Print Friendly, PDF & Email
T4Data: disponibile la versione italiana del manuale per i Responsabili della Protezione dei Dati personali
di Amedeo Di Filippo – Dirigente comunale
Il 4 maggio 2016 è stato pubblicato il Regolamento generale dell’Ue sulla protezione dei dati (RGPD), entrato in vigore il 24 maggio successivo e che ha trovato piena applicazione dal 24 maggio 2018. Il RGPD tutela il diritto delle persone di mantenere un controllo efficace sui propri dati personali e prevede nuovi diritti come il cosiddetto “diritto all’oblio”. Prevede anche nuovi obblighi per tutti coloro che effettuano trattamenti, comprese le autorità pubbliche che raccolgono dati personali, imponendo loro di creare un sistema basato sulla responsabilizzazione, ossia su politiche ben definite e in grado di dimostrare l’osservanza degli standard previsti.
Uno degli elementi fondamentali in questo quadro di responsabilizzazione è la designazione obbligatoria di un Responsabile per la protezione dei dati (RPD o DPO), in particolare da parte delle autorità e degli organismi pubblici, col compito di garantire, in modo indipendente, l’applicazione integrale delle disposizioni del RGPD.
Da qui l’esigenza avvertita a livello europeo di supportare e potenziare le capacità del RPD, che l’UE ha affrontato con un apposito Manuale finalizzato alla formazione dei Responsabili, incentrato sulla legislazione europea in materia di protezione dei dati e su quella di protezione dei dati.
Il documento è stato elaborato nell’ambito del progetto T4Data (“Training For Data”), che prevede una serie di attività transnazionali di formazione dei formatori (realizzate nel 2018) e, a livello nazionale, numerose iniziative formative gratuite dedicate ai RPD operanti presso i soggetti pubblici. Finanziato con i fondi del Rights, Equality and Citizenship Programme dell’Unione europea (2014-2020), T4Data coinvolge le autorità per la protezione dati di 5 Paesi Ue – Bulgaria, Croazia, Italia, Polonia e Spagna – oltre alla Fondazione Elio e Lisli Basso.
Il Manuale
Il Manuale si articola in tre sezioni. La prima presenta i concetti di “riservatezza”, “privacy” e “protezione dei dati”, le normative in materia di protezione dei dati, i principi e gli strumenti internazionali, con particolare riferimento alla Convenzione sulla protezione dei dati del Consiglio d’Europa del 1981, per poi passare alle Direttive UE sulla protezione dei dati e presentare gli strumenti futuri di protezione dei dati.
La seconda fornisce un quadro di tutti gli elementi chiave del RGPD per poi passare alla disanima del nuovo principio della “responsabilizzazione” e alla figura e agli obblighi del RPD. La terza delinea le linee guida per coadiuvare i RPD del settore pubblico a svolgere i propri compiti, con una serie di esempi concreti che riguardano soprattutto tre settori: l’istruzione, la finanza e la sanità.
Quest’ultima sezione è quella operativa, ricca com’è anche di esempi pratici. Qui vengono delineati 15 compiti del RPD, a cui se ne aggiunge uno preliminare che consiste nel delineare il contesto in cui opera il titolare del trattamento dei dati. Fase in cui questi acquisisce gli specifici compiti e responsabilità che spettano a ciascuna unità organizzativa in relazione a ciascun trattamento, conosce i sistemi ICT, l’architettura e le politiche dell’organizzazione, chiarisce i legami esterni, procede alla mappatura generale delle attività di trattamento.
I compiti
I compiti del RPD sono raggruppati in alcuni insiemi. Il primo comprende le “funzioni organizzative”, con i seguenti compiti:
– Compito 1: creazione di un registro delle attività di trattamento che ogni titolare deve tenere sotto la propria responsabilità, contenente vari dettagli di ciascuna operazione quali il nome del titolare, le finalità del trattamento, le categorie di interessati, i dati personali, i destinatari;
– Compito 2: verifica delle attività di trattamento di dati personali attraverso una revisione approfondita di tutte le attività di trattamento registrate, per verificare se soddisfano i requisiti del RGPD in tutti gli aspetti rilevanti, al fine di valutare se il trattamento nel suo insieme può essere considerato conforme al principio imperativo di liceità e correttezza;
– Compito 3: valutazione dei rischi posti dalle attività di trattamento di dati personali, da svolgere attraverso quattro fasi: definizione del trattamento e del relativo contesto; comprensione e valutazione dell’impatto sulle persone; definizione di eventuali minacce e valutazione della loro probabilità (probabilità del verificarsi di minacce); valutazione del rischio (attraverso l’associazione di probabilità del verificarsi di minacce e impatto);
– Compito 4: gestione dei trattamenti che possono comportare un “rischio elevato”, nel qual caso il titolare è tenuto a condurre una valutazione di impatto sulla protezione dei dati (Data Protection Impact Assessment – DPIA) prima di procedere al trattamento.
Il Manuale consiglia a questo punto uno step dedicato al controllo della conformità, che contempla i seguenti compiti:
– Compito 5: ripetizione dei compiti 1-3 (e 4) su base continuativa, in particolare e soprattutto qualora l’organizzazione modifichi qualsiasi operazione di trattamento dei dati personali o ne adotti di nuove;
– Compito 6: gestione delle violazioni dei dati personali (data breach), in quanto Il titolare viene considerato “a conoscenza” della violazione una volta messo al corrente dal responsabile e deve notificare l’accaduto all’Autorità della protezione dei dati;
– Compito 7: compiti di indagine (compresa la gestione dei reclami interni), che impegnano il RPD, per iniziativa propria o su richiesta, a indagare sulle questioni e i fatti direttamente collegati con l’esercizio delle proprie funzioni e riferire alla persona o all’autorità che ha commissionato l’indagine o lo ha incaricato della stessa e/o alle alte dirigenze.
Vi sono poi le “funzioni consultive”, che annoverano gli ulteriori seguenti compiti: Compito 8: funzioni di consulenza; Compito 9: sostegno e promozione dei principi di “Data Protection by Design & Default”; Compito 10: consulenza e monitoraggio della conformità delle politiche di protezione dei dati, dei contratti tra contitolari, tra titolari, e tra titolare e responsabile, norme vincolanti d’impresa, e clausole per il trasferimento dati; Compito 11: coinvolgimento nei codici di condotta e nelle certificazioni; Compito 12: cooperazione con l’autorità di protezione dati; Compito 13: Gestione delle richieste dell’interessato.
Il documento si conclude con i compiti di “informazione e sensibilizzazione”: Compito 14: compiti di informazione e sensibilizzazione interna ed esterna; Compito 15: pianificazione e riesame delle attività del RPD.

Torna in alto