Il ruolo del Data Protection Officer
Una nuova figura importante e centrale, definita da un regolamento comunitario ancora in corso di emanazione. Competenze e obbligatorietà della nomina.
La figura del Data Protection Officer (più semplicemente DPO, ma in italiano, Responsabile della Protezione dei Dati), oltre ad essere contemplata, in misura del tutto marginale, nel provvedimento del Garante Privacy, in materia di Fascicolo Sanitario Elettronico (FSE), del 4 giugno 2015, con riferimento agli obblighi di notificazione dei cosiddetti ‘Data Breach’, o violazione di dati personali, è disciplinata, in modo puntuale, in alcune previsioni del nuovo Regolamento comunitario, in materia di protezione dei dati personali (c.d. General Data Protection Regulation), di imminente approvazione, nell’ottica di individuare, all’interno di organizzazioni complesse, un soggetto cui demandare il coordinamento della necessaria attuazione delle norme in materia, in corso di emanazione. La ragione della individuazione, per legge, all’interno di una organizzazione, di una figura ad hoc, anche per la gestione di situazioni di crisi, quali sono gli incidenti informatici, parimenti in grado di interagire con le risorse interne aziendali, per accertare la causa della violazione, mitigarne le conseguenze pregiudizievoli e rapportarsi quindi con le Autorità di controllo, si comprende, con facilità, facendo mente locale ai danni, non solo reputazionali, conseguenti a violazioni della sicurezza di un’impresa o di un ente pubblico, provocati da episodi di hacking e/o concorrenza sleale, verificatisi di recente anche a danno di importanti multinazionali, della sicurezza informatica e non.
Quando è obbligatoria la nomina
L’art. 35 del Regolamento comunitario, nella sua ultima formulazione, prevede l’obbligo di designazione di un responsabile della protezione dei dati quando il trattamento è effettuato da un’autorità pubblica o da un organismo pubblico, o le attività principali consistono in trattamenti che, per loro natura, campo di applicazione e/o finalità, richiedono
il controllo regolare e sistematico degli interessati su larga scala, oppure, infine, quando le attività principali consistono nel trattamento, sempre su larga scala, di categorie particolari di dati. Nel dettaglio, l’art. 37 del Regolamento dispone che il DPO dovrà informare e consigliare il titolare del trattamento, vigilare sull’attuazione e sull’applicazione delle politiche in materia di Data Protection, verificare l’attuazione e l’applicazione del Regolamento, garantire la conservazione della documentazione relativa ai trattamenti, e, per quanto qui ci occupa, specificamente, controllare che le violazioni dei dati personali siano documentate, notificate e comunicate. Dovrà inoltre controllare che il titolare o il responsabile del trattamento effettui la valutazione d’impatto sulla protezione dei dati e quindi esercitare una funzione da ‘punto di contatto’ per il Garante per la protezione dei dati personali. L’analisi delle norme appena richiamate ci consente di tratteggiare la figura del Privacy Officer, come quella di un soggetto il cui ruolo è fondamentale, nelle dinamiche attuative degli obblighi di legge all’interno di una organizzazione, e in particolare, come vedremo, in quelle relative alle strategie di reazione ai c.d. incidenti informatici. Che possiamo definire, come: qualsiasi violazione della sicurezza che comporta, anche accidentalmente, la distruzione, la perdita, la modifica, la rivelazione non autorizzata o l’accesso ai dati personali.
Le competenze richieste
Nel quadro descritto, il DPO è figura in grado di praticare due distinti domini di conoscenza. Da una parte, quello della Sicurezza delle Informazioni, inteso quale quello che ha ad oggetto lo studio dei metodi, delle tecniche e delle teorie dirette ad assicurarne la riservatezza, l’integrità e la disponibilità. Dall’altra, quello della ‘protezione legale dei dati personali’, che trova, invece, la sua declinazione nei vari contenuti delle norme di legge vigenti in materia. Tanto più ove si consideri come il requisito A.18.1 della Norma ISO 27001:2013 – Compliance with legal and contractual requirements – preveda che, il rispetto delle leggi vigenti in materia di Data Protection, sia cogente, non solo con riferimento alla soggezione dell’organizzazione, alle sanzioni in esse previste, irrogabili da parte delle competenti Autorità di controllo, ma anche, con riferimento alla possibilità dell’Ente accreditato, di certificare l’Organizzazione stessa. Tra i compiti del DPO sopra menzionati, riferibili a un momento organizzativo-documentale della vita di una impresa o di un ente pubblico, sono particolarmente significativi, al fine di comprenderne il ruolo, nella gestione degli incidenti informatici, sia quelli relativi al controllo sulla effettuazione, da parte del titolare, della valutazione d’impatto sulla protezione dei dati (il c.d. Privacy Impact Analysis), sia quelli relativi alla notificazione delle violazioni all’autorità di controllo.
Privacy Impact Analysis
Riteniamo utile sottolineare, nel quadro degli obblighi di sicurezza la cui attuazione afferisce al ruolo del D.P.O., quelli relativi al Privacy Impact Analysis, poiché, da un punto di vista concreto è proprio in questa sede che, con il parere del DPO saranno gettate le basi, all’interno di una Organizzazione, di quel processo di analisi del rischio – valutazione, mitigazione ed eventuale trasferimento – che costituisce il fondamento logico di ogni strategia di prevenzione del verificarsi di violazioni della sicurezza sui dati. Diventa altresì evidente che, per essere concretamente efficace, con riferimento a situazioni di ‘incident handling’ e ‘incident response’, sarà necessario, per esempio, che il designato DPO abbia la capacità di effettuare ispezioni, consultazioni, attività di documentazione e analisi di file di registro. Infatti, l’art. 31 comma 3 lett. b) del Regolamento comunitario, dedicato alla notificazione della violazione dei dati personali, precisa che la notifica della violazione deve indicare il nome e le coordinate di contatto del responsabile della protezione dei dati presso cui ottenere più informazioni.
Conclusioni
La circostanza che tale ultima disposizione individui nel DPO il punto di contatto, tra l’organizzazione che ha subito una violazione dei dati, e l’Autorità di controllo che deve venirne a conoscenza secondo procedure scandite da tempi certi e contenuti normativamente predeterminati, esprime a nostro avviso in modo chiaro la centralità del ruolo del D.P.O. nella gestione degli incidenti informatici. Egli non solo dovrà agire, preventivamente, all’interno dell’organizzazione, coordinando l’attuazione delle misure di sicurezza, ab origine, imposte dalla norma per evitare che si verifichino incidenti informatici, ma nel caso in cui l’incidente si verifichi, dovrà anche essere in grado, contenendo gli effetti negativi dell’incidente stesso, di relazionare in modo puntuale all’Autorità di controllo su quanto accaduto.