La revisione della LPD, in vigore dal 2008, permette alle imprese l’autoregolazione. L’azienda che nomina un responsabile della protezione dei dati e lo segnala all’IFPDT è esonerata dall’obbligo di comunicarci le sue collezioni di dati. Il ruolo e la scelta del responsabile della protezione dei dati devono soddisfare determinati criteri.
La LPD e il responsabile aziendale della protezione dei dati
Grazie a diverse modifiche introdotte nel corso dell'ultima revisione, la legge federale del 1° gennaio 2008 sulla protezione dei dati (LPD, RS 235.1) consente ora alle aziende di autoregolarsi. D'ora in avanti, ad esempio, in base all'articolo 11a capoverso 5 lettera e il detentore di una collezione di dati (vale a dire un'impresa che decide sull'utilizzazione e sul contenuto di questa collezione) non è obbligato a notificarla alle autorità, a condizione tuttavia che abbia provveduto a designare un responsabile interno, incaricato di tenere un inventario delle collezioni gestite dall'impresa e di controllare autonomamente che le disposizioni in materia di protezione dei dati siano rispettate. L'Incaricato federale della protezione dei dati e della trasparenza (IFPDT) deve essere informato su chi assume questa funzione.
Nella versione tedesca della LPD è questione di Datenschutzverantwortlicher, reso nella versione italiana con «responsabile della protezione dei dati», mentre la versione francese ha optato per conseiller à la protection des données, che in italiano potrebbe essere reso con «consulente per la protezione dei dati». Poiché non era intenzione del Parlamento accollare alla persona prescelta internamente come «responsabile della protezione dei dati» gli oneri che incombono invece al detentore della collezione di dati ossia, come detto, all'impresa, l'interpretazione della LPD deve piuttosto seguire la sfumatura resa della versione francese, così che il primo garante risulti, appunto, il detentore della collezione di dati, mentre il consulente interno vada considerato responsabile solo entro i limiti posti dall'articolo 55 della legge federale del 30 marzo 1911 di complemento del Codice civile svizzero (Libro quinto: Diritto delle obbligazioni; CO; RS 220).
I compiti e lo statuto del responsabile aziendale della protezione dei dati sono stabiliti dagli articoli 12a e 12b dell'ordinanza del 14 giugno 1993 relativa alla legge federale sulla protezione dei dati (OLPD, RS 235.11).
Statuto del responsabile aziendale della protezione dei dati
Per svolgere i compiti affidatigli, il responsabile deve sorvegliare in modo assolutamente autonomo che, all'interno dell'impresa, si osservano le prescrizioni sulla protezione dei dati (art. 11a cpv. 5 lett. e LPD). Per far sì che l'autoregolazione sia effettiva, l'indipendenza del responsabile va garantita non solo a livello organizzativo, ma pure a livello tecnico e professionale, senza dimenticare l'autonomia che va riconosciuta anche alle sue mansioni.
Indipendenza dal punto di vista organizzativo
Al responsabile della protezione dei dati non vanno attribuite altre mansioni che risulterebbero inconciliabili con i suoi compiti specifici. Qualsiasi possibile conflitto d'interessi, pertanto, va evitato già al momento di stabilire il suo statuto. Nella pratica si constata che le aziende organizzano infatti la sua funzione come organo di stato maggiore o servizio all'interno della divisione giuridica; talvolta si trova anche nella divisione di tecnologia dell'informazione o nel consiglio di direzione.
In linea di massima, dal punto di vista organizzativo occorre evitare che il posto del responsabile della protezione dei dati si trovi all'interno della linea gerarchica, poiché in caso contrario si rischierebbe di innescare un conflitto d'interessi. Le imprese hanno diverse possibilità per ovviare a questo problema, istituendo ad esempio, per la funzione di responsabile della protezione dei dati, un organo di stato maggiore oppure ricorrendo a una persona esterna.
Indipendenza dal punto di vista tecnico e professionale
Per svolgere i suoi compiti con la debita professionalità e indipendenza, il responsabile della protezione dei dati deve disporre delle competenze indispensabili nel suo settore. La legislazione in vigore stabilisce che egli deve possedere le «conoscenze tecniche necessarie» (art. 12a cpv. 2 e art. 12b cpv. 2 lett. a OLPD), ma non specifica nulla di più.
Il responsabile della protezione dei dati non deve solo padroneggiare l'insieme delle problematiche legate alla protezione dei dati, ma anche disporre delle nozioni specifiche concernenti il funzionamento dell'impresa. Deve conoscere e saper applicare i principi essenziali della legislazione sulla protezione dei dati. Se non possiede già il necessario bagaglio giuridico, dovrebbe seguire dei corsi che gli consentano per lo meno di cogliere le linee generali delle possibili problematiche; in altre parole se, quando e in che misura un determinato tipo di trattamento dati possa comportare una lesione della personalità.
L'IFPDT raccomanda pertanto che se non possiede una formazione giuridica, il responsabile designato internamente abbia per lo meno già lavorato sei mesi nel settore della protezione dei dati oppure abbia seguito un corso specifico della medesima durata.
Il responsabile, inoltre, deve conoscere bene l'impresa in cui lavora. Solo così, infatti, può giudicare autonomamente e in funzione della legislazione in vigore gli standard tecnici utilizzati, l'organizzazione interna dell'azienda e i singoli tipi di trattamento che essa effettua. A seconda dell'impresa, dal punto di vista tecnico tutto ciò può rappresentare una considerevole sfida professionale. Per valutare giuridicamente ma anche tecnicamente un trattamento dati all'interno di una ditta attiva, ad esempio, nel settore della tecnologia dell'informazione, il responsabile deve poter contare su un'esperienza specialistica (potrebbe essere il caso, ad es., di un programmatore).
Indipendenza delle mansioni
Il responsabile della protezione dei dati deve essere quanto più autonomo possibile, così da svolgere i suoi compiti senza essere vincolato a istruzioni; l'azienda, infatti, non deve poterlo sanzionare a causa delle sue attività. Deve inoltre disporre di risorse sufficienti, soprattutto in termini di tempo di lavoro (art. 12b cpv. 2 lett. b OLPD). Tuttavia, a seconda delle dimensioni dell'azienda, le esigenze possono essere diverse; l'IFPDT raccomanda pertanto di attribuire al posto del responsabile della protezione dei dati mezzi sufficienti, tali ad ogni modo da impedire che la sua non diventi una mera funzione di facciata.
Al responsabile, inoltre, va garantito l'accesso a tutte le collezioni di dati, a tutti i trattamenti e a tutte le informazioni di cui ha bisogno per svolgere le sue mansioni (art. 12b cpv. 2 lett. c OLPD). Questa condizione non si limita al solo accesso su richiesta, bensì implica anche che egli sia tenuto attivamente al corrente di tutti i trattamenti dati che vengono effettuati all'interno dell'azienda.
Compiti del responsabile della protezione dei dati
Per il responsabile aziendale della protezione dei dati, la LPD prevede sostanzialmente due categorie di mansioni:
- controllare il trattamento di dati personali e proporre provvedimenti correttivi nel caso in cui siano state violate prescrizioni sulla protezione dei dati (art. 12b cpv. 1 lett. a OLPD).
- allestire un inventario delle collezioni di dati, ai fini dell'articolo 11a capoverso 3 LPD (art. 12b cpv. 1 lett. b OLPD).
Funzione di sorveglianza
Per svolgere la sua funzione di sorveglianza, il responsabile interno della protezione dei dati deve farsi un'idea quanto più precisa e completa possibile di tutte le collezioni di dati di cui dispone l'azienda e di tutti i trattamenti ai quali queste sono sottoposte. Per poter farlo, deve disporre del diritto di consultare tutti gli atti e i documenti, del diritto di utilizzare i sistemi di trattamento dati e del diritto di chiedere informazioni a tutte le persone che ne sono garanti. Questo implica che il responsabile venga inoltre autorizzato a emanare precise disposizioni concernenti il suo settore di intervento; la direzione, da parte sua, è tenuta a garantire che quest'ultime siano rispettate.
L'IFPDT consiglia pertanto alle aziende di stabilire internamente l'obbligo di notificare tutti i trattamenti e le collezioni di dati al responsabile.
Sulla base delle informazioni che è in grado di procurarsi nell'ambito della sua attività di sorveglianza, il responsabile della protezione dei dati è tenuto a verificare se e in che misura le prescrizioni sulla protezione dei dati sancite dalla legislazione e le direttive in merito stabilite all'interno dell'azienda siano infrante o corrano il pericolo di esserlo. A questo scopo conduce anche una specifica analisi dei rischi, che esamini ad esempio il pericolo di trasmettere, cancellare o trattare dati involontariamente o senza autorizzazione, oppure il pericolo che vadano perse informazioni o, ancora, che siano commessi errori tecnici. Nel caso in cui rilevi che sono state infrante prescrizioni di protezione dei dati, è tenuto a emanare contromisure correttive che, a seconda dell'organizzazione interna dell'impresa, si rivolgeranno ai collaboratori responsabili oppure alla direzione. Ad ogni modo, l'azienda è tenuta da parte sua a garantire che le direttive emanate dal responsabile della protezione dei dati siano rispettate: in caso contrario, si presume che l'infrazione alla legislazione sia intenzionale. Non va dimenticato che, se l'opinione pubblica dovesse appropriarsi del caso, l'immagine dell'azienda potrebbe uscirne danneggiata.
Liberazione dall'obbligo d'annuncio
Secondo l'articolo 11a capoverso 5 lettera e LPD l'azienda che ha nominato un responsabile della protezione dei dati e lo ha segnalato all'IFPDT è esonerata dall'obbligo di registrare le sue collezioni di dati. Essa è tenuta, tuttavia, a organizzarsi internamente in modo da poter fornire, su richiesta, informazioni a privati e all'IFPDT sulle collezioni nelle quali si trattano regolarmente dati personali degni di particolare protezione o profili della personalità oppure sulla base delle quali si comunicano regolarmente dati personali a terzi.
Questi sono i requisiti minimi previsti dalla LPD per l'esonero dall'obbligo di notifica. Nell'interesse dell'azienda l'IFPDT raccomanda, tuttavia, che il responsabile interno si faccia un'idea quanto più precisa di tutte le collezioni di dati di cui dispone il suo datore di lavoro.
Misure e raccomandazioni
Qui di seguito si espongono le misure previste dalla legge in materia di autoregolazione. L'IFPDT aggiunge inoltre le esigenze che un'azienda deve assolutamente seguire sul piano organizzativo per rispettare le disposizioni in vigore.
Misure previste dalla legge
Sulla base delle prescrizioni in vigore, il posto di responsabile della protezione dei dati va concepito in modo che la persona incaricata:
- non sia vincolata a istruzioni;
- disponga di una qualificazione specifica sufficiente;
- verifichi l'elaborazione di dati personali all'interno dell'azienda;
- proponga provvedimenti correttivi, se risulta che sono state violate prescrizioni sulla protezione dei dati;
- abbia accesso a tutte le collezioni di dati e a tutti i trattamenti dati;
- tenga una lista delle collezioni di dati ai sensi dell'articolo 11a capoverso 3 LPD che, su richiesta, metterà a disposizione dell'IFPDT o delle persone interessate;
- non eserciti alcuna attività che entri in conflitto con i suoi compiti di sorveglianza.
Per avvalersi dell'esonero dall'obbligo di notificare le sue collezioni di dati, l'azienda deve soddisfare i requisiti menzionati sopra e, inoltre, comunicare all'IFPDT che ha provveduto a designare il posto di responsabile interno.
Proposte organizzative dell'IFPDT
Un'azienda dovrebbe riservare in ogni caso un'attenzione particolare alla protezione dei dati, anche a prescindere dagli standard minimi sanciti dalla legge. Se dovessero emergere pubblicamente, eventuali violazioni della legislazione in vigore incontrerebbero, tenuto conto della particolare sensibilità della popolazione in questo ambito, grande eco nei media e potrebbero di conseguenza causare importanti danni di immagine. L'IFPDT rileva, pertanto che è nell'interesse più immediato dell'azienda istituire al suo interno una sorveglianza della protezione dei dati efficiente ed efficace.
Organizzazione gerarchica della protezione dei dati all'interno dell'azienda
A prescindere dall'indipendenza del responsabile della protezione dei dati l'azienda dovrebbe nominare a un grado gerarchico più basso cosiddetti «manager della protezione dei dati», che impieghino una parte del loro tempo di lavoro per la protezione dei dati nel loro settore. Questi sono tenuti a garantire la comunicazione tra il responsabile aziendale della protezione dei dati e le singole divisioni o i singoli settori dell'impresa, in modo che possibili problemi possano essere rilevati e comunicati tempestivamente e che, viceversa, informazioni e istruzioni possano raggiungere le divisioni in maniera mirata.
Questa struttura gerarchica permetterebbe di:
- far sì che i manager della protezione dei dati impartiscano la necessaria istruzione a tutti i collaboratori (i manager, a loro volta, saranno stati prima formati dal responsabile della protezione dei dati);
- promuovere incontri tra i manager della protezione dei dati delle singole divisioni o dei singoli settori, in modo che possa aver luogo il necessario trasferimento di informazioni e di conoscenze;
- far sì che il responsabile aziendale disponga di interlocutori diretti che gli consentano di chiarire situazioni venutesi a creare all'interno di una divisione o di un settore e di formulare le necessarie raccomandazioni o di impartire le istruzioni del caso;
- garantire che le collezioni e i trattamenti di dati siano notificati ai manager della protezione dei dati, e che questi a loro volta li trasmettano al responsabile aziendale; i manager assumono così una funzione di standardizzazione e di aggregazione;
- mettere a disposizione del responsabile aziendale dei portavoce che gli consentano di rilevare tempestivamente quali trattamenti dati vengono pianificati, preparati e condotti all'interno dell'impresa.
Perché la comunicazione tra il responsabile indipendente e il manager della protezione dei dati abbia luogo con la massima efficienza e al primo sia garantito un accesso diretto alle divisioni e ai settori, è consigliabile non prevedere alcun grado gerarchico intermedio. Nel caso il carico di lavoro del responsabile aziendale si facesse troppo gravoso, perché costretto a rispondere alle richieste di troppi manager della protezione dei dati, l'IFPDT consiglia di nominare un secondo responsabile indipendente. I manager della protezione dei dati potrebbero così essere suddivisi tra i due responsabili, evitando di creare nuovi gradi gerarchici.
Processi standard di protezione dei dati
L'IFPDT raccomanda alle aziende di rendere operativo un numero ristretto di procedure specifiche di protezione dei dati, che i collaboratori sarebbero tenuti ad applicare nel corso del disbrigo dei loro compiti quotidiani:
- notifica e controllo delle collezioni di dati: il responsabile indipendente dovrebbe, nel limite del possibile, essere informato di tutte le collezioni di dati presenti all'interno dell'azienda. Occorre pertanto allestire un formulario standard che verrà distribuito internamente, in modo che possano essere rilevati tutte le collezioni e i trattamenti di dati effettuati e pianificati. In questo modo è possibile verificare l'esistenza, i cambiamenti e le cancellazioni delle collezioni di dati, e il responsabile indipendente può in qualsiasi momento farsi un'idea precisa di quali dati vengono trattati;
- valutazione del rischio: sulla base delle notifiche e dei controlli di collezioni e di trattamenti di dati il responsabile indipendente (ev. di concerto con i manager della protezione dei dati) può condurre un'analisi dei rischi. Questa dovrebbe consentirgli di valutare i potenziali danni ai quali l'azienda sarebbe confrontata nella peggiore delle ipotesi. Nel caso di collezioni di dati particolarmente delicate (grave pericolo di un danno di immagine per l'azienda, danni notevoli per le persone interessate e per i quali l'azienda potrebbe dover rispondere ecc.) il responsabile indipendente dovrebbe, oltre ad assumere le necessarie misure di sicurezza, prospettare scenari di emergenza, da applicare se si verificasse il peggio;
- notifica di violazioni della protezione dei dati: affinché sia possibile ridurre ai minimi termini i rischi e applicare scenari d'emergenza, in caso di una violazione della protezione dei dati è essenziale garantire un rapido flusso di informazioni tra la divisione interessata e il responsabile indipendente. Questo vale tanto più se esiste il pericolo che giunga eco della violazione della protezione dei dati all'opinione pubblica e l'azienda debba temere una perdita di fiducia nei suoi confronti. I manager della protezione dei dati devono pertanto valutare a grandi linee la rilevanza e l'urgenza di una possibile violazione della legislazione.
Pagina informativa interna e formulari standard
L'IFPDT raccomanda di creare nell'Intranet dell'azienda una pagina informativa sul tema della protezione dei dati, sulla quale mettere a disposizione tutti i documenti e i formulari rilevanti. In questo modo, per di più, è possibile garantire un'informazione attiva dei collaboratori.
Le aziende dovrebbero creare, per la notifica di tutte le collezioni e di tutti i trattamenti dati, formulari standard, grazie ai quali i responsabili possano farsi un'idea precisa di quanto avviene all'interno dell'azienda.