Innanzitutto bisogna definire una serie di dettagli che molto spesso sono scontati e poche volte compresi correttamente.
Cosa si intende con trattamento dei dati personali
Per trattamento dei dati personali si intendono tutte le attività effettuate con o senza l’aiuto di processi automatizzati e applicate a dati personali relativi alla raccolta, alla registrazione, alla conservazione, alla consultazione, all’organizzazione, alla selezione, l’estrazione, al blocco, la comunicazione, la diffusione, la cancellazione, la distruzione di dati, anche se non registrati in una banca dati.
Il GDPR gestisce solo il trattamento dei dati personali che arrivano da persone fisiche tralasciando le persone giuridiche, eccetto poche situazioni. Quindi, solo le persone fisiche sono interessate al trattamento dei dati personali però questi dati solitamente sono gestiti da aziende, enti e istituzioni e di conseguenza bisogna essere ben informati sui diritti e i doveri delle persone fisiche e giuridiche.
Cos’è il DPO – Data Protection Officer
Il Data Protection Officer (Responsabile della protezione dai dati) è una figura professionale introdotta del Regolamento UE 679/2016, Regolamento Generale sulla Protezione dei Dati personali.
Il DPO vigila, osserva, valuta ed organizza la gestione del trattamento di dati personali negli enti o aziende dove è stato nominato dal Titolare.
Quando si ha bisogno di un DPO – Data Protection Officer?
Dal regolamento, art. 37, sappiamo che il DPO deve obbligatoriamente essere nominato solo in tre casi:
- l’ente è pubblico o è un organismo privato incaricato dello svolgimento di pubbliche funzioni.
- l’attività svolta dal Titolare o dal Responsabile del trattamento consiste nel trattamento di dati che per la loro natura, oggetto o finalità, richiedono il controllo regolare e sistematico degli interessati su larga scala.
- l’attività principale consiste nel trattamento su larga scala di dati sensibili.
Secondo il regolamento, se sono il proprietario di una piccola ferramenta con un dipendente, non ho bisogno di nominare un DPO (Responsabile della protezione dai dati).
Se invece di un ferramenta avessi una palestra? Una palestra con relativa scheda di allenamento per ogni cliente, aggiornata settimanalmente?
Per rispondere ad una domanda di questo genere abbiamo bisogno di fare due ulteriori passaggi.
Chi ha bisogno di un DPO – Data Protection Officer?
Ed ecco i passaggi per l’accertamento.
Innanzitutto, abbiamo bisogno di mappare tutti i trattamenti che vengono gestiti da questa palestra. Quali e quanti dati, il luogo di conservazione e con chi vengono condivisi.
Il passaggio successivo è una corretta analisi dei rischi andando ad individuare la probabilità che un evento accada. La sua gravità, gli impatti e gli eventuali sistemi di controllo, mitigazione e gestione messi in atto.
Ed è proprio in questo contesto che andremo a dare una risposta puntuale sul quesito iniziale. Ho bisogno di un DPO?
Purtroppo, la domanda è mal posta.
Il Garante, si aspetta dai titolari di conoscere i motivi per cui la nomina del DPO non è stata fatta, non il contrario.
Si deve cioè partire dal presupposto che la nomina del DPO non fa sicuramente male ad una azienda quindi si deve convincere il garante che la scelta di non nominarlo è stata valutata e ponderata con attenzione.
Vi sono però delle situazioni per le quali, pur non essendoci un obbligo cogente, non abbiamo bisogno di un’analisi dei rischi per poter dire con certezza che si deve procedere alla nomina.
Se un’azienda utilizza un sistema che fa uso di algoritmi di Intelligenza Artificiale (IA) per trattare i dati personali dei propri clienti. Automatizzando ad esempio dei processi di comunicazione, credo diventi difficilmente difendibile la scelta di non avvalersi di un DPO.
Leggi anche: Cosa devi sapere sulla protezione del tuo sito e-commerce
Algoritmi di Intelligenza Artificiale per trattare i dati personali
I rischi principali connessi all’uso dell’Intelligenza artificiale riguardano l’applicazione di norme intese a tutelare i diritti fondamentali (comprese la protezione dei dati personali e della privacy e la non discriminazione), nonché le questioni legate alla sicurezza e alla responsabilità.
I sistemi di Intelligenza artificiale possono essere soggetti a fattori distorsivi che potenzialmente potrebbero portare a fenomeni discriminatori o di limitazione delle libertà di scelta.
Ecco il motivo per cui la sorveglianza continua per chi utilizza sistema di IA diventa una parte fondamentale di quelle misure di sicurezza adeguate ben descritte nell’art. 32 del GDPR.
Con i presupposti visti sino ad ora, per una realtà che faccia largo uso di strumenti di IA per trattare dati di persone fisiche, dimostrare la non necessità della nomina di un DPO diventa veramente complicato.
Continua a leggere qui gli articoli su trattamento dei dati personali, privacy e GDPR realizzati da FinData
Parlare di GDPR, privacy, data management, Vulnerability Assessment, Disaster Recovery, sicurezza informatica, Sistemi di Antivirus e Anti-Malware non è mai abbastanza. Tante sono le regole e differenti per ogni contesto.
Al prossimo EcommerceDay andremo a sviluppare nel dettaglio tutto quello che deve sapere un ecommerce manager, un imprenditore oppure qualsiasi azienda e business che ha un sito o che gestisce dati personali di terzi.
Il 29 e 30 settembre 2022 si terrà l’11° edizione di EcommerceDay a Torino e online. Iscriviti anche tu per imparare direttamente dai migliori.