Con l'ultima sentenza n. 429 del 08/11/2019 la Corte dei Conti sezione Calabria conferma la responsabilita' patrimoniale, per procurato danno erariale, addebitabile in capo al  legale rappresentante dell'Ente in caso di violazioni in materia di protezione dei dati personali.

Viene, quindi, condannato dalla Corte dei Conti il Presidente pro-tempore della Regione Calabria Giuseppe Scopelliti, in carica al momento della violazione, a risarcire la Regione Calabria dell'indebito esborso della sanzione di Euro 66.000,00 comminata dal Garante della privacy per violazioni ascrivibili al Presidente. 

Gia' con precedente sentenza di condanna di un Dirigente scolastico, vedi articolo ACTANEWS del 07 giugno 2019,  la Corte dei Conti, sez. giurisd. per il Lazio., 28/5/2019 n. 246 aveva ribadito la responsabilità patrimoniale  personale del legale rappresentante del Titolare del trattamento e non dei soggetti che collaborano alla stesura, spedizione o pubblicazione di atti che violano la protezione dei dati personali.

C'e' da considerare che quelle sopra citate sono sentenze emesse per violazioni commesse anteriormente all'entrata in vigore del GDPR 2016/679 quando le sanzioni e le responsailita' individuali erano meno gravose.

Cosa e'  cambiato dopo il 25 maggio 2018 con l'entrata in vigore del GDPR 2016/679

1. SONO CAMBIATE LE SANZIONI

Le sanzioni pecuniarie applicabili alle violazioni in materia di protezione dei dati personali hanno subito un notevole inasprimento e, in base alla natura della violazione, sono irrogabili fino a 10 o fino a  20 milioni di Euro. Detti massimali sono aumentbili,per le imprese, al 4% del fatturato  Alle sanzioni si aggiungono l'eventuale risarcimento del danno e la responsabilita' penale.

2. SONO CAMBIATE LE RESPONSABILITA'

Il titolare del trattamento, in persona del legale rappresentante, deve mettere in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato in conformita' al Regolamento europeo GDPR n. 2016/679. Dette misure devono essere riesaminate e aggiornate qualora necessario.

Le responsabilita' del titolare del trattamento non sono trasferibili ad altri soggetti facenti parte della propria organizzazione nè è possibile stipulare polizze assicurative a copertura del rischio derivante da sanzioni pecuniarie.

3. SONO CAMBIATI  GLI STRUMENTI OBBLIGATORI

Ogni titolare del trattamento e' obbligato a tenere un Registro delle attività di trattamento svolte sotto la propria responsabilità. Tale registro contiene tutte le informazioni relative alla raccolta relative alle finalita', ai rischi, alle violazioni, alle misure di protezione adottate. Questo registro, da esibire con data certa, rechera' tutti i dati utili a dimostrare la accountability e compliance del titolare del trattamento.

4. SONO CAMBIATI I SOGGETTI

L'organigramma privacy si compone delle seguenti figure:
- Titolare del trattamento
- Contitolare del trattamento
- DPO Responsabile della protezione dei dati
Responsabile del trattamento dei dati esterno
- Autorizzati al trattamento
- Designati al trattamento.

La nuova figura fondamentale per il rispetto degli adempimenti previsti dal GDPR e' quella del Responsabile della protezione dei dati personali, anche conosciuto con la dizione in lingua inglese data protection officerDPO, obbligatoria per la Pubblica Amministrazione e raccomandata per le organizzazioni private che trattano dati su larga scala o dati particolari artt. 9 e 10 del GDPR (vedi FAQ del Garante Privacy  n. 4).

Il DPO è una figura prevista dall'art. 37 del Regolamento (UE) GDPR 2016/679. Si tratta di un soggetto designato dal titolare del trattamento o dal responsabile del trattamento esterno per assolvere a funzioni di supporto e controllo, consultive, formative e informative relativamente all'applicazione del Regolamento medesimo. Coopera con l'Autorità nazionale e, per questo motivo, il suo nominativo va comunicato al Garante  per il quale costituisce il punto di contatto per gli adempimenti connessi al trattamento dei dati personali (artt. 38 e 39 del GDPR).

Il responsabile della protezione dei dati personali, al quale non sono richieste specifiche attestazioni formali o l'iscrizione in appositi albi, deve:

- possedere un'approfondita conoscenza della normativa e delle prassi in materia di privacy, 
- possedere un'approfondita conoscenza delle norme e procedure amministrative che caratterizzano lo specifico settore di riferimento,  
- poter offrire la consulenza necessaria per progettare, verificare e mantenere un sistema organizzato di gestione dei dati personali
- coadiuvare il titolare nell'adozione di un complesso di misure, anche di sicurezza, adeguate al contesto in cui è chiamato a operare, 
- agire in piena indipendenza e autonomia, senza ricevere istruzioni e riferendo direttamente ai vertici, 
- poter disporre di risorse fornite dal titolare del trattamento in termini di personale, locali, attrezzature, ecc., necessarie per l'espletamento dei propri compiti.

Questa figura, mutuata dal mondo anglosassone e tedesco, deve costituire il punto di forza e lo scudo protettivo personale del titolare del trattamento dei dati personali e, quindi, di chi lo rappresentanta. 

Per svolgere la sua funzione il DPO deve essere individuato e nominato con il compito di prevenire. Il Data Protection Officer deve conoscere la normativa privacy per sapere cio' che e' giusto e cio' che e' vietato ma non è sufficiente. Per prevenire le violazioni, per essere proattivo e capace di intervenire in anticipo per evitare situazioni, tendenze lesive o problemi futuri in materia di protezione dei dati personali, deve avere anche approfondite conoscenze ed esperienza nei seguenti campi: 

- organizzazione del lavoro e le dinamiche d'ufficio,
procedure di raccolta dei dati personali,
- sistemi di gestione digitale per la trasmissione, validazione, archiviazione, conservazione dei dati elettronici,
- misure di protezione fisica, logica e organizzativa dei sistemi e dei dati informatici.

La mancata richiesta di queste competenze pratiche ha comportato la conseguenza che gli oltre 53mila DPO nominati in Italia hanno raramente rapporti diretti con il top management e non vengono tempestivamente e adeguatamente coinvolti in tutte le questioni riguardanti la protezione dei dati personali. Da ricognizioni sul campo risultano migliaia di segnalazioni di Dpo frustrati, avviliti e malpagati che, sulle questioni che hanno impatti sui dati personali, vengono consultati solo a giochi fatti e incontrano ostruzionismo o indifferenza da parte dei vertici dell'organizzazione.

La causa della marginalità di fatto del ruolo del DPO si deve ricercare nello svolgimento di un ruolo svolto principalmente con funzione di garanzia e non operativo. Ne deriva che quando un'organizzazione necessita di un supporto proattivo deve avvalersi di un consulente esterno in grado di garantire le necessarie competenze operative. Queste, purtroppo non si acquisiscono con un corso ma, come esplicitamente previsto dall'art. 36 del GDPR, con la "conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati".

Il Legale rappresentante e i dirigenti di un'organizzazione, per arginare le loro responsabilita', hanno l'interesse primario di avvalersi di un DPO che, oltre che alla conoscenza della normativa, garantisca la conoscenza della prassi in materia di protezione dei dati.
Ma cosa si deve intendere per prassi in materia di protezione dei dati?
Partendo dal significato del termine prassi, con esso si intende l’attività pratica, specificatamente contrapposta all’attività teorica. E un dato personale, che normalmente viene trattato con sistemi digitali, come puo' essere praticamente e non teoricamente protetto
E' questa la domanda cui il Legale rappresentante e i dirigenti devono trovare la risposta. La soluzione e' quella di avvalersi di un DPO che sia in grado di trasmettere anche i metodi pratici per la protezione di dati personali scambiati attraverso le email, contenuti nei documenti informatici anche firmati digitalmente, pubblicati sui siti web, achiviati e conservati sui sistemi informatici propri e di  terzi.

In conclusione, le organizzazioni e il DPO avranno interesse a perseguire due obiettivi convergenti che sono quelli, per l'organizzazione, di cercare e per il DPO, di costituire, una professionalita' capace di guidare lo sviluppo digitale, la valorizzazione dei dati personali e l'assolvimento degli adempimenti per evitare le sanzioni previste dal GDPR con le conseguenti responsabilita' patrimoniali, risarcitorie e penali.

Per l'organizzazione un ulteriore elemento da tenere presente nella nomina del DPO è che lo stesso non deve avere conflitto di interessi nello svolgimento del proprio ruolo.  I Garanti europei si sono espressi  affermando che il DPO - non può rivestire, all’interno dell’organizzazione del titolare del trattamento o del responsabile del trattamento, un ruolo che comporti la definizione delle finalità o modalità del trattamento di dati personali.

A tal proposito nelle FAQ pubblicate dal Garante della privacy si riporta che è preferibile evitare di assegnare il ruolo di DPO a soggetti con incarichi di alta direzione (amministratore delegato; membro del consiglio di amministrazione; direttore generale; ecc.), ovvero nell'ambito di strutture aventi potere decisionale in ordine alle finalità e alle modalità del trattamento (direzione risorse umane, direzione marketing, direzione finanziaria, responsabile IT ecc.). Da valutare, in assenza di conflitti di interesse e in base al contesto di riferimento, l'eventuale assegnazione di tale incarico ai responsabili delle funzioni di staff (ad esempio, il responsabile della funzione legale).

Altro elemento da considerare a tutela delle responsabilita' risarcitorie del Titolare del trattamento e' quello di incaricare, qualora si avvalga del trattamento esterno dei dati personali raccolti dalla propria organizzazione, di soggetti che, ai sensi dell'art. 28 del GDPR definiti  Respnsabili del trattamento, "presentino garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del presente regolamento (GDPR) e garantisca la tutela dei diritti dell'interessato."

Ne discende che chi rappresenta l'organizzazione deve selezionare, istruire controllare adeguatamente i propri fornitori che trattano, per suo conto, i dati  personali.
Ultima annotazione utile per chi rappresenta il titolare del trattamento e' quella di comprendere appieno il siginificato di "trattamento" dei dati personali. 
Ci soccorre l'art. 4 del GDPR che definisce "trattamento" qualsiasi operazione o insieme di operazioni, compiute con o senza l'ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l'organizzazione, la strutturazione, la conservazione, l'adattamento o la modifica, l'estrazione, la consultazione, l'uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l'interconnessione, la limitazione, la cancellazione o la distruzione.
Quindi, attenzione, anche la consultazione, l'uso e la comunicazione costituiscono "trattamento" dei dati personali.

 

Igino Addari