutte le (abrogate) misure minime di sicurezza introdotte nel 2004. Non ci credete? Ne cito una, forse tra le più disattese:

25. Il titolare che adotta misure minime di sicurezza avvalendosi di soggetti esterni alla propria struttura per provvederne alla esecuzione, riceve dall'installatore una descrizione scritta dell'intervento effettuato che ne attesta la conformità alle disposizioni del presente disciplinare tecnico.

IL GDPR assegna oggi al Titolare (l’azienda) l’onere di definire le più appropriate misure di sicurezza (non quelle minime) e l’onere di dimostrare che esse sono appropriate (ed adottate, oltre che verificate periodicamente).

Quindi le misure minime del D.Lgs. 196/03 sono la base di partenza, ma non sono sicuramente le misure appropriate da adottare, almeno nelle realtà diverse dalle piccolissime.

Il nuovo approccio del GDPR richiede quindi alle aziende responsabilizzazione, adozione di misure e stumenti di sicurezza ed il loro avvallo; siamo passati (a mio modesto parere) da un approccio di tipo “civil law” (con il tutore che prescrive) a quello “common law” (con le aziende che in piena autonomia decidono, adottano e sono successivamente in grado di dimostrare “il valore” delle loro scelte).

Soggetti designati? Chi sono?

Domanda: nel recente D.Lvo 101/18 sono stati introdotti i “soggetti designati”; si tratta di responsabili interni del trattamento?

Tutti sono alla ricerca disperata di una figura similare a quella degli ex responsabili interni (attribuzione solo italiana) in modo talmente cervellotico che ogni nuova figura introdotta si spera possa adattarsi a tale ruolo.

Leggiamo la parte del testo del D. Lvo 101/18 che vi fà menzione:

Capo IV (Disposizioni relative al titolare del trattamento e al responsabile del trattamento)
Art. 2-quaterdecies (Attribuzione di funzioni e compiti a soggetti designati).
1.  Il titolare o il responsabile del trattamento possono prevedere, sotto  la  propria responsabilita' e nell'ambito del proprio assetto organizzativo, che specifici compiti e funzioni connessi al trattamento di   dati personali siano attribuiti a persone fisiche, espressamente designate, che operano sotto la loro autorita'.

Mi spiace quindi dover comunicare che i soggetti designati sono coloro che svolgono specifici compiti e funzioni connessi al trattamento di dati personali, quindi si tratta delle figure precedentemente indicate dal D.LGS. 196/03 come incaricati al trattamento.

DPO ed Autorità Giudiziarie

Appare opportuno segnalare un dato che è passato piuttosto in sordina, anche tra gli addetti ai lavori.

Art. 2-sexiesdecies (Responsabile della protezione dei dati per i trattamenti effettuati dalle autorità giudiziarie nell'esercizio delle loro funzioni)
1. Il responsabile della protezione dati e' designato, a norma delle disposizioni di cui alla sezione 4 del capo IV del Regolamento, anche in relazione ai trattamenti di dati personali effettuati dalle autorità giudiziarie nell'esercizio delle loro funzioni.

Quindi, come si può leggere dal nuovo Codice novellato dal D.Lgs. 101, anche le autorità giudiziarie italiane debbono nominare un DPO-RPD.

Il Legislatore italiano conferma la estrema importanza della figura del Responsabile della Protezione dei Dati, specialmente negli ambiti dove si trattano dati personali che hanno molta rilevanza sulla dignità e quindi sulla vita delle persone.