Il Data Protection Officer: ruolo e funzioni

0
1974

a cura di Dott. Simone Cedrola

Nota di redazione: questo è il secondo di una serie di articoli sul tema della protezione dei dati personali alla luce dell’imminente applicazione del Regolamento Generale Europeo sulla Protezione dei Dati Personali n. 2016/679 (GDPR). L’obiettivo è fare chiarezza sugli aspetti principali della nuova disciplina indirizzata alle imprese e alle pubbliche amministrazioni e, soprattutto, ai cittadini.

Il Data Protection Officer (DPO) o, in italiano, Responsabile della Protezione dei Dati, è una nuova figura creata per assicurare l’adeguamento ed il rispetto del nuovo regime in tema di protezione dei dati personali previsto dal GDPR[1]. La sezione 4 del Capo IV del Regolamento ne disciplina la designazione (art. 37), la posizione (art. 38) e le funzioni (art. 39). Nonostante una prima versione del Regolamento richiedesse che la nomina di un DPO fosse obbligatoria per le società con più di 250 dipendenti, la versione attuale non contiene più tale limitazione. Pertanto, risulta fondamentale individuare il reticolo normativo entro cui si articola l’attività del DPO.

Tuttavia, la figura in questione non è nuova. Il Gruppo di lavoro art. 29 in materia di protezione dei dati personali, nel parere n. 243[2] del 13 dicembre 2016, revisionato il 5 aprile 2017, ha evidenziato che, nonostante la Direttiva 95/46/EU[3] non obbligasse le aziende a nominare un DPO, tale pratica non era comunque sconosciuta in Europa. Infatti, in molti Stati membri, spesso con l’accordo delle Autorità garanti nazionali, si istituiva una figura il cui compito era quello di vigilare sui trattamenti posti in essere dal titolare. La disposizione in questione, non avendo il carattere della specificità e dell’obbligatorietà, è stata interpretata in modo molto variabile.

Al contrario, tornando al GPDR, del nuovo DPO di cui seguono le principali caratteristiche.

Designazione

 Il primo dato che ci viene fornito dal Regolamento è riscontrabile all’art. 37, che al primo comma, prevede tre casi in cui “Il titolare del trattamento e il responsabile del trattamento […][4] sono tenuti a designare un DPO, ossia quando:

“a) il trattamento è effettuato da un’autorità pubblica o da un organismo pubblico, eccettuate le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali;

  1. b) le attività principali del titolare del trattamento o del responsabile del trattamento consistono in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala; oppure
  2. c) le attività principali del titolare del trattamento o del responsabile del trattamento consistono nel trattamento, su larga scala, di categorie particolari di dati personali di cui all’articolo 9 o di dati relativi a condanne penali e a reati di cui all’articolo 10.”Pertanto, al di fuori di questi casi, la designazione di un DPO è su base volontaria, ma trovano ugualmente applicazione gli art. 37 a 39 del Regolamento.

Quanto poi alle caratteristiche di questa figura, bisogna fare riferimento all’art. 37 comma 5 e comma 6. Il comma 6 declina la relazione tra il DPO e il titolare o responsabile del trattamento in termini di rapporto di lavoro dipendente o in base ad un contratto di servizi.

Il comma 5, invece, stabilisce che la scelta deve essere dettata “[…] in funzione delle qualità professionali […]”:

  • conoscenza specialistica teorica e pratica in materia di protezione dei dati;
  • capacità di eseguire quanto previsto dall’art. 39.

Inoltre il Motivo 97[5] del Regolamento statuisce che “il livello necessario di conoscenza specialistica dovrebbe essere determinato in particolare in base ai trattamenti di dati effettuati e alla protezione richiesta per i dati personali trattati dal titolare del trattamento o dal responsabile del trattamento”.

Come è evidente, non è determinato alcun requisito specifico, pertanto le Autorità Garanti potranno proporre schemi di certificazione tali da offrire sicurezza e affidabilità sia ai professionisti nel settore privacy, sia alle aziende e istituzioni che dovranno designare il DPO. In particolare, quest’ultimo sarà il destinatario dello schema che stabilirà le competenze per ricoprire tale ruolo.

L’Agenzia Spagnola per la Protezione dei Dati è la prima autorità in materia a pubblicare uno schema di certificazione di questo tipo[6]. Lo scopo di tale documento è quello di fornire le linee guida generali in merito alla sua designazione, al suo ruolo e alle sue funzioni. Inoltre, sulla base di tale schema potrà essere condotta una valutazione del candidato all’ufficio del DPO e, ove questa abbia esito positivo, l’autorità certificante rilascerà un certificato di conformità.

Bisogna evidenziare che, nonostante l’adozione di tale schema sia facoltativa, quest’ultimo potrebbe avere un enorme impatto sui soggetti interessati a designare un DPO che potrebbero richiedere tale certificazione.

Attualmente la situazione in Italia è ferma alla circolare[7] del luglio 2017 del Garante per la protezione dei dati personali, secondo cui “è opportuno evidenziare che in Italia non è ancora stato stabilito dal Legislatore nazionale a chi spetti il ruolo di ente di accreditamento ai fini del regolamento, né sono stati definiti i “requisiti aggiuntivi” per l’accreditamento degli organismi di certificazione (cfr. art. 43, paragrafo 1, lettera b)) e i criteri di certificazione (cfr. art. 42 paragrafo 5).

 Posizione

 Il Regolamento prevede che il lavoro del DPO sia svolto in completa autonomia e indipendenza. Infatti, l’art. 38 contiene una serie di previsioni tali da adempiere a questo scopo.

Immediato e adeguato coinvolgimento

Il titolare ed il responsabile del trattamento devono coinvolgere nei modi e nei tempi adeguati il DPO in tutte le questioni relative alla protezione dei dati personali. Nella pratica tale precetto si traduce nella sua regolare partecipazione alle riunioni, alla sua presenza quando devono essere prese decisioni che riguardano dati personali e alla sua immediata consultazione quando c’è una violazione dei dati.

Risorse necessarie

Il DPO deve essere supportato con tutte le risorse necessarie per lo svolgimento delle sue attività. In particolare, risorse finanziarie, permessi di accesso, equipaggiamento, un adeguato ammontare di tempo per adempiere ai propri doveri, la possibilità di restare aggiornato sulle novità in materia di protezione dei dati e, a seconda delle dimensioni dell’organizzazione, la possibilità di essere affiancato da un team.

Nessuna istruzione

Inoltre, il Regolamento si preoccupa di assicurare che i compiti del DPO vengano svolti con un sufficiente grado di autonomia ed indipendenza. Ciò significa che non deve ricevere alcun tipo di istruzione su come adempiere ai propri doveri, su quale risultato debba essere raggiunto o su come interpretare una determinata disposizione. D’altra parte, però, l’autonomia non si estende al di là di quanto previsto dall’art. 39, essendo limitata alle sole funzioni del DPO.

Ancora, un altro importante fattore di indipendenza risiede nel fatto che quest’ultimo risponde solo ed esclusivamente al vertice gerarchico del titolare o del responsabile del trattamento.

Rimozione dall’incarico o penalizzazione

Infine, il DPO non può essere rimosso o penalizzato dal titolare del trattamento o dal responsabile del trattamento per l’adempimento dei propri compiti. Ciò rafforza la sua autonomia e gli consente di agire senza alcun tipo di ritorsione. Tuttavia, queste garanzie non si estendono a quel ventaglio di ulteriori compiti ed obblighi, relative ad attività non strettamente connesse con la protezione dei dati, a cui il DPO potrebbe voler essere sottoposto.

Funzioni

L’art. 39 statuisce che il DPO sia incaricato almeno di queste funzioni:

a) informare e fornire consulenza al titolare del trattamento o al responsabile del trattamento nonché ai dipendenti che eseguono il trattamento in merito agli obblighi derivanti dal presente regolamento nonché da altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati;

  1. b) sorvegliare l’osservanza del presente regolamento, di altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati nonché delle politiche del titolare del trattamento o del responsabile del trattamento in materia di protezione dei dati personali […];
  2. c) fornire, se richiesto, un parere in merito alla valutazione d’impatto sulla protezione dei dati e sorvegliarne lo svolgimento ai sensi dell’articolo 35;
  3. d) cooperare con l’autorità di controllo; e
  4. e) fungere da punto di contatto per l’autorità di controllo per questioni connesse al trattamento, tra cui la consultazione preventiva di cui all’articolo 36, ed effettuare, se del caso, consultazioni relativamente a qualunque altra questione”.

Nello svolgimento di queste attività, il DPO deve sempre tenere in grande considerazione, avendo riguardo dei rischi connessi ai trattamenti effettuati, la natura, lo scopo e l’ambito di applicazione di questi ultimi.

 Conclusioni

Tale figura non risulterà essere un punto di riferimento solo per aziende e autorità pubbliche, che beneficeranno grandemente dall’avere a propria disposizione un esperto in materia di protezione dei dati, ma anche per i cittadini. In particolare, gli interessati avranno il diritto di contattare il DPO, le cui informazioni di contatto dovranno essere pubblicate, in merito al trattamento dei propri dati. Infine, la designazione, la posizione e le funzioni delineate dal Regolamento sembrano essere perfettamente in linea con la figura di cui si necessitava, data la  sempre crescente importanza che la protezione dei dati personali sta assumendo giorno dopo giorno, soprattutto in rete.

[1] Regolamento (UE) 2016/679 del Parlamento Europeo e del Consiglio del 27 aprile 2016, disponibile qui: http://eur-lex.europa.eu/legal-content/IT/TXT/?uri=CELEX%3A32016R0679

[2] WP 243 – Linee-guida sui responsabili della protezione dei dati (RPD), disponibile qui: http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/5930287

[3] Direttiva 95/46/CE del Parlamento europeo e del Consiglio del 24 ottobre 1995, disponibile qui: http://eur-lex.europa.eu/legal-content/IT/TXT/?uri=LEGISSUM:l14012

[4] Il titolare ed il responsabile del trattamento vengono identificati, rispettivamente, dall’art. 4, comma 1(f) del codice in materia di protezione dei dati personali (d.lgs. 196/2003, cosiddetta Legge sulla privacy) come «la persona fisica, giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo cui competono, anche unitamente ad altro titolare, le decisioni in ordine alle finalità, alle modalità del trattamento dei dati personali ed agli strumenti utilizzati, ivi compreso il profilo della sicurezza”, e dall’art. 4, comma 1(g) come “la persona fisica, giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo preposti dal titolare al trattamento dei dati personali“.

[5] Motivo 97 EU RGDP, disponibile qui: https://www.privacy-regulation.eu/it/r97.htm

[6] Certification scheme of Data Protection Officers from the Spanish Data Protection Agency, disponibile qui: https://iapp.org/media/pdf/resource_center/AEPD_DPO-Certification-Scheme.pdf

[7] Circolare del Garante per la protezione dei dati personali del 18 luglio 2017, disponibile qui: http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/6621723