ITALIA OGGI SETTE

Per aziende e amministrazioni ci saranno i responsabili del trattamento dei dati
In campo professionisti doc

Lun.7 – Un professionista ad hoc per la privacy: si chiamerà responsabile della protezione dei dati o data protection officer («Dpo»). Lo chiede l’Europa (con il regolamento) sia per le imprese sia per le pubbliche amministrazioni. La materia della privacy è specialistica e ci vuole uno specialista, che conosca le leggi e la prassi.
Imprese e p.a. devono avvalersi del professionista e, quando l’organizzazione lo richiede, creeranno l’ufficio privacy. In alcuni casi sarà necessario nominare il responsabile della privacy. Anche quando non scatterà l’obbligo di nominarlo, però, tutte le imprese/enti dovranno svolgere la funzione di protezione dei dati: se non c’è il Dpo sarà il titolare dell’impresa a doverci pensare.
La nomina è obbligatoria quando il trattamento è effettuato da un’autorità pubblica o da un organismo pubblico, salvo le autorità giurisdizionali. In ambito privato la nomina è obbligatoria se le attività principali dell’impresa consistono in trattamenti che richiedono il controllo regolare e sistematico degli interessati su larga scala, oppure per le attività principali consistenti nel trattamento, su larga scala, di categorie particolari di dati (dati sensibili o datti giudiziari). Un gruppo di imprese potrà nominare un unico responsabile della protezione dei dati. Questo vale anche per gli enti pubblici (si pensi a enti di piccola dimensione).
Il responsabile della protezione dei dati deve possedere conoscenza specialistica della normativa e delle pratiche in materia di protezione dei dati, e della capacità di adempiere ai compiti. Può essere un dipendente oppure un consulente esterno. In ogni caso deve ricevere le risorse economiche necessarie e deve poter accedere alle informazioni societarie. Inoltre deve avere autonomia decisionale e non potrà essere rimosso o penalizzato per l’adempimento dei propri compiti.
Il Dpo è l’interfaccia con il Garante e con gli interessati: questi ultimi lo potranno contattare per questioni relative al trattamento dei loro dati e all’esercizio dei loro diritti.
Sono molti i compiti assegnati al Dpo: dal sorvegliare sull’applicazione del regolamento all’informare e consigliare vertici aziendali e dell’ente e i dipendenti.
Il Dpo dovrà essere prontamente e adeguatamente coinvolto in tutte le questioni riguardanti la protezione dei dati personali e dovrà comunque riferire ai vertici gerarchici aziendale o dell’ente. Potrà essere coinvolto nelle valutazioni di impatto delle attività aziendali/istituzionali sulla privacy e dovrà essere un punto di collegamento tra impresa/ente ed autorità garante per questioni gestionali, come la consultazione preventiva per i trattamenti con rischi specifici.
Cosa cambia per il cittadino. Nel regolamento europeo ci sono due diritti nuovi di zecca: quello alla cancellazione dei dati personali e «all’oblio» e quello alla portabilità dei dati. Con il primo, gli interessati possono ad esempio chiedere la soppressione, senza ritardo, dei dati personali raccolti o pubblicati su una rete sociale; con quello alla portabilità, si facilita la trasmissione dei dati da un prestatore di servizi, quale una rete sociale, a un altro.
L’interessato godrà di un generalizzato diritto all’oblio: avrà diritto di chiedere la cancellazione dei propri dati personali non più necessari per le finalità per le quali sono stati raccolti o altrimenti trattati, quando abbia ritirato il consenso o si sia opposto al trattamento o quando il trattamento dei suoi dati personali non sia altrimenti conforme al regolamento. Il regolamento sottolinea l’importanza del diritto quando l’interessato ha dato il proprio consenso quando era minore, e quindi non pienamente consapevole dei rischi derivanti dal trattamento, e vuole successivamente eliminare questo tipo di dati personali, in particolare da internet. L’oblio non azzera la possibilità della conservazione dei dati se necessaria per il diritto di cronaca o per adempiere un obbligo legale, o per interesse pubblico o nell’esercizio di pubblici poteri, per finalità di archiviazione nel pubblico interesse, per finalità di ricerca scientifica e storica o finalità statistiche o per accertare, esercitare o difendere un diritto in sede giudiziaria.
Per rafforzare il «diritto all’oblio» nell’ambiente online, il diritto di cancellazione imporrà all’impresa che ha pubblicato dati personali di attivarsi per la cancellazione di qualsiasi link verso tali dati personali o copia o riproduzione dei dati.
L’interessato avrà il diritto alla portabilità dei suoi dati: questo significa diritto, quando i dati personali sono trattati con mezzi automatizzati, di ricevere in un formato strutturato, di uso comune, leggibile a macchina e interoperabile i dati personali che lo riguardano e di trasmetterli a un’altra impresa. Il regolamento incoraggia a sviluppare formati interoperabili che consentano la portabilità dei dati.
Il diritto dell’interessato di trasmettere o ricevere dati personali che lo riguardano non comporta l’obbligo di adottare o mantenere sistemi di trattamento dei dati tecnicamente compatibili. Se tecnicamente fattibile, l’interessato dovrà avere il diritto di ottenere che i dati siano trasmessi direttamente da un’impresa a un’altra.
Pugno duro per chi sgarra. Meglio aderire a codici etici e certificare i propri sistemi e la propria organizzazione: così facendo scenderà l’importo delle sanzioni amministrative per violazioni del regolamento europeo sulla privacy. Sanzioni che possono arrivare a venti milioni di euro o, se superiore, al 4% del fatturato annuo. Il sistema sanzionatorio mostra il pugno duro per disincentivare multinazionali e grosse realtà economiche. Per l’interessato si conferma il diritto al risarcimento del danno con un’agevolazione processuale.
Risarcimento del danno. Il regolamento codifica il diritto al risarcimento e obbliga al pagamento sia l’impresa/ente sia i soggetti che hanno deleghe per il trattamento dei dati. La responsabilità è impostata come responsabilità per attività pericolosa. Da ciò discende che si è esonerati dalla responsabilità, se si dimostra che l’evento dannoso non è in alcun modo imputabile. Si conferma la cosiddetta inversione dell’onere della prova: è il presunto autore del danno che deve dimostrare la sua «innocenza». Il grado di responsabilità è diverso per il delegato privacy, che risponderà direttamente al danneggiato nei limiti delle violazioni alle istruzioni impartite dall’impresa o dall’ente.
Sanzioni amministrative. Le sanzioni devono essere effettive, proporzionate e dissuasive. Nel determinare in concreto l’importo, il garante dovrà tenere conto di alcuni parametri, tra i quali l’adesione ai codici di condotta o ai meccanismi di certificazione.
Il codice deontologico o la certificazione di qualità avranno un’incidenza sulla quantità della sanzione e alleggeriranno il carico, che è comunque pesante. Una prima tranche di violazioni può raggiungere la sanzione di 10 milioni di euro o, se superiore, il 2% del fatturato mondiale totale annuo dell’esercizio precedente, questo riguarda la trasgressione degli obblighi dell’impresa/ente. Si arriverà a una sanzione fino a 20 milioni di euro, o per le imprese, fino al 4% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore, per le violazioni dei principi di base del trattamento, comprese le condizioni relative al consenso, la violazione dei diritti degli interessati, delle norme sui trasferimenti di dati all’estero o l’inosservanza delle prescrizioni del garante.