La struttura organizzativa interna del trattamento dei dati e del servizio RDP/DPO nella banca centrale italiana
Abstract: L’assetto organizzativo del trattamento dei dati personali, del servizio di protezione dei dati gestito internamente dalla Banca d’Italia.
Keywords: #bancaditalia #bankitalia #bancacentraleitaliana #BCE #bancacentraleeuropea #SEBC #sistemaeuropeobanchecentrali #garanteprivacy #garanteprotezionedatipersonali #emanuelascacchi #privacy #trattamentodatipersonali #protezionedatipersonali #ethicasocietas #ethicasocietasupli #scienzeumane #scienzesociali
Le figure e i ruoli del trattamento dei dati in Banca d’Italia
L’attuale assetto organizzativo della Banca d’Italia in materia di protezione dei dati personali prevede che:
- il titolare dei trattamenti sia la Banca d’Italia nella persona del direttore generale;
- il Servizio organizzazione della Banca assolva gli obblighi individuati dalla legge in capo al titolare, in tale veste il Servizio coopera e rappresenta la Banca nei rapporti con il Garante per la protezione dei dati personali (art. 31 Regolamento UE 2016/679), emana la normativa, dando anche attuazione ai provvedimenti del Garante (Circolare 257, Regolamento sui dati sensibili e giudiziari), svolge compiti di coordinamento delle Strutture, risponde alle istanze di accesso in materia di privacy;
- i capi delle strutture siano individuati dal titolare quali responsabili delegati all’effettuazione dei trattamenti;
- il responsabile alla protezione dei dati (RPD), noto anche come DPO-Data protection officer, figura prevista dall’art. 37 del Regolamento UE 2016/679, sia designato dal titolare del trattamento per assolvere funzioni di supporto e controllo, consultive, formative e informative relativamente all’applicazione del Regolamento medesimo. In questa veste, coopera con l’Autorità Garante e intrattiene relazioni con i responsabili della protezione dei dati della Banca centrale europea (BCE) e delle altre banche centrali del Sistema europeo di banche centrali (SEBC), nonché delle altre autorità nazionali,anche partecipando a un Network con altre istituzioni. Dal 2018 tale incarico è attribuito al Revisore generale della Banca d’Italia, la figura organizzativa interna all’Istituto che meglio risponde ai requisiti di indipendenza e autonomia previsti dalla legge.
L’evoluzione dell’organizzazione
Nel 2018, con l’entrata in vigore del GDPR, fu valutata anche l’opzione di assegnare i compiti di supporto a unità organizzative già operanti. In particolare l’attribuzione dei compiti alla Divisione regolamentazione del Servizio organizzazione non fu ritenuta percorribile dal momento che l’organizzazione svolge il ruolo, richiesto dall’impianto normativo, di prestare supporto al titolare del trattamento dei dati, che è il direttore generale, nell’assolvimento degli obblighi individuati dalla legge in capo al titolare stesso.
In via generale, si ritenne che vi fossero maggiori elementi di conformità rispetto alle indicazioni della normativa esterna in una soluzione con una struttura di supporto ad hoc, senza altri compiti, in accompagnamento all’attribuzione del ruolo di RPD a una posizione di elevato livello collocata fuori dai Dipartimenti.
Il RPD ha inizialmente operato con l’ausilio di una segreteria tecnica senza il rango di unità organizzativa, sino ad arrivare all’autunno scorso quando è stato costituito un nucleo di persone specializzate nella normativa europea e nazionale in materia; per ora la dimensione contenuta di questa struttura si sta dimostrando adeguata agli impegni; fra l’altro, si ispira alla nostra soluzione quella adottata dalla BCE, che ha da poco formalizzato anch’essa un’unità di quattro persone a riporto diretto del suo DPO, acronimo che traduce il nostro RPD).
L’operatività è andata consolidandosi, in particolare nell’interazione con le diverse Strutture della Banca, che fanno riferimento al RPD e ai suoi collaboratori allorché affrontano problematiche connesse con la normativa a tutela della protezione dei dati personali, e nella partecipazione alle diverse sedi di collaborazione nazionale ed europea: il network dei RPD delle Autorità amministrative indipendenti e quello dei Data Protection Officer delle Istituzioni del SEBC-SSM. Il primo promuove regolarmente incontri per approfondimenti congiunti in materia che richiedono la predisposizione di documentazione illustrativa e testimonianze, mentre il secondo, in ambito SEBC, è coordinato dalla BCE che convoca periodicamente riunioni per discutere problematiche comuni e presentare soluzioni su specifiche questioni.
Valutazioni d’impatto
Ampia è anche l’attività di consulenza alle strutture e nelle c.d. valutazioni di impatto sulla protezione dei dati (Data protection impact assessment – DPIA), va considerato, infatti, che sono numerose le unità della Banca che gestiscono dati personali e si rivolgono al Nucleo che assiste il RPD per avere indicazioni su come rendere il trattamento delle basi dati compliant con la normativa di settore. In molti casi a valle di questa attività di consulenza viene effettuata una valutazione d’impatto che, nell’esaminare la modalità di trattamento dei dati, dispone le condizioni per minimizzare i rischi per il diritto delle persone alla privacy (nel corso del 2021 il RPD ha fornito il suo parere per 19 DPIA in relazione a nuovi progetti e procedure[1]).
Dopo il triennio di avvio, in cui i compiti di supporto sono stati curati senza l’ausilio di una vera e propria unità organizzativa, si può sostenere che la definizione di un presidio organizzativo più strutturato per assistere il RPD abbia favorito l’attribuzione di responsabilità e la formazione di professionalità specifiche, considerando i crescenti volumi operativi, la complessità delle attività, la delicatezza e i rischi insiti nella gestione di talune fasi del lavoro.
Ma l’aspetto forse più significativo di tale soluzione è quello comunicativo: attribuire evidenza strutturale a un’attività ha infatti una valenza comunicativa molto forte: è il segnale dell’importanza che il Vertice aziendale annette a quell’attività, amplificato dalla collocazione autonoma e indipendente della struttura incaricata. Il segno anche del rigore analitico e operativo con il quale la Banca d’Italia intende dare applicazione alla normativa sulla protezione dei dati personali.
(*) dipendente della Banca d’Italia addetta al Nucleo di supporto RPD.
[1] https://www.bancaditalia.it/chi-siamo/responsabile-trasparenza/Relazione-RPD-2021.pdf.
GLI ULTIMI 5 ARTICOLI SULLA PRIVACY:
REGOLAMENTI COMUNALI SULLA VIDEOSORVEGLIANZA ILLEGITTIMI (E SPESSO ILLECITI)
USO ILLEGITTIMO DELLE FOTOTRAPPOLE E INAMMISSIBILITÀ DA PARTE DI AZIENDE PRIVATE
IL DIRITTO DI ACCESSO E LA TRASPARENZA NON SONO VALORI ASSOLUTI
DELLE VIOLAZIONI ALLA PRIVACY RISPONDONO I DIPENDENTI DELL’ENTE
ULTIMI 5 VIDEO E INTERVISTE SULLA PRIVACY
L’INTERVENTO DI WOJCIECH WIEWIÓROWSKI A STATE OF PRIVACY 2022 [CON VIDEO]
L’INTERVENTO INTEGRALE DI PASQUALE STANZIONE A STATE OF PRIVACY 2022 [CON VIDEO]
INTERVISTA A PASQUALE STANZIONE PRESIDENTE GARANTE PRIVACY [CON VIDEO]
INTERVISTA A GUIDO SCORZA COMPONENTE GARANTE PRIVACY [CON VIDEO]
INTERVISTA A GINEVRA CERRINA FERONI VICE PRESIDENTE GARANTE PRIVACY [CON VIDEO]
LE ULTIME 5 SANZIONI A CARICO DI ENTI PUBBLICI:
100.000 EURO DI SANZIONE DAL GARANTE ALLA REGIONE LAZIO
2.000 EURO DI SANZIONE DAL GARANTE AL COMUNE DI COLLEGNO (TO)
7.500 EURO DI SANZIONE DAL GARANTE PER LA ASL DI FROSINONE
20.000 EURO DI SANZIONE DAL GARANTE PER IL COMUNE DI ORTE (VT)
150.000 EURO DI SANZIONE DAL GARANTE PER IL COMUNE DI TARANTO
3.000 EURO DI SANZIONE DAL GARANTE PER IL COMUNE DI MONTE S.ANGELO (FG)