Confrontiamo il responsabile privacy con quello della conservazione
Nel corso dell’ultimo decennio, grazie ai processi tecnologici nel campo dell’informatica, adeguatamente supportati da disposizioni legislative ad hoc, si è assistito ad un incremento di figure destinate a semplificare l’organizzazione aziendale, rendendola più efficace e più appropriata alle effettive esigenze di ogni singola realtà. Dette figure si fondano sull’assoluta necessità per le imprese di regolamentare e formalizzare le procedure aziendali relativamente ai procedimenti implementati, rispondendo in tal modo ad esigenze di trasparenza, controllo, e tracciabilità degli operatori, provvedendo, così , anche alla loro responsabilizzazione. In concreto, anche secondo quanto normativamente previsto, e mediante la predisposizione di modelli organizzativi interni, assume un rilievo preponderante all’interno delle aziende la figura del Responsabile. Nello prosieguo del presente trattato verranno analizzate – in particolare – la figura del Responsabile Privacy (RP) e quella del Responsabile della Conservazione Sostitutiva (RCS), così da poterle mettere a confronto, evidenziando le affinità e le peculiarità che le contraddistinguono.
Il primo, secondo la definizione dell’art. 4 D.lgs. 196/2003 è “la persona fisica, persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo preposti dal titolare al trattamento di dati personali”; in altre parole, il RP è visto come la longa manus del Titolare, un veicolo nelle mani di quest’ultimo, per l’attuazione delle misure di sicurezza predisposte. L’individuazione del RP, ex art. 29, deve avvenire tra i soggetti che per esperienza, capacità ed affidabilità forniscano idonea garanzia del pieno rispetto delle vigenti disposizioni in materia di trattamento, compreso il profilo relativo alla sicurezza. I compiti e gli oneri del responsabile si desumono da un’attenta lettura del Codice, e, nello specifico:
v individuare e nominare per iscritto gli incaricati del trattamento, dando loro, idonee istruzioni;
v vigilare sul rispetto delle istruzioni impartite agli incaricati;
v adottare e rispettare le misure minime di sicurezza indicate dal titolare del trattamento;
v evadere tempestivamente tutte le richieste e gli eventuali reclami degli interessati e le richieste di informazione da parte dell’Autorità Garante;
v interagire coi soggetti incaricati di eventuali verifiche, controlli e ispezioni;
v comunicare al titolare nuovi trattamenti da intraprendere;
v distruggere i dati personali in caso di cessazione del trattamento.
Il RCS invece, è quel soggetto preposto alla supervisione, gestione e controllo del sistema di conservazione sostitutiva aziendale. Il ruolo del responsabile è rinvenibile nell’art. 5 della “Delibera CNIPA 19 febbraio 2004, n.11” , che ne definisce i compiti, e, in particolare:
- definisce le caratteristiche e i requisiti del sistema di conservazione in funzione della tipologia dei documenti (analogici o informatici) da conservare, della quale tiene evidenza. Organizza conseguentemente il contenuto dei supporti ottici e gestisce le procedure di sicurezza e di tracciabilità che ne garantiscono la corretta conservazione, anche per consentire l´esibizione di ciascun documento conservato;
- archivia e rende disponibili, con l´impiego di procedure elaborative, relativamente ad ogni supporto di memorizzazione utilizzato, le seguenti informazioni:
1. descrizione del contenuto dell´insieme dei documenti;
2. estremi identificativi del responsabile della conservazione;
3. estremi identificativi delle persone eventualmente delegate dal responsabile della conservazione, con l´indicazione dei compiti alle stesse assegnati;
4. indicazione delle copie di sicurezza;
- mantiene e rende accessibile un archivio del software dei programmi in gestione nelle eventuali diverse versioni;
- verifica la corretta funzionalità del sistema e dei programmi in gestione;
- adotta le misure necessarie per la sicurezza fisica e logica del sistema preposto al processo di conservazione sostitutiva e delle copie di sicurezza dei supporti di memorizzazione;
- richiede la presenza di un pubblico ufficiale nei casi in cui sia previsto il suo intervento, assicurando allo stesso l´assistenza e le risorse necessarie per l´espletamento delle attività al medesimo attribuite;
- definisce e documenta le procedure di sicurezza da rispettare per l´apposizione del riferimento temporale;
- verifica periodicamente, con cadenza non superiore a cinque anni, l´effettiva leggibilità dei documenti conservati provvedendo, se necessario, al riversamento diretto o sostitutivo del contenuto dei supporti.
- Delegare in tutto o in parte, lo svolgimento di proprie attività ad una o più persone che, per competenza ed esperienza, garantiscano la corretta esecuzione delle operazione ad esse delegate.
Mettendo a confronto le due categorie di responsabili, così come individuate dalle rispettive normative, si evidenziano una standardizzazione del legislatore riguardo al alcune caratteristiche e peculiarità, necessarie a contraddistinguere le figure del responsabile in azienda.
Entrambe, infatti, sono preposte dai vertici aziendali per la supervisione ed il controllo del sistema privacy o di quello della conservazione sostitutiva, implementando modelli di gestione e procedure, definendo le modalità e gli strumenti necessari alla messa in opera delle stesse, anche per il tramite di istruzioni impartite a soggetti incaricati. Proprio in virtù di quest’ultima facoltà, si evidenzia come, all’interno della realtà aziendale, le figure del RP e del RCS siano – in genere – delle figure gerarchicamente sovraordinate rispetto agli incaricati delegati, così da poter materialmente mettere in pratica le mansioni che i vertici societari attribuiscono al responsabile stesso. A livello di organigramma i responsabili dovrebbero quindi occupare una posizione di staff e supporto all’alta direzione, con pieni poteri operativi in materia di implementazione delle procedure organizzative e tecniche. Inoltre, entrambe le figure – anche mediante l’assistenza di consulenti esterni – avranno un ruolo cardine nella elaborazione, rispettivamente, del Documento Programmatico di Sicurezza[1] e del Manuale della Conservazione Sostitutiva[2]. Infine, le stesse fungeranno da referenti in caso di ispezioni, controlli e richieste varie.
Come si desume dalla lettura dei compiti affidabili ai responsabili, anche in virtù dei rispettivi dettati normativi, la definizione delle competenze ad esse attribuite è un passaggio fondamentale per una corretta progettazione e organizzazione delle fasi dei processi aziendali. È quindi cruciale l’identificazione di un ruolo con compiti ben definiti che non escludono – potenzialmente – anche una coincidenza tra RP e RCS. Ciò risulterà possibile qualora il candidato dimostri di possedere sia competenze in ambito legale, sia esperienze applicative in ambito di sicurezza delle informazioni e gestione dei sistemi informativi e documentali, sempre premesso che le mansioni svolte dal responsabile nominando permettano l’attribuzione delle doppia nomina. Dicasi che generalmente in strutture organizzative complesse una soluzione di compromesso, destinata a definire una gerarchia più articolata di responsabili, si rende quasi obbligata, così da garantire un maggiore controllo sul procedimento al quale è preposto il responsabile nominato.
In conclusione, per la tutela dei diritti fondamentali e del rispetto della legge si rende obbligatorio che gli operatori economici si avvalgano di modelli organizzativi che passano necessariamente attraverso la figura del Responsabile, o, meglio, dei Responsabili. Questi si configurano come figure efficaci ed indispensabili per i vertici aziendali per controllare la puntuale definizione ed il coordinamento delle procedure decise, in piena attuazione del principio della libertà di iniziativa economica, costituzionalmente garantito dall’art. 41 della Costituzione.
[1] Documento in grado di attestare l’adeguamento della struttura alla normativa sulla tutela dei dati personali, descrivendo l’analisi dei rischi, la distribuzione dei compiti, le misure di sicurezza apportate e le procedure interne per la pianificazione della messa in sicurezza dei dati del Titolare.
[2] Documento atto a descrivere l’articolazione delle competenze, i compiti, le attività, le modalità di funzionamento e le verifiche nelle varie fasi operative, del processo di conservazione sostitutiva implementato dalla società.