Posted by Erika Benedetti
Capire chi è il Responsabile per la Protezione dei Dati o Data Protection Officer (DPO) è un tassello fondamentale per comprendere l’approccio responsabilizzante alla base del Regolamento (Ue) 2016/679 (Regolamento Generale sulla Protezione dei Dati-RGPD), immediatamente operativo dal 25 maggio prossimo in tutti gli Stati membri. Tale approccio pone in capo al titolare e al responsabile dei trattamenti – figure non più distinte come nel nostro Codice Privacy, il Decreto Legislativo n.196/2003 – l’obbligo di osservare i principi e attuare gli adempimenti introdotti dal nuovo quadro normativo europeo. In sintesi, il DPO coadiuverà il processo di governance dei dati personali trattati affinché sia compliance, attraverso un’attività di analisi preventiva comprensiva della valutazione d’impatto, di monitoraggio e di tracciamento con il registro dei trattamenti.
Il DPO è una figura non del tutto originale nel panorama europeo, essendo già presente in alcuni Stati membri e venendo riconosciuta in seno agli organismi comunitari come un vero e proprio supporto alla competitività delle imprese. Già nel luglio 2015, il gruppo di lavoro sulla tutela delle persone fisiche con riguardo al trattamento di dati personali istituito dalla direttiva 95/46/CE del Parlamento europeo e del Consiglio del 24 ottobre 1995 (di seguito Gruppo WP29) ha sottolineato come il DPO sia un “direttore d’orchestra” del trattamento dei dati personali, garantendo non solo una corretta osservanza delle norme ma rappresentando, altresì, l’interlocutore privilegiato all’interno dell’azienda e esternamente con le diverse divisioni – nei casi di aziende multinazionali – e con le istituzioni, in primis le Autorità Garanti nazionali.
Alla luce della sua importanza strategica per il RGPD, il Gruppo WP29 ha adottato delle Linee guida il 13 dicembre 2016,aggiornandole nell’aprile 2017, le quali chiariscono gli obblighi di nomina, la posizione del DPO e i suoi compiti.
Quando è nominato il DPO
Il Regolamento nell’articolo 37 individua i tre casi di nomina obbligatoria, sebbene nelle Linee guida si confermi la possibilità di una nomina volontaria. In questo secondo caso, dovranno comunque essere rispettati i criteri di designazione, i requisiti necessari e lo status del DPO esattamente come previsto negli artt.37-39 del RGPD.
Individuare e nominare un DPO è obbligatorio quando:
- Il trattamento è svolto da un’autorità pubblica o da un organismo pubblico. Le Linee guida demandano alle diverse discipline nazionali una loro definizione. In Italia, il nostro ordinamento non ne ha una univoca, sebbene venga preso spesso come riferimento il Testo Unico sul Pubblico Impiego – Decreto Legislativo n.165/2001 – nell’articolo 1, comma 2, come avvenuto nell’articolo 11 del Decreto Legislativo n.33/2013 in materia di trasparenza. Il WP29 raccomanda, in ogni caso, la nomina del DPO per quei soggetti privati incaricati di funzioni pubbliche o che esercitano pubblici poteri, come ad esempio: le aziende municipalizzate che gestiscono il trasporto pubblico, le forniture idriche, le infrastrutture stradali e le emittenti radiotelevisive. In queste ultime ipotesi le attività del Responsabile dei Dati personali si estenderanno a tutti i trattamenti svolti, compresi quelli che non sono connessi all’espletamento di funzioni pubbliche o all’esercizio di pubblici poteri.
- Le attività principali del titolare o del responsabile consistono in trattamenti che richiedono il monitoraggio regolare e sistematico di interessati su larga scala. La nozione di attività principale è strettamente collegata alla sua centralità nel raggiungimento degli obiettivi perseguiti dal titolare e dal responsabile. La nomina è quindi un obbligo quando il trattamento di dati costituisce una componente inscindibile dalle attività svolte dal titolare o dal responsabile (a titolo esemplificativo: le aziende sanitarie, le imprese di sicurezza privata incaricate della sorveglianza di aree pubbliche). La nozione di “larga scala” la troviamo nel considerando 91 del RGPD, dove si cita tra questi “i trattamenti (…) che mirano al trattamento di una notevole quantità di dati personali a livello regionale, nazionale o sovranazionale e che potrebbero incidere su un vasto numero di interessati e che potenzialmente presentano un rischio elevato”. Alcuni indicatori per una definizione più precisa sono forniti dalle stesse Linee guida che annoverano: il numero di soggetti interessati dal trattamento, in termini assoluti o relativi prendendo a parametro la popolazione di riferimento; il volume dei dati e le diverse tipologie di dati oggetto di trattamento; la durata, la persistenza dell’attività di trattamento o la sua portata geografica. Il Gruppo WP29 fornisce, infine, una sua definizione degli aggettivi “continuo” e “sistematico”. Nel primo caso rientrano i casi in cui il trattamento avviene in modo continuo, oppure, a intervalli definiti per un arco di tempo definito; sono ricompresi nella nozione di sistematico i trattamenti che sono portati avanti in modo predeterminato, organizzato o metodico, dando luogo a un progetto complessivo di raccolta di dati svolto nell’ambito di una strategia predefinita.
- Le attività principali del titolare o del responsabile consistono nel trattamento su larga scala di categorie particolari di dati (come quelle che rivelano l’origine razziale o etnica, le opinioni politiche, le convinzioni filosofiche o religiose, o l’appartenenza sindacale, oltre al trattamento di dati genetici, dati biometrici al fine dell’identificazione univoca di una persona fisica, e di dati relativi alla salute, alla vita sessuale o all’orientamento sessuale di una persona fisica) o di dati personali relativi a condanne penali e reati. Su questa ipotesi le Linee guida forniscono un’interpretazione esegetica della norma specificando come le due ipotesi annoverate non siano concorrenti ma alternative tra loro.
Come nominare il DPO
Fermo restando il principio di collaborazione tra le parti, il provvedimento di nomina può essere del titolare o del responsabile, oppure, congiunto tra i due. Se è il solo titolare tenuto alla nomina in via obbligatoria, rappresenta una buona prassi che tale nomina avvenga anche da parte del responsabile. Il DPO nominato da un responsabile del trattamento svolgerà un’attività di vigilanza anche sulle attività portate avanti da tale soggetto, quando opera in qualità di autonomo titolare del trattamento.
La figura del DPO può essere esterna o interna al soggetto nominante. È ammesso che la funzione del DPO sia alla base di un contratto di servizi stipulato con una persona fisica o giuridica esterna all’organismo nominante. In tal caso, è indispensabile che ciascun soggetto appartenente alla persona giuridica e operante quale DPO soddisfi tutti i requisiti richiesti dal Regolamento.
È possibile, altresì, l’ipotesi che la designazione riguardi una pluralità di soggetti. Se l’insieme di soggetti designatari sono pubblici bisognerà tener conto della struttura organizzativa e delle loro dimensioni.
In tutte queste ipotesi, il fattore determinante è la reperibilità del DPO da parte degli interessati del trattamento, le Autorità di controllo e, in generale, tutti quei stakeholder interni ed esterni. Per facilitare l’espletamento delle sue funzioni, il DPO può essere affiancato da un team di collaboratori.
Chi nominare come DPO
Dopo le Linee guida europea anche il nostro Garante è tornato recentemente sul tema dei requisiti necessari per essere un Responsabile per la protezione dei dati personali. È stato confermato come non sia necessaria l’iscrizione a uno specifico albo od ordine professionale. Sia a livello comunitario che nazionale è stata enfatizzata la reale capacità del DPO, intesa come il bagaglio di conoscenze specialistiche acquisite tramite percorsi formativi ad hoc (master, corsi di specializzazione) e attraverso l’esperienza sul campo. Il DPO dovrà essere un professionista a 360 gradi, capace di interfacciarsi con le diverse anime del business aziendale, fornendo risposte concrete e conformi al quadro normativo del Regolamento.
Un altro aspetto fondamentale per scegliere un DPO è quello legato alla sua indipendenza. Da un lato i suoi compiti e le sue funzioni non devono generare un conflitto di interessi. Un esempio può essere quello della nomina del responsabile dei sistemi informativi; in caso di data breach il medesimo soggetto si troverebbe nella duplice veste di denunciato e denunciante di fronte al Garante.
Dall’altro lato, il DPO sulla base delle funzioni non può essere penalizzato attraverso sanzioni disciplinari, la rimozione dall’incarico o il blocco della sua carriera.
L’indipendenza del DPO è, non da ultimo, strettamente funzionale alle risorse che vengano messe a sua disposizione che siano umane o di tipo finanziario e strumentale. Deve essere, pertanto, garantito tutto il supporto necessario anche in ordine al tempo necessario per espletare i suoi molteplici compiti. Affinché ciò sia possibile, è indispensabile un rapporto di stretta collaborazione con il management.
I compiti del DPO
Come anticipato, questa figura ha l’obiettivo di aiutare i titolari e i responsabili del trattamento ad essere conformi con il dettato normativo del RGPD. Il termine “sorvegliare l’osservanza”, usato dal Gruppo WP29, ricomprende tutte le attività preventive come la raccolta di informazioni per individuare i trattamenti svolti; la loro analisi e la verifica in termini di conformità (la valutazione d’impatto); l’attività di informazione, consulenza e indirizzo nei confronti del titolare o del responsabile.
I compiti di vigilanza e monitoraggio sono funzionali a supportare il titolare nella valutazione d’impatto sulla protezione dei dati personali, fornendo un suo parere a proposito. Tali indicazioni non hanno un valore vincolante, il titolare/responsabile dovrà comunque fornire una spiegazione delle ragioni del suo eventuale discostamento in un documento scritto. La ragione di ciò è ravvisabile nella responsabilizzazione del titolare/responsabile ai quali spetta di dimostrare che le operazioni di trattamento sono conformi alle disposizioni del regolamento (cfr. articolo 24 RGPD).
Sempre in un’ottica di supporto e non di delega, al Responsabile dei dati personali può essere affidato il registro dei trattamenti sotto la responsabilità del titolare o del responsabile stesso.
Infine, un aspetto maggiormente pragmatico dei compiti del DPO è la definizione dei trattamenti che presentino i rischi più rilevanti. In questo modo potrà essere fornito un ordine di priorità alle sue attività basato sul buon senso.