Intervista all’Avv. Giovanni Battista Gallus. Il processo di adeguamento al GDPR

Cassazionista, da oltre un ventennio si occupa di diritto penale dell’informatica e delle nuove tecnologie. È ISO 27001 Certified Lead Auditor e Fellow del Centro Nexa su Internet e Società e del Centro Hermes for Transparency and Digital Human Rights. Rientrano tra le sue competenze il trattamento di dati personali, la prova digitale e il diritto d’autore. Data Protection Officer per alcuni enti pubblici, ex Presidente del Circolo dei Giuristi Telematici, la più antica associazione del web giuridico italiano. Membro della Commissione Privacy del Consiglio Nazionale forense, dell’Advisory Board dell’Osservatorio Droni del Politecnico di Milano e della Commissione Surveillance del CCBE.

 

L’Avv. Giovanni Battista Gallus

 

Approfondendo la recente seconda edizione, curata da Lei, dal Prof. Avv. Giuseppe Cassano, dall’Avv. Vincenzo Colarocco e dall’Avv. Francesco Micozzi: Il processo di adeguamento al GDPR e ricollegandoci alla Sua esperienza quale DPO, ci darebbe una definizione di Data Protection Officer? Da quali esigenze nasce e come viene regolamentata dal GPDR? Come si esprime la sua nomina e le sue funzioni nell’ambito pubblico e nell’ambito privato?

Volendo tentare una sintesi, il Data protection officer è il soggetto, dotato di competenza, autonomia e indipendenza, individuato dal titolare o dal responsabile, per fornire consulenza e svolgere attività di controllo sul rispetto di norme e policy riguardanti la protezione dei dati personali, contribuendo anche alla valutazione dei rischi incombenti sui trattamenti, e fungendo da punto di contatto con l’Autorità Garante.

In particolare il Data Protection officer è una figura centrale dell’accountability, o responsabilizzazione, che è una delle più significative novità del GDPR. Una figura che, come sottolineava il Garante della Privacy già nella sua relazione del 2015, deve contribuire ad “assicurare il rispetto della normativa in materia di privacy nell’ambito della società o ente nell’ambito del quale viene designato”. E, si legge ancora nella relazione, il DPO, dotato di una specifica professionalità nel settore della protezione dei dati personali, deve svolgere “il ruolo di presidio avanzato del rispetto dei principi e degli adempimenti in materia nonché di interlocutore ed elemento di connessione tra il titolare del trattamento e l’Autorità”.

Come acutamente notato dal Prof. Franco Pizzetti, gli artt. 37 e ss. del GDPR introducono “una figura di raccordo tra gli interessi e le finalità dei titolari dei trattamenti, la tutela proattiva degli interessati, l’attuazione coerente della nuova normativa e l’attività di consulenza e controllo delle Autorità”.

Le funzioni del DPO nell’ambito pubblico e privato sono analoghe, ma è innegabile che vi siano profonde differenze, non soltanto per le diverse modalità e finalità dei trattamenti che, nel primo caso, ovviamente si concentrano sui compiti di interesse pubblico, ma anche, ad esempio per i plurimi obblighi di trasparenza, che impongono a enti pubblici e partecipate la diffusione di dati e documenti (contenenti dati personali), e che sono stati spesso oggetto di sanzioni da parte del Garante.

Le differenze si avvertono anche nel fatto che, mentre tutti gli organismi pubblici sono obbligati a dotarsi di DPO, anche se si tratta dii enti piccoli o piccolissimi, nel privato la figura è presente in organizzazioni più strutturate. In entrambi i casi, però, è fondamentale che il DPO sia realmente informato e fattivamente coinvolto per tutte le questioni riguardanti il trattamento dei dati personali, come ribadisce anche il Garante nel Documento di indirizzo su designazione, posizione e compiti del Responsabile della protezione dei dati (RPD) in ambito pubblico del 29 aprile 2021.

Nella seconda edizione del volume, abbiamo compiuto una sostanziale revisione, dando conto delle maggiori novità, sia con riguardo ai provvedimenti delle Autorità di Controllo, che delle pronunce giurisprudenziali, in modo da fornire al lettore un quadro completo e al contempo pratico della figura del DPO, delle modalità di nomina, e della sua posizione e del ruolo all’interno degli enti pubblici e privati.

 

 

Qual è la definizione di “violazione dei dati personali” e come viene notificata la violazione al GPDP?

Secondo l’art. 4, par. 12 del GDPR la violazione di dati personali è “la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati”.

Si tratta quindi di una violazione che può riguardare la confidenzialità dei dati (si pensi a una diffusione accidentale, o a un accesso non autorizzato), la loro integrità (la corruzione di un database o un’altra alterazione accidentale o illecita), o infine la disponibilità dei dati stessi (ad esempio la perdita dell’accesso o la loro indisponibilità).

Le ipotesi possono anche concorrere. Si pensi ad un attacco ransomware con previa esfiltrazione dei dati. Avremo sia una violazione di disponibilità, che di confidenzialità dei dati personali.

Nel testo, aggiornato anche per ricomprendere le più recenti Linee guida dell’EDPB 1/2021, contenenti esempi riguardanti le notificazioni di violazioni di dati personali, si individuano le ipotesi di obbligo di notificazione e di comunicazione agli interessati, delineando tutta la procedura. E, per quanto riguarda le formalità, a partire dal primo luglio 2021 la notifica di una violazione di dati personali deve essere inviata al Garante tramite un’apposita procedura telematica, disponibile nel portale dell’Autorità.

 

Qual è il ruolo del DPO nella gestione dei data breach?

Il DPO ha un ruolo centrale, sia nelle fasi antecedenti e preparatorie, sia nelle fasi di gestione delle violazioni. E La consapevolezza di tutti i soggetti che trattano dati personali è il primo presidio.

Nel suo ruolo di controllo, infatti, dovrà verificare se siano presenti sufficienti presidi per minimizzare i rischi e per individuare le violazioni, se sia formalizzata una procedura per la gestione delle violazioni, se dipendenti e preposti siano consapevoli e sufficientemente istruiti in ordine agli obblighi in tema di data breach, e se anche gli organi di vertice abbiano recepito l’importanza (e i rischi) di tali nuovi istituti.

Anche episodi all’apparenza banali possono avere conseguenze disastrose: per esempio il banale smarrimento di una pennina usb, ha comportato più volte la diffusione illecita di dati personali (magari inerenti lo stato di salute) di migliaia di persone.

Durante la fase di gestione, è allora indispensabile, in primo luogo, che il DPO sia immediatamente avvisato e consultato in tutte le ipotesi di violazioni di sicurezza, in modo che possa contribuire a valutare in maniera corretta i rischi per i diritti e le libertà delle persone fisiche.

Come abbiamo sottolineato nel testo, il tempestivo coinvolgimento e il parere del DPO sono infatti fondamentali in tema di corretta valutazione del rischio e dei successivi adempimenti, anche perché il DPO sarà il punto di contatto con l’Autorità di controllo, e anche il riferimento per gli interessati vittime della violazione.

Il fatto che il nominativo e i dati di contatto del DPO debbano essere comunicati non solo al Garante ma anche agli interessati, nei casi in cui la violazione possa presentare un rischio elevato, è una ulteriore dimostrazione della centralità della figura del DPO, che non solo deve fungere da facilitatore nei rapporti con l’Autorità di controllo, ma deve anche rispondere in maniera chiara, specifica e tempestiva alle istanze degli interessati.

 

a cura di

Valeria Montani