Strutture ricettive e nomina del DPO: le novità del GDPR

1.   GDPR e strutture ricettive: quale legame

L’industria dell’hospitality è tra le più esposte al cybercrime, in quanto le strutture ricettive dispongono di tutte le informazioni dei clienti registrati ai check-in, compresi i dati degli strumenti utilizzati dai clienti per i pagamenti. Solo che i livelli di sicurezza adottati dagli operatori del settore non sono sempre adatti alla mole dei dati trattati ed alla loro tipologia.

Con l’entrata in vigore del GDPR le strutture ricettive rientrano tra gli operatori privati obbligati ad essere compliance al Regolamento, e quindi obbligati ad adottare tutti gli strumenti idonei a prevenire ogni possibile violazione dei dati gestiti dalla struttura turistica,  e di quelli gestiti da terze parti in seguito a cessioni.

Negli ultimi anni molteplici sono stati gli attacchi informatici subiti da questo settore ed i conseguenziali data breach, spesso scaturenti dalla scarsa preparazione culturale e tecnologica dello stesso[1]. Certamente è necessario potenziare la formazione dei soggetti che operano nel settore, quindi aumentare la loro consapevolezza sull’esatta portata dei rischi e sugli obblighi derivanti dall’entrata in vigore del Regolamento (UE) 2016/679; ma anche potenziare la digitalizzare e l’informatizzazione delle strutture.

Tra gli obblighi più importanti scaturenti dal GDPR c’è quello della nomina di un DPO, figura in generale non sempre obbligatoria, ma della quale non può fare a meno il settore delle strutture ricettive.

Andiamo ora a vedere in dettaglio chi è il DPO e chi è obbligato a nominarlo.

 

2.   Chi è il DPO e quando nominarlo

Il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, noto anche come regolamento generale sulla protezione dei dati – (GU L 119 del 4.5.2016) – prima di tutto analizza la figura del responsabile della protezione dei dati o DPO (Data Protection Officer) negli artt. 37 e seguenti.

Il DPO è un nuovo ruolo previsto dal GDPR, un ruolo che aiuta le imprese e gli enti a coordinare e sorvegliare tutto ciò che riguarda l’applicazione delle regole e degli adempimenti in materia di protezione dei dati. È una forma di “cervello privacy” che va ad aiutare l’impresa o l’ente a capire che cosa deve fare e come farlo per garantire il rispetto della privacy ed i diritti alla tutela dei dati degli utenti, e degli interessati a cui si riferiscono le informazioni[2].

Il DPO si configura come una figura obbligatoria e di riferimento per imprese e PA che trattano dati personali su larga scala, oltre che per utenti e clienti, ed è l’interfaccia per le autorità garanti.

Nel settore pubblico è obbligatoria la sua nomina quando c’è un trattamento effettuato da un’autorità pubblica o da un organismo pubblico (escluse le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali).[3] Quindi, in ambito pubblico sono tenuti alla designazione di un DPO soggetti quali amministrazioni dello Stato (anche con ordinamento autonomo); enti pubblici non economici nazionali, regionali e locali; le Regioni e gli enti locali; le università, le Camere di commercio, industria, artigianato e agricoltura; le aziende del Servizio sanitario nazionale; le autorità indipendenti ecc. Ma l’obbligo di nominare un DPO ricade anche sui soggetti privati che esercitano funzioni pubbliche (es. concessionari di servizi pubblici)[4].

Mentre nel settore privato il DPO è obbligatorio in caso di trattamenti di dati su larga scala o di monitoraggio sistematico degli interessati su larga scala.

Nello specifico, l’art. 37 GDPR afferma che sono tenuti alla designazione del responsabile della protezione dei dati personali il titolare e il responsabile del trattamento quando appartengono ad un’autorità pubblica o ad un organismo pubblico; e quando ricorrono attività che consistono in trattamenti che richiedono il monitoraggio regolare e sistematico degli interessati su larga scala, o in trattamenti su larga scala di categorie particolari di dati personali o di dati concernenti condanne penali e reati. E possono poi esserci ulteriori casi di designazione obbligatoria del responsabile della protezione dei dati, questi però sono prevedibili solamente dal diritto dell’Unione Europea o degli Stati membri.

Al momento, in base alle disposizioni dell’art. 37, nell’ambito privato sono obbligati a nominare un DPO entità quali: istituti di credito; imprese assicurative; sistemi di informazione creditizia; società finanziarie; istituti di vigilanza; partiti e movimenti politici; sindacati; caf e patronati; società operanti nel settore delle “utilities” (telecomunicazioni, distribuzione di energia elettrica o gas); società operanti nel settore della cura della salute; terme, laboratori di analisi mediche e centri di riabilitazione; società di call center; società che forniscono servizi informatici; società che erogano servizi televisivi a pagamento.

Il Regolamento (UE) 2016/679 però non fornisce la definizione di “monitoraggio regolare e sistematico” e di “larga scala”, e per delimitare il significato di tali termini bisogna andare a leggere tra le “Linee guida sui responsabili della protezione dei dati” del 5 aprile 2017, WP 243 (/regolamentoue/rpd))[5].

Dal punto di vista del suo operato, il suo incarico può essere part time, ed egli può essere condiviso tra più imprese.

Dal punto di vista delle responsabilità, prima di tutto, egli non si può assumere la responsabilità per il trattamento dei dati, in quanto la sua funzione è solo quella di aiutare a trattare bene i dati. Per tutte le altre attività c’è la figura del titolare (data controller) e del responsabile del trattamento (data processor)[6]. Egli in fondo è un facilitatore, che aiuta il titolare o il vertice dell’azienda a trattare i dati in modo corretto.

Dal punto di vista dei requisiti, il DPO ha l’obbligo di riservatezza; e non deve avere conflitti di interesse con l’entità che lo nomina. Esso deve, infatti, essere autonomo ed indipendente, ma ciò non significa che non possa essere un dipendente dell’azienda che lo nomina. Per esempio, potrebbero essere nominati DPO soggetti che ricoprono già incarichi dirigenziali all’interno dell’azienda, quindi: amministratore delegato; membro del consiglio di amministrazione; direttore generale; soggetti operanti in strutture aventi potere decisionale in ordine alle finalità e alle modalità del trattamento; soggetti operanti nel settore direzione risorse umane, direzione marketing, direzione finanziaria, responsabile IT ecc.

In sintesi, il DPO può essere un soggetto esterno all’azienda o essere un soggetto scelto all’interno della stessa. Nel primo caso andrà nominato mediante un contratto di servizi, mentre nel secondo caso potrà essere designato mediante uno specifico atto di designazione.

In entrambi i casi l’atto – di designazione/di nomina – deve essere redatto in forma scritta, e deve indicare espressamente i compiti attribuiti, le risorse assegnate per il loro svolgimento, nonché ogni altra utile informazione in rapporto al contesto di riferimento.

Inoltre, il DPO per ricoprire le funzioni che la normativa gli attribuisce, deve essere in possesso del requisito di professionalità e quindi avere un’elevata conoscenza delle tematiche privacy e le competenze informatiche che il ruolo richiede, perché ad egli spetterà un ruolo di consulenza per orientare le scelte del management; di sorveglianza sull’affidabilità del modello adottato; e di interfaccia tra il titolare del trattamento con l’autorità di controllo da una parte e con gli interessati dall’altra (data subjects).

Dal punto di vista operativo, esso interagisce con i data subjects[7] ed il vertice dell’azienda; deve avere determinate garanzie di inamovibilità; ed essendo indipendente e senza conflitto di interessi può entrare in tutte le procedure amministrative dell’azienda per vedere in che modo sono trattati i dati. Quindi può andare a conoscere il funzionamento di tutto all’interno di un’entità produttiva. E questo è il valore aggiunto del DPO. Come però si può immaginare, tutto questo è possibile solo se il vertice gli dà le risorse necessarie e se impone alla struttura dell’azienda la presenza del DPO. Ad esempio possono esserci dei regolamenti interni che prevedono la sua partecipazioni a tutte le riunioni in cui si affrontano tematiche inerenti e connesse ai dati personali, perché è l’azienda stessa che deve metterlo in condizione di aiutare l’azienda a migliorare la gestione dei dati personali.

il DPO deve essere sempre in contatto con il vertice dell’azienda, e le strutture di comando, perché a loro deve dire se la direzione della società è giusta o meno in merito al trattamento dati.

Provando ora a sintetizzare i suoi compiti possiamo affermare che il DPO ha 4 principali compiti. Uno è di consulenza ed orientamento nei confronti del titolare del trattamento o del responsabile del trattamento

Un secondo ruolo è quello di sorveglianza sulla robustezza e sull’efficacia del modello di compliance GDPR di cui si è dotata l’impresa o l’ente

Un terzo ruolo è quello di interlocutore ufficiale tra il titolare o responsabile del trattamento e l’autorità di controllo.

Infine, il quarto ruolo è quello di interfaccia tra il titolare o responsabile del trattamento e gli interessati, quindi un ruolo ad evidenza esterna che consente di aiutare gli interessati a cui si riferiscono i dati ad esercitare i loro diritti.

Ma è importante che il DPO interpreti il suo ruolo non solo dal punto di vista della compliance degli adempimenti, perché è importante che egli sia un soggetto dotato di una certa cultura del trattamento dei dati, che veda nei dati non solo un elemento di rischio ma soprattutto un elemento di opportunità; che conosca quelle che sono anche le avanguardie, le prospettive, e gli scenari di utilizzabilità dei dati. Un buon DPO dovrebbe anche aiutare l’impresa o l’ente a valorizzare i dati che tratta, che gestisce e non solo accompagnare il titolare o il responsabile del trattamento nella mera compliance, e quindi nella difesa da possibili violazioni o nella prevenzione rispetto alla possibilità di essere sanzionati.

Quindi il DPO da un lato deve aiutare a prevenire, da un altro deve aiutare a prevenire problematiche, dall’altro aiutare a valorizzare i dati. Ed è chiaro che in un mondo che è data driven – quindi guidato dai dati – che vede l’economia e la società, oltre che tutti gli scambi e gli equilibri trasformati in scambi di dati, elaborazioni di dati, valorizzazioni di dati, è opportuno che il DPO si prepari a fronteggiare tematiche che potrebbero sembrare avveniristiche.

Molto importante poi è che il DPO sia esperto di diritto dei consumatori, in particolare se dovesse essere un responsabile della protezione dei dati nell’ambito di contesti di mercato in cui operano titolari o responsabili del trattamento che si occupano di fornitura di servizi o di beni ai consumatori. Questo perché sempre di più la protezione dei dati sarà qualcosa di contagiato dal diritto del consumo e del mercato e qualcosa di impattante sulla lealtà e sulla trasparenza della relazione con i consumatori. Quindi il DPO di un’impresa commerciale non potrà fare a meno di conoscere questo tipo di tematiche, che potranno avere ripercussioni importanti sia in ambito privacy che in ambito consumeristico.[8]

In sintesi, il Data Protection Officer non ha solo il compito di informare e consigliare il titolare o il responsabile del trattamento, nonché i dipendenti, in merito agli obblighi derivanti dal Regolamento UE 2016/679 e dalle altre disposizioni dell’UE o delle normative locali degli Stati membri relative alla protezione dei dati, ma deve anche sapersi muovere adeguatamente nel contesto in cui opera l’azienda che lo nomina.

Relativamente alle procedure di nomina, secondo l’art. 37 par. 2 del Regolamento (UE) 2016/679, un gruppo imprenditoriale (v. definizione di cui all’art. 4, n. 19) può incaricare un unico DPO, che però deve essere un soggetto facilmente raggiungibile da ciascuno stabilimento (sul concetto di “raggiungibilità”, v. punto 2.3 delle linee guida precedentemente indicate).

Per completare l’analisi del DPO, è opportuno richiamare anche le Linee guida sui responsabili della protezione dei dati” adottate dal Gruppo Art. 29 il 13 dicembre 2016 e successivamente emendate il 5 aprile 2017, alle quali il Garante per la protezione dei dati personali italiano ha aggiunto chiarimenti nella sezione Provvedimenti e normativa- Regolamento Ue 2016/679 – Responsabile della Protezione dei Dati – RPD, nella quale sono state inserite le FAQ relative alla procedura telematica per la comunicazione, variazione e revoca dei dati del RPD, le Faq sul Responsabile della protezione dei dati (RPD) in ambito pubblico e le Faq sul Responsabile della Protezione dei Dati (RPD) in ambito privato[9].

Ma il Data Protection Officer è richiamato anche nella sezione del GDPR che si occupa dei diritti riconosciuti all’interessato. All’art. 13 del Regolamento c’è il diritto di conoscere i dati di contatto del responsabile della protezione dei dati (data protection officer), che possono essere rappresentati da numeri di telefono e/o di fax, indirizzi email, indirizzi postali, etc. Nel frattempo l’informativa sul trattamento dei dati deve riportare anche le modalità individuate dal titolare con cui gli interessati possono contattare direttamente il DPO.

Dal punto di vista operativo, nell’esecuzione dei propri compiti il DPO deve poter disporre di un adeguato supporto finanziario, infrastrutturale, e se necessario di personale.

Resti però chiaro che il titolare o il responsabile del trattamento che abbia designato un responsabile per la protezione dei dati personali resta comunque pienamente responsabile dell’osservanza della normativa in materia di protezione dei dati e deve essere in grado di dimostrarla (art. 5, par. 2, del Regolamento; v. anche i punti 3.2 e 3.3. delle linee guida sopra richiamate), perché è il data processor o il data controller che si assume la responsabilità della nomina.

In ultimo, dobbiamo aggiungere che il Garante nella sezione FAQ ha chiarito che il DPO può essere una persona fisica, ma può anche essere supportato da un apposito ufficio dotato delle competenze necessarie ai fini dell’assolvimento dei propri compiti; e nel caso in cui dovesse essere scelto come DPO un soggetto esterno, quest’ultimo potrebbe essere anche una persona giuridica (v. il punto 2.4 delle Linee guida).

In quest’ultimo caso però è opportuno procedere ad una chiara ripartizione di competenze, ed individuare una sola persona fisica atta a fungere da punto di contatto con gli interessati e l’Autorità di controllo.

 

Luana Fierro

[1] Più diffusamente sui data breach nel settore dell’hospitality v. D. Kubacki., Timeline: The growing number of hotel data breaches, http://www.hotelnewsnow.com/Articles/50937/Timeline-The-growing-number-of-hotel-data-breaches [30 nov. 2018].

[2] Bolognini LA VIDEOINTERVISTA – Gdpr, Bolognini: “Ruolo dei Dpo fondamentale per le aziende”, https://www.corrierecomunicazioni.it/privacy/gdpr/gdpr-bolognini-iip-ruolo-dei-dpo-fondamentale-per-le-aziende/ [11 giu 2018].

[3] Il GDPR non fornisce le definizioni di autorità pubblica e di organismo pubblico, in quanto le Linee guida adottate WP 29 lasciano che l’individuazione di tali entità sia rimessa al diritto nazionale .

[4] Per approfondimenti v. Garante per la Protezione dei dati personali, Faq sul Responsabile della Protezione dei dati (RPD) in ambito pubblico, https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/7322110

[5]European Commission, Guidelines on Data Protection Officers (‘DPOs’) (wp243rev.01), https://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=612048 [30/10/2017].

[6] European Commission, What is a data controller or a data processor?, https://ec.europa.eu/info/law/law-topic/data-protection/reform/rules-business-and-organisations/obligations/controller-processor/what-data-controller-or-data-processor_en [27/06/2019].

[7]Il Data Subject è il soggetto a cui si riferiscono i dati personali, che nel GDPR nella versione italiana è qualificato come l’interessato.

Per approfondimenti v. R. Panetta, Gdpr, ecco chi sono (e cosa fanno) il data controller e il data processor, https://www.corrierecomunicazioni.it/privacy/gdpr/gdpr-ecco-chi-sono-e-cosa-fanno-il-data-controller-e-il-data-processor/ [13 mar 2018];

[8] Intervento di L. Bolognini, LA VIDEOINTERVISTA – cit.

[9] Garante per la Privacy, Il Responsabile della Protezione dei Dati (RPD), https://www.garanteprivacy.it/regolamentoue/rpd [11/06/2019].