Questo articolo è il risultato del dibattito prodotto in Sessione: “Problemi di protezione del lavoro e dei dati nella legge 2/2023 del 20 febbraio sulla protezione dell'informatoree"

L'articolo 5 della legge 2/2023, del 20 febbraio, che disciplina la protezione delle persone che denunciano violazioni normative e la lotta alla corruzione, afferma che il organo amministrativo o organo di governo di ogni ente od organismo previsto dalla legge, oltre ad essere preposto alla realizzazione del sistema informativo interno, avrà la qualità di responsabile del trattamento dei dati personali in conformità a quanto previsto dalla normativa in materia di protezione dei dati personali. Suppone, quindi, un'attribuzione ex leg della qualità di titolare del trattamento.

Non è inutile ricordare che questa figura è definita dal regolamento generale sulla protezione dei dati con contorni molto precisi. "Responsabile del trattamento" o "titolare del trattamento": la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento; se il diritto dell'Unione o dello Stato membro determina le finalità e i mezzi del trattamento, il responsabile del trattamento o i criteri specifici per la sua nomina possono essere stabiliti dal diritto dell'Unione o dello Stato membro;

Da un lato, vi è un'attribuzione di ruoli di natura materiale basata sul identificazione del soggetto o soggetto dotato di capacità decisionale rilevante. D'altra parte, quando la legge prende queste decisioni, può anche attribuire a un determinato soggetto il condizione di responsabile. Questa non è una questione controversa. Ciò che è discutibile sarà se la scelta del legislatore sia corretta. In molte occasioni, con la libertà che ci concede l'accademia, abbiamo criticato le soluzioni di laboratorio. E questo senza dubbio perché può diventare inefficiente o problematico per diversi motivi.

La prima, la più elementare, ci riporta all'approccio materico. La legge non solo definisce i fini ei mezzi, ma promuove anche a determinato modello di gestione. Il suo articolo 8, nel disciplinare la designazione e le funzioni del preposto al sistema informativo interno, individua la persona o l'organo collegiale che, in base a statuto di indipendenza, assumerà le decisioni di ordinaria amministrazione. Statuto che, lungi dall'essere intaccato, sarebbe stato arricchito dall'attribuzione della qualifica di titolare del trattamento. E questo per molte ragioni diverse.

Il primo dal trasparenza e affidabilità del sistema, nonché la sua accessibilità. Data l'importanza della sua decisione, di solito sarà che il reclamante controllare attentamente le informazioni legali comprese le politiche sulla privacy: Cosa capirai quando leggerai che il responsabile del trattamento è un "Consiglio di Amministrazione", rispetto al quale solleverai ogni tipo di comunicazione? Il chiamante non ha ottenuto la certificazione della privacy dall'AEPD e ha potuto capire che il "sistema informativo" che doveva proteggere la sua identità è diretto da coloro che intendeva denunciare. Se è così, nessuno sano di mente presenterebbe un reclamo. E anche se si affermerà che quel "buon senso" ha poco valore legale o razionale, quando è regolamentato vale la pena mettersi nei panni di persone che non si accorgeranno di queste dogmatiche prelibatezze.

Ancora più assurda è la necessità di progettare una serie di misure di compliance atte a garantire l'indennizzo del sistema informativo. Nessuna norma sulla protezione dei dati indica che l'accesso a un sistema informativo può essere veto dall'organismo al quale è attribuito lo status di responsabile del trattamento dei dati. e questo è il principale conseguenza di questa costruzione giuridica. Nessuno dei membri del Consiglio o delle persone del tuo team dovrebbe avere accesso al sistema informativo. E questo solleva a paradosso quando, ai sensi dell'articolo 36.4 LOPDGDD, la persona delegata alla protezione dei dati notifica "agli organi amministrativi e di direzione del responsabile" una potenziale violazione di questo sistema informativo. Il DPD non prende decisioni, si limita a supervisionare e il responsabile deve indagare e correggere i problemi. Questa azione può comportare l'accesso al sistema informativo e alle sue informazioni. La decisione tecnica che la legge recepisce colloca la capacità di decidere sul trattamento dei dati in un organismo al quale, a determinate condizioni, dovrebbe essere vietato l'accesso alle informazioni.

La la protezione dei dati fin dalla progettazione e per impostazione predefinita non è solo un'attività di laboratorio legale. Richiede di conoscere, o almeno di emulare i processi di gestione, anche se fosse in un modello di progettazione, non funziona. Se fosse stata configurata una mappa dei processi con uno schema chiaro, sarebbe difficile attribuire tale responsabilità all'organo di governo. Lo spazio naturale per un tale compito corrisponde, naturalmente, al organismo di conformità.

Ciò costringe i delegati alla protezione dei dati a prendere in considerazione almeno due policy. Innanzitutto, assicurati che l'informativa sul trattamento assolve ad una funzione che è richiesta di trasparenza, accessibilità nella sua dimensione di intelligibilità. Il comunicatore deve comprendere che il "Consiglio", anche se responsabile del trattamento, quando viene "segnalato", non accederà alle informazioni. Il secondo è progettare la metodologia interna e plasmare il design del sistema informativo che garantisca che, al fine di rispettare il GDPR, non influenziamo il Dovere difidencialità della Legge 2/2023.

Ricardo Martinez Martinez

Professore di diritto costituzionale presso l'Università di Valencia, direttore della cattedra di privacy e trasformazione digitale della Microsoft-Universitat de Valencia e consulente accademico di FIDE