Uno degli aspetti maggiormente dibattuti del Regolamento (UE) 2016/679 (GDPR), fin dalla sua pubblicazione nella Gazzetta Ufficiale dell’Unione Europea il 4 maggio 2016, è il nuovo regime sanzionatorio che lo stesso ha introdotto.
La tendenza a concentrarsi sul lato punitivo del Regolamento e la corsa al “minimum implementation approach” proprio per evitare possibili sanzioni, è apparsa evidente fin da subito e ha portato molte aziende a fermarsi alla valutazione: “sono davvero obbligato a nominare un Data Protection Officer (DPO)?”. Optando, di conseguenza, per la nomina solo nel caso sia richiesta obbligatoriamente ai sensi dell’art. 37 (sulla mancata nomina obbligatoria si è espresso nel corso dell’anno il Garante belga sanzionando il Titolare del trattamento inadempiente).
Questo approccio ha portato a trascurare le opportunità, commerciali e di business, che passano attraverso la conformità normativa al Regolamento e a non cogliere i vantaggi che derivano dall’avere a disposizione una figura esperta conoscitrice della normativa e delle prassi in materia di trattamento di dati personali - il DPO - che del Regolamento ne è “custode” e “garante”.
A tal fine è bene ricordare che il titolo del Regolamento GDPR, oltre alla protezione delle persone fisiche, (in particolare dei loro dati personali) evidenzia un’altra finalità, quella della libera circolazione dei dati stessi.
I vantaggi di avere un Data Protection Officer: dall’incombenza all’opportunità
Non si tratta soltanto di “essere in regola”. Indipendentemente dall’obbligatorietà, le aziende più virtuose hanno colto l’occasione per avere una figura di supporto esperta in materia di Data Protection e sono così riuscite a lasciarsi alle spalle il paradigma della privacy come un’incombenza, guardando al Regolamento come a un’opportunità e a un vantaggio competitivo: grazie all’attività del Data Protection Officer, le aziende sono diventate più sicure, efficienti e "business oriented”.
Non a caso, a tal proposito, è utile ricordare che nelle Linee Guida del WP29, aggiornate nel 2017, la designazione del DPO negli Enti che non ne hanno l’obbligo è in ogni caso suggerita “[…] anche ove il regolamento non imponga in modo specifico la designazione di un RPD, può risultare utile procedere a tale designazione su base volontaria. Il gruppo di lavoro articolo 29 incoraggia gli approcci di tale genere”.
Introdurre una “cultura privacy” in Azienda
Secondo l’art. 39 del Regolamento il DPO è chiamato a garantire la sensibilizzazione dei soggetti interni coinvolti nel trattamento dati. In tale prospettiva, la più importante funzione del DPO è quella di contribuire ad un cambio di passo e di attitudine dell’Azienda nell’affrontare il tema di conformità alla normativa, che in maniera riduttiva ancora chiamiamo “privacy”.
Lo sviluppo di una cultura della privacy, sulla protezione dei dati personali e, contestualmente, sulla loro libera circolazione, che permetta alle persone coinvolte di comprendere i valori e i principi della normativa e che contribuisca ad infondere una maggior consapevolezza rispetto alle operazioni di trattamento, è la chiave per la differenziazione competitiva di cui le aziende hanno bisogno per avere successo e per aprire la strada a una nuova cultura imprenditoriale che valorizzi la privacy come diritto fondamentale.
Non c'è nulla di nuovo nel fatto che le Aziende siano sempre più “ecosostenibili” o “animal friendly”.
Si tratta, a questo punto, di integrare la privacy tra i nuovi valori aziendali ed imparare, rispettare e proteggere la privacy delle persone così come da tempo siamo abituati a fare nel differenziare i rifiuti, riciclare e riutilizzare materiali o proteggere le specie animali.
La privacy diviene, pertanto, un elemento chiave del programma di Responsabilità Sociale (Corporate Social Responsibility).
Inoltre, nominare un Data Protection Officer ha il vantaggio di dover ridiscutere la propria organizzazione interna, portando l’azienda a identificare le corrette risorse a cui assegnare il ruolo di privacy manager, privacy coordinator o privacy champion.
Nominare un DPO, in sostanza, si traduce nell’opportunità di strutturare una organizzazione interna con ruoli e responsabilità in materia di Data Protection.
Conoscere l’Azienda ed aumentarne le sinergie
Uno dei compiti del Data Protection Officer è fornire consulenza in ordine alle operazioni di trattamento dei dati personali effettuate dal Titolare / Responsabile del trattamento.
Per determinare la conformità o meno delle attività poste in essere, e conseguentemente dare il suo parere, il Data Protection Officer dovrà per prima cosa conoscere l’Azienda e i suoi processi, per il tramite di interviste finalizzate alla mappatura dei trattamenti e valutarne i rischi.
A proposito dei rischi è opportuno sottolineare che si intendono i rischi che, in relazione ad un tipo di trattamento, possano correre gli interessati, cioè le persone di cui si trattano i dati personali. Pertanto, un DPO è proiettato a favore degli interessati ma, proprio per questo, attento e competente “suggeritore” dei Titolari e/o dei Responsabili presso i quali è stato nominato.
Lavorare a stretto contatto con il Data Protection Officer permetterà ai vari soggetti interni dell’intera struttura aziendale, di volta in volta coinvolti, di acquisire consapevolezza rispetto alle informazioni che vengono raccolte, di analizzare il flusso di dati e le varie fasi di vita dei dati raccolti, di investigare circa le modalità di trattamento.
In sintesi, permetterà all’Azienda di conoscersi meglio e perfezionare i processi interni e, al tempo stesso, adeguarsi alla normativa europea, nazionale, alle linee guida dei Garanti dell’UE e ai provvedimenti del Garante italiano.
Il Data Protection Officer, specie nel caso di aziende strutturate a matrice, si erge a collettore tra i vari dipartimenti e businesses aziendali e permette di creare sinergie tra i vari reparti tramite la condivisione di esperienze, best practices e processi, cosa che succede di rado nei reparti strutturati a comportamenti stagni (silos).
Proteggere l’Azienda
Il Data Protection Officer è una figura di sorveglianza e garanzia. La sua attività è volta a proteggere l’Azienda dal rischio di trattamento illecito di dati e non conforme rispetto alla normativa applicabile e alle pratiche condivise.
Il DPO gioca un ruolo fondamentale nel corso della vita dell’Azienda. Si pensi alle negoziazioni, alle stipule dei contratti, alle fusioni e alle acquisizioni: in tali occasioni è imprescindibile il supporto del Data Protection Officer come garante del patrimonio aziendale (i dati sono valore e patrimonio dell’Azienda) e come “facilitatore” nelle comunicazioni tra i vari reparti aziendali e con i diversi partner commerciali.
Un DPO preparato destinerà parte del suo tempo, in via principale, a quelle attività dell’ente che evidenziano i rischi maggiori, fermo restando che proprio la valutazione dei rischi costituirà la base sulla quale poi costruire il Modello Organizzativo Privacy specifico per ogni Ente.
Non esiste azienda che non sia “connessa” e ciò determina una maggior esposizione e quindi un maggior rischio per i dati che sono raccolti e trattati. Basti considerare i costi che deriverebbero dall’interruzione di attività o perdita di dati nel caso di cyber-attack. Il ruolo del DPO è cruciale per dialogare con il dipartimento IT e supportare l’identificazione dei processi di sicurezza informatica, adottando conseguentemente misure di sicurezza tecniche ed organizzative adeguate.
Infine, il contributo del DPO è determinante nel valutare i terzi fornitori, specie nell’ipotesi in cui si realizza un trasferimento internazionale di dati. Oggi più che mai considerato il recente intervento della Corte di Giustizia dell’Unione Europea nella nota vicenda Schrems II che ha aperto scenari per molti sino a ieri impensabili e che ha messo ancor di più al centro del mondo la protezione dei dati personali così come viene disciplinata dal regolamento europeo (e sulla quale sentenza a brevissimo torneremo con altra newsletter).
Garantire fiducia
La reputazione aziendale è un fattore strategico per misurare il valore dell’azienda. Avere un virtuoso sistema di gestione dei dati personali permette di costruire e mantenere relazioni stabili con dipendenti, consumatori, clienti, fornitori, azionisti ispirate alla fiducia e alla lealtà. Essere rispettosi della privacy paga: si pensi a Facebook che nel caso di Cambridge Analytica ha perso circa $ 111 miliardi in azioni dopo la scoperta, e la sua pubblicizzazione globale, della violazione.
Le Aziende sono sempre più impegnate a documentare che la privacy viene presa sul serio e spopolano citazioni e slogan che le Organizzazioni fanno propri, quali “we do it right”, “la tua privacy conta”, “la tua privacy è importante per noi”.
Il Data Protection Officer, in questo quadro, è fondamentale per creare e mantenere relazioni davvero solide, vigilando sulla conformità alla normativa dei trattamenti posti in essere.
Poiché le persone sono sempre più attente a come i propri dati vengono gestiti, è importante che ci sia un soggetto, come il DPO, che funga da quale punto di contatto con gli interessati nel caso di esercizio dei diritti riconosciuti dal Regolamento (ad esempio le richieste di accesso ai dati, di cancellazione o la volontà di disiscrizione dalle mailing list) e sia in grado di dialogare con loro in maniera puntuale ed efficiente.
In tal senso la nomina del Data Protection Officer è espressione di una maggior attenzione, trasparenza e cura verso gli interessati e garanzia che, data la sua autonomia e indipendenza, all’interno degli Enti (Titolari/Responsabili del trattamento) è presente un soggetto che darà il suo parere in maniera imparziale, avendo come esclusivo faro di orientamento la corretta applicazione delle norme.
Minimizzare i costi e massimizzare l’efficienza
Rimanere focalizzati su ciò che è importante è uno dei key drivers per le Aziende: la regola è abbattere i costi ed evitare perdite di tempo e risorse in attività che non portano a nulla e non sono necessarie. In questa prospettiva la guida del Data Protection Officer può portare ad un vantaggio in termini di maggior efficienza e risparmio di tempo e danaro.
Si pensi a tutte quelle attività di duplicazione dati con la creazione di file ridondanti, oppure la raccolta di dati non necessari per lo scopo per cui sono raccolti, o ancora l’archiviazione di dati per un periodo di tempo eccessivo oppure peggio l’archiviazione, magari ancora cartacea, di dati non più necessari.
L’attività di controllo del DPO, oltre a permettere all’azienda di operare, ad esempio, nel rispetto del principio di minimizzazione dei dati (secondo cui i dati raccolti devono essere adeguati pertinenti e limitati esclusivamente a quanto necessario rispetto alle finalità per le quali sono trattati), del principio di limitazione della finalità (che prescrive alle Aziende di raccogliere dati per finalità esplicite, legittime e determinate) e in conformità con il principio di limitazione della conservazione (che richiede che i dati siano conservati per un arco di tempo non superiore al conseguimento delle finalità per cui sono raccolti), permetterà di ridurre costi per l’archiviazione nonché di riorganizzare gli archivi e snellire il processo di gestione delle informazioni.
Il supporto del Data Protection Officer è determinante per dare ritmo e velocità ai processi aziendali: il fatto che il DPO debba essere coinvolto tempestivamente e preventivamente in tutte le questioni in cui ci sia un trattamento dati, permette lo scambio di informazioni tra le varie Funzioni sin dall’origine, stimola l’analisi dei progetti sotto vari profili e accelera le verifiche evitando duplicazioni di attività o di porre mano (in maniera inutilmente defatigante) successivamente a processi circa i quali la protezione dei dati non era stata preliminarmente studiata e programmata da un idoneo e completo team aziendale.
Infine, l’attività del Data Protection Officer è fondamentale per aumentare il ritorno sull’investimento, soprattutto in relazione a progetti marketing che coinvolgono il trattamento di dati di consumatori (persone fisiche).
L’attività del DPO supporta, in tal senso, la liceità del trattamento, attraverso la creazione di moduli di consenso idonei, oppure tramite l’identificazione delle modalità adeguate a consentire l’invio di messaggi pubblicitari in linea alle esigenze o abitudini specifiche di un target definito di interessati. Una strategia privacy corretta, che si fonda su DB costruiti correttamente e “targettizzati” determina tassi “di ritorno” appaganti e minimizza il rischio di trattamento illecito.
Operare con puntualità e ordine
Una delle novità introdotte dal Regolamento è la documentazione e la notifica di violazioni, il data breach.
In tali situazioni poter contare su una figura specializzata che possa gestire con ordine e puntualità i rapporti con le Autorità (si pensi ai controlli effettuati dalla Guardia di Finanza con il suo Nucleo Privacy su delega del Garante) e le eventuali comunicazioni con gli interessati, assicurerà la piena collaborazione dell’azienda con i soggetti coinvolti, in conformità con le regole vigenti, e contribuirà a mantenere alta la reputazione dell’organizzazione.
Lo stesso vale quando si tratta di richieste di interessati ed esercizio dei diritti previsti dal Regolamento: gli interessati possono contattare il Data Protection Officer per tutte le questioni relative al trattamento dei loro dati personali e all'esercizio dei loro diritti. L’impulso del DPO è significativo nel gestire con velocità ed accuratezza tali questioni, in pieno spirito di collaborazione con gli interessati.
Il Data Protection Officer è imprescindibile figura di supporto nella corretta documentazione dei trattamenti di dati: il DPO, infatti, sarà il supervisore del registro dei trattamenti (controllandone l’istituzione e il tempestivo aggiornamento) con ciò assicurando un monitoraggio costante su tutti i trattamenti effettuati dal Titolare e/o dal Responsabile e sulla qualità della documentazione stessa.
Assicurare conformità
Nominare un Data Protection Officer per evitare sanzioni non è propriamente la logica del Regolamento. Ciò non toglie, tuttavia, che fare affidamento sulla costante attività di sorveglianza, consulenza ed assistenza a cui il DPO è chiamato, certamente garantisce una minor esposizione in termini sanzionatori.
Per le Aziende che operano in ambito internazionale occorre avere ben chiaro il quadro normativo di riferimento in materia di data privacy, che va ben oltre al Regolamento.
Stanno emergendo, infatti, nuove normative in materia di protezione dei dati personali (si pensi al California Consumer Privacy Act – cd, CCPA o alla Lei Geral de Proteção de Dados brasiliana – cd. LGDP) la cui conoscenza è imprescindibile se, ad esempio, l’azienda vende i propri prodotti oppure offre i propri servizi a interessati “protetti” da altre leggi vigenti in materia, oppure se i data base sono custoditi presso data center ubicati presso stati extra unione europea.
Il DPO può aiutare a capire come le diverse norme che si applicano alle attività in cui l’azienda è coinvolta influiscano sulla quotidianità dell’impresa e sui processi aziendali.
Si aggiunga inoltre che la normativa e la prassi, nonché l’interpretazione e l’applicazione pratica della legge, è in costante evoluzione. Solo un monitoraggio e aggiornamento costante potranno assicurare conformità.
In conclusione, poter contare sulla supervisione indipendente del DPO, oltre ai numerosi vantaggi sopra elencati, permette all’azienda di mantenere ordine e controllo, consentendo di rispettare gli interessati e la legge ed evitando così di commettere violazioni normative che potrebbero tradursi in sanzioni.
Sanzioni piuttosto rilevanti, come quelle previste dal Regolamento ma non solo.
Non si può mai dimenticare, infatti, che, oltre ad esse, il danno reputazionale potrebbe essere quello più rilevante nel tempo laddove un provvedimento sanzionatorio renderà conosciuta l’azienda cui è stato inflitto. Danno di difficile stima preventiva perché solo il mercato evidenzierà, nel tempo, la sua quantificazione, quando però potrebbe essere troppo tardi per correre ai ripari.
Come in altre discipline aziendalistiche la prudenza e la prevenzione costituiranno le basi per uno sviluppo delle imprese compliant alle norme, norme delle quali il GDPR rappresenta, e lo sarà sempre più, uno snodo internazionale nevralgico e interdisciplinare così come la Funzione del DPO posta dall’Unione Europea a tutela, oltre che degli interessati, delle Aziende medesime.
Articolo a cura del Settore Privato | Comitato Scientifico di ASSO DPO