Il modello organizzativo Privacy

Il modello organizzativo Privacy

di Nadia Martini e Nicolò Maria Salvi - Privacy e cybersecurity

Abstract

Il modello organizzativo per la governance aziendale dei dati personali rappresenta, dopo quasi due anni di applicazione del GDPR, una delle sfide irrisolte alla luce della rivoluzione culturale avviata il 25 maggio 2018.
Nel testo vengono prese in esame le figure che si occupano di privacy all’interno dell’azienda e quella del DPO fra criticità pratiche e possibili opportunità di coordinamento interno con la disciplina 231 e cybersecurity.


Fra meno di 5 mesi saranno trascorsi due anni da quel fatidico 25 maggio 2018 che per qualunque azienda o pubblica amministrazione ha rappresentato un nuovo anno 1000, un punto di non ritorno, l’inizio di periodo di ispezioni e sanzioni in grado di impensierire anche il più grande dei colossi.
Due anni fa diventava infatti applicabile il Regolamento UE n. 679/2016, meglio noto come GDPR, e ad oggi, a fronte di qualche prima maxi-sanzione, ci si interroga sull’effettivo recepimento da parte delle imprese del grande cambio di passo prodotto.

Nonostante gran parte del suo contenuto fosse oggetto di discussione già da molti anni, ancora si fatica a comprendere come il GDPR non sia nato per dettare una disciplina del tutto estranea a mondo che la circonda, quanto piuttosto esso possa rappresentare uno strumento di esame, mutamento, reinvenzione ed integrazione dei processi aziendali che, con la scusa della privacy, possono oggi essere snelliti e resi più fluidi.

Ed ecco allora che il modello organizzativo per la governance aziendale dei dati personali di cui i garanti europei parlano da un decennio (basti pensare all’Opinion n. 3/2010 del Working Party Art. 29) diventa oggi il mezzo per coordinare gli adempimenti legati alla privacy con i profili connessi alla 231 e, perché no, con quelli in materia cybersecurity dettati dalla normativa NIS.

Un modello organizzativo che, così come l’intera attività di adeguamento e compliance al GDPR, deve fondarsi su due sole domande: chi sono e cosa faccio?

Se teoricamente è molto semplice rispondere e recitare anche a memoria le nozioni di titolare e responsabile del trattamento, nella pratica tale distinzione può diventare molto complessa e di difficile soluzione: come si qualifica una società che avvia una campagna marketing per conto nostro senza che vi sia alcuna interazione fra noi ed il database di destinatari?
Come si qualifica un organo come l’OdV che per certi versi segue delle direttive aziendali e per altri deve essere autonomo per legge?
Quali sono i ruoli all’interno dei grandi gruppi societari in cui le decisioni più rilevanti sono prese dalla capogruppo?

Queste valutazioni hanno ripercussioni assolute in quanto, nonostante il fil rouge rappresentato dall’obbligo di individuazione e adozione di misure di sicurezza legali ed organizzative adeguate al rischio, da un’errata qualificazione del proprio ruolo – o di quello di un proprio fornitore – deriva una scorretta identificazione proprio di queste misure adeguate (si pensi, ad esempio, alle conseguenze in termini di informative, consensi, registri o valutazioni di impatto).

Sotto un diverso profilo, il modello organizzativo deve inoltre guardare all’interno della singola realtà delineandone dei processi tipici ed unici difficilmente esportabili al di fuori: a fronte dell’obbligo di formazione ed istruzione del personale interno e degli adempimenti in materia di amministratori di sistema derivanti da un fin troppo spesso ignorato provvedimento del Garante italiano del 2008, l’art. 2-quaterdecies del codice privacy sancisce la possibilità di delegare compiti e funzioni in materia privacy all’interno dell’azienda.
Ed ecco allora che nascono i referenti interni, i delegati, i procuratori ed addirittura gli ambasciatori della privacy all’interno della stessa impresa.

Da ultimo, il modello organizzativo non può certo dimenticare l’eventuale Data Protection Officer, ossia la nuova figura introdotta dal GDPR e che nella pratica solleva non poche criticità.
Se da una parte non vi è la certezza in merito all’obbligatorietà della sua nomina (nonostante i tentativi di alcune autorità garanti europee non è stato possibile dare un valore esatto al concetto di “larga scala”), dall’altra, ancora più problemi si riferiscono alla concreta individuazione delle sue funzioni e dei suoi compiti.

Il Data Protection Officer, che secondo il GDPR dovrebbe essere colui che verifica lo stato di adeguamento di un’impresa o una pubblica amministrazione al GDPR, nella realtà diventa fin troppo spesso un mero consulente o la figura incaricata dello stesso adeguamento, non mancando, inoltre, chi lo equipara all’OdV nell’obbligo di segnalazione e denuncia di eventuali non conformità o trattamenti illeciti.