Data Protection Officer (DPO): chi è e come opera
Introduzione
La figura stessa di Data Protection Officer (DPO), nonché la sua introduzione nell’ambiente legislativo europeo in materia di privacy, non sono da considerarsi una novità assoluta. Per quanto, infatti, nessuna legge comunitaria avesse previsto espressamente l’obbligatorietà del DPO, o di una figura simile, alcuni Stati europei l’avevano già individuata al loro interno (si rileva per esempio la sua consolidata diffusione soprattutto nel mondo anglosassone).
In Italia la figura del DPO non emerge nel D.lgs. 196 del 2003 e s.m.i. che, recependo la direttiva CE n. 46 del 1995, individua esclusivamente le figure di Titolare, Incaricato e Responsabile del trattamento dei dati personali. Una disciplina nazionale, ancora attuale in materia di privacy, che si trova a fare i conti con i dettami europei e con l’introduzione di questo ruolo chiave anche nel nostro contesto.
Le domande, per le imprese coinvolte, sono diverse: chi è il DPO? Quali sono i suoi poteri? Cosa dovrà fare? Quando nominarlo?
Il contesto
La General Data Protection Regulation (di seguito anche GDPR) è il Regolamento (UE) 2016/679 del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione degli stessi, che abroga la Direttiva 95/46/CE e che spiegherà i suoi effetti a partire dal 25 maggio 2018. Esso ha lo scopo di fornire un quadro unitario di tutela dei diritti e delle libertà fondamentali delle persone fisiche rispetto alle attività di trattamento dei dati e assicurare la libera circolazione dei dati personali tra Stati membri, mediante la previsione di un’architettura moderna che coinvolge e investe primariamente la figura del Titolare del trattamento, ma che riguarda anche le misure di sicurezza poste in essere per garantire il controllo dei dati e la tutela delle informazioni effettivamente trattate dagli operatori.
Chi è il DPO
E’ dunque in un simile contesto che deve collocarsi il ruolo chiave del Responsabile della protezione dei dati – abbreviato in RPD oppure in DPO, dall’inglese Data Protection Officer – ovvero un soggetto specifico, qualificato, esperto in materia che si occuperà esclusivamente della protezione dei dati personali.
Si tratta, innanzi tutto, di un professionista con conoscenze specialistiche della normativa e delle prassi in materia di protezione dati. A tal fine egli dovrà garantire un costante aggiornamento su ogni impatto privacy ricorrente in azienda, ovvero sui rischi, sulle criticità e sulle misure di sicurezza utili a eliminare ogni rischio di perdita, cancellazione, trattamento illecito, etc., dei dati trattati, assicurando quindi un livello di tutela adeguato.
In altre parole, il DPO avrà come compito principale quello di tutelare la necessaria compliance rispetto alle prescrizioni regolamentari in materia.
Quando nominare un DPO
La figura del DPO è prevista dalla GDPR nel suo articolo 37 il quale individua subito i tre casi in cui il Titolare e/o il Responsabile del trattamento sono tenuti a designare il Responsabile della protezione dei dati, suddivisi in base a:
- Soggetto che effettua il trattamento (un’autorità pubblica o un organismo pubblico).
Le indicazioni fornite nelle recenti Linee Guida sui DPO dal “Article 29 Data Protection Working Party”, adottate il 13 dicembre 2016, forniscono un’interpretazione estensiva di organismo pubblico. Il WP29 raccomanda, come una buona pratica, la nomina del DPO anche da parte delle organizzazioni private che svolgono funzioni pubbliche o che esercitano pubblici poteri.
- Tipologia di trattamento stesso (trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala).
- Particolare categoria di dati trattati (trattamento, su larga scala, di dati sensibili relativi a: salute o vita sessuale, dati genetici, biometrici e giudiziari. Tale indicazione vale anche rispetto alle peculiari attività svolte dal Titolare che richiedano un controllo regolare e sistematico degli interessati).
Secondo il WP29, il concetto di larga scala dev’essere valutato sulla base di alcuni specifici criteri:
- numero di soggetti interessati dal trattamento;
- volume dei dati e/o diverse tipologie di dati oggetto di trattamento;
- durata, ovvero la persistenza, dell’attività di trattamento;
- portata geografica dell’attività di trattamento
L’obbligo di cui al punto c) riguarderà, in particolare, i soggetti (enti, imprese, ecc.) che abbiano come ‘attività principale’ (core activity) il trattamento su larga scala di dati sensibili.
Il WP29 propone degli esempi di trattamenti effettuati su larga scala, indicando la geo-localizzazione per finalità statistiche dei clienti di una certa attività; il trattamento dei dati bancari dei propri clienti da parte di una compagnia assicurativa; il trattamento da parte di un motore di ricerca dei dati personali degli utenti per l’invio di pubblicità mirata, etc.
Al contrario non rientrano tra i trattamenti definiti su larga scala: il trattamento dei dati di un proprio paziente da parte del medico di famiglia e il trattamento dei dati personali di natura penale da parte di un avvocato. In tutti gli altri casi è facoltà dei Titolari e Responsabili del trattamento designare o meno il RPD.
La definizione di core activity dell’impresa
Nelle indicazioni dell’Art. 29 WP il concetto di attività principale è interpretato anche tenendo a mente il considerando n. 97 della GDPR. Nel settore privato le attività principali del Titolare del trattamento riguardano le sue attività primarie ed esulano dal trattamento dei dati personali come attività accessoria. Le core activities consistono nell’insieme di operazioni chiave necessarie al raggiungimento delle finalità del trattamento. Secondo il Working Party 29 la definizione in analisi non deve essere intesa in maniera restrittiva, poiché deve ricomprendere tutte le attività operative che, inevitabilmente, hanno alla base il trattamento dei dati personali. Un esempio è dato dalla somministrazione di cure sanitarie eseguita dalle strutture preposte per le quali il trattamento dei dati sensibili dei pazienti è inevitabile.
Quali sono i Requisiti del DPO?
Le caratteristiche e i requisiti propri del Responsabile del Trattamento vengono indicati direttamente dall’art. 37 della GDPR che parla di ‘qualità professionali, ‘competenze specialistiche’ rispetto alla normativa e di ‘capacità di adempiere ai compiti’.
Nel considerando n. 97 della GDPR è previsto che il livello necessario di conoscenza specialistica debba essere determinato in base ai trattamenti di dati effettuati e alla protezione richiesta per i dati personali oggetto di trattamento, proporzionato alla sensibilità, complessità e quantità dei dati trattati.
Il Titolare, o il Responsabile del trattamento, dovranno selezionare un proprio dipendente o un professionista esterno alla struttura dotato della necessaria conoscenza della normativa e delle prassi di gestione dei dati personali.
Ai sensi dell’articolo 38 della GDPR, è doveroso per Titolare e il Responsabile del trattamento, assicurare al DPO un tempestivo e adeguato coinvolgimento in tutte le questioni riguardanti la protezione dei dati personali.
Ciò significa, specifica il WP29 nelle sue Linee guida, che occorre garantire:
- che il DPO venga invitato a partecipare alle riunioni del management di alto e medio livello;
- la presenza del DPO nelle decisioni che impattano sulla protezione dei dati;
- che il parere del DPO riceva sempre la dovuta considerazione;
- che il DPO sia consultato tempestivamente qualora si verifichi una violazione dei dati o un altro incidente.
Quali sono i principali compiti del Data Protection Officer?
In primis, egli ha il compito di informare Titolare e/o il Responsabile del trattamento, eventualmente preposto, in merito agli obblighi inerenti il Regolamento Europeo e le normative locali degli Stati membri in ambito privacy.
Ha l’obbligo di garantire l’attività di compliance interna con lo scopo di verificare la corretta attuazione delle norme in materia e l’idoneità delle policies aziendali all’impianto regolatorio vigente. In tale attività vengono ricompresi anche le attribuzioni di responsabilità di un eventuale trattamento illecito, le attività di formazione e sensibilizzazione dei soggetti che trattano effettivamente i dati personali, i processi di audit interno, etc.
Spetta inoltre al DPO supportare il Titolare nella fase di valutazione dell’impatto dei trattamenti effettuati sulla privacy (Privacy Impact Assessment), ai sensi dell’art. 35 della GDPR. Ha inoltre funzione di intermediario fra l’azienda e il Garante della protezione dei dati personali (la futura Autorità di controllo nazionale di cui al Regolamento UE).
Infine, naturalmente, spetta al Data Protection Officer essere il punto di riferimento per gli Interessati dal trattamento, i quali potranno interpellarlo ai fini dell’esercizio dei loro diritti.
Quali sono le responsabilità del DPO?
Stando alla disposizione di cui al comma 2 dell’art. 38 della GDPR, dovrebbe avere la disponibilità di risorse umane e finanziarie sufficienti e necessarie all’adempimento dei compiti, così da essere in grado di adempiere alle proprie funzioni in piena indipendenza e in assenza di conflitti di interesse. Deve inoltre poter mantenere la propria conoscenza specialistica (ad esempio, tramite la partecipazione a corsi di aggiornamento, workshops e seminari) in un’ottica di costante incremento del suo grado di esperienza.
L’indipendenza risulta un requisito di fondamentale importanza anche sul piano operativo e decisionale, tuttavia essa non deve essere concepita come sinonimo di assunzione totale di responsabilità o slittamento della stessa – in materia di privacy – dal Titolare del trattamento al DPO. Occorre ricordare, infatti, come precisa il WP29 nelle sue Linee guida, che il Titolare mantiene la piena responsabilità dell’osservanza della normativa in materia di protezione dei dati e deve essere in grado di dimostrare tale osservanza. In particolare, qualora il Titolare assumesse decisioni incompatibili con GDPR e indicazioni fornite dal DPO, quest’ultimo dovrebbe avere la possibilità di manifestare il proprio dissenso ai decisori e reclamare l’assenza di responsabilità propria relativamente a decisioni adottate contrarie ai dettami di legge.
Conclusioni
La figura fin qui descritta parrebbe condividere alcuni tratti con quella di un membro dell’Organismo di Vigilanza previsto dal D.lgs. n. 231 del 2001 in materia di responsabilità amministrativa delle persone giuridiche, delle società e delle associazioni anche prive di personalità giuridica. In particolare sono assimilabili i caratteri di indipendenza, sia gerarchica che economica, e gli obblighi di vigilanza sull’applicazione delle privacy policies aziendali.
Inoltre, il ruolo del DPO potrebbe avvicinarsi anche alla figura del “preposto” di cui al D.lgs. n. 81 del 2008 in materia di sicurezza sul lavoro dotato di specifici compiti e competenze.
Si suggerisce pertanto al Titolare, come espresso anche dal WP29, tenuto conto delle attività espletate, di:
- individuare all’interno della propria struttura societaria le posizioni che sarebbero incompatibili con la funzione di DPO;
- eliminare tutti i conflitti di interesse eventualmente individuati;
- elaborare un Regolamento interno dove includere le garanzie di una corretta organizzazione e gestione dei compiti e delle funzioni del DPO;
- utilizzare un contratto di servizio/incarico sufficientemente preciso e dettagliato.
Articolo pubblicato su Dirigere l’Azienda