Il Responsabile della protezione dei dati (Data Protection Officer): quando è necessaria la nomina, cosa fa e quali sono i suoi doveri.
ll General Data Protection Regulation (GDPR), applicabile dal 25 maggio scorso, ha introdotto, nella platea degli attori “tradizionali” – costituita dal “Titolare”, dal “Responsabile” e dall’ “Incaricato” – la figura del Responsabile della protezione dei dati(1), ormai noto con l’acronimo DPO (Data Protection Officer).
Si tratta di un nuovo ruolo che è facoltativo ad eccezione dei seguenti casi, in cui invece è obbligatorio, raggruppabili secondo:
- un criterio soggettivo, e cioè quando il trattamento è effettuato da un’autorità pubblica o da un organismo pubblico(2), eccettuata l’autorità giudiziaria nell’esercizio delle proprie funzioni giurisdizionali;
- un criterio oggettivo, e cioè quando le attività principali del Titolare o del Responsabile del trattamento consistono in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico su larga scala(3) degli interessati o di di categorie particolari di dati personali sensibili o giudiziari;
- un criterio legale, e cioè quando la nomina è obbligatoria in base alla normativa comunitaria o nazionale.
È opportuno ricordare che la mancata nomina del DPO, quando obbligatoria, è soggetta alla sanzione amministrativa pecuniaria fino a 10 milioni di euro, o per le imprese, fino al 2% del fatturato mondiale totale annuo dell’esercizio precedente(4) (se superiore).
Il DPO è nominato dal Titolare o dal Responsabile del trattamento e può essere un dipendente oppure un soggetto esterno all’organizzazione, assunto in base a un contratto di servizi, i cui dati di contatto sono pubblicati e comunicati all’autorità Garante nazionale.
Particolare attenzione va posta nel caso di nomina di un dipendente, in quanto il ruolo che ricopre nell’organizzazione deve escludere ogni forma di conflitto di interesse ed essere compatibile con l’esercizio autonomo ed indipendente delle sue funzioni.
Può essere nominato un unico DPO nel caso di un gruppo imprenditoriale (a condizione che sia facilmente raggiungibile da ciascun stabilimento) o di più autorità pubbliche o organismi pubblici, tenuto conto della loro struttura organizzativa e dimensione.
Ma quali sono i compiti ed i requisiti professionali che deve avere un DPO?
Il DPO deve possedere, in particolare, una conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati nonché la capacità di svolgere i compiti di cui all’articolo 39 e, cioè:
- informare e fornire consulenza al Titolare del trattamento o al Responsabile del trattamento nonché ai dipendenti che trattano i dati personali;
- sorvegliare l’osservanza della normativa comunitaria e nazionale nonché delle politiche del Titolare del trattamento o del Responsabile del trattamento riguardanti anche “l’attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo”;
- fornire, se richiesto, un parere in merito alla valutazione d’impatto sulla protezione dei dati e sorvegliarne lo svolgimento;
- cooperare con l’autorità Garante nazionale;
- fungere da punto di contatto per l’autorità Garante nazionale per questioni connesse al trattamento, tra cui la consultazione preventiva di cui all’articolo 36, ed effettuare, se del caso, consultazioni relativamente a qualunque altra questione.
In relazione ai compiti va peraltro precisato che l’elenco di cui all’art. 39 costituisce una base minimale in quanto rappresenta quelli che il DPO deve svolgere “comunque”, con ciò presupponendo la possibilità, per il Titolare o il Responsabile del trattamento, di aggiungerne altri.
Anche interessante risulta la precisazione, contenuta nel medesimo articolo, che il DPO, nello svolgimento dei propri compiti, non deve perdere mai di vista il “rischio da trattamento”, tenendo conto dei seguenti parametri del trattamento stesso:
- natura;
- ambito di applicazione;
- contesto;
- finalità.
Dall’esame dei compiti emerge la necessità che il DPO abbia adeguate competenze sia manageriali che in ambito giuridico, informatico nonché nei settori del risk management e dell’analisi processuale di cui, peraltro, la recente norma UNI 11697:2017 fornisce una descrizione dettagliata.
Inoltre, nelle FAQ del sito dell’autorità Garante nazionale è precisato che il DPO “deve possedere un’approfondita conoscenza della normativa e delle prassi in materia di privacy, nonché delle norme e delle procedure amministrative che caratterizzano lo specifico settore di riferimento. Deve poter offrire, con il grado di professionalità adeguato alla complessità del compito da svolgere, la consulenza necessaria per progettare, verificare e mantenere un sistema organizzato di gestione dei dati personali, coadiuvando il Titolare nell’adozione di un complesso di misure (anche di sicurezza) e garanzie adeguate al contesto in cui è chiamato a operare”.
In pratica sono sicuramente più importanti competenze di base consolidate negli ambiti legale, informatico e gestionale ma non necessariamente particolarmente approfondite, piuttosto che essere esperti di una materia e non conoscere nulla delle altre, tanto più che il DPO potrà essere supportato da un team di specialisti, interni o esterni all’organizzazione.
Per il DPO non sono previste le certificazioni di cui all’art. 42 del GDPR anche se si stanno diffondendo alcune certificazioni “proprietarie”, legate a specifici percorsi formativi, che costituiscono una presunzione “semplice” di idoneità professionale il cui valore è rimesso al “prudente apprezzamento” dei Titolari che, pertanto, non sono esonerati dal valutare in concreto i requisiti del DPO.
Al DPO, per l’efficace svolgimento delle proprie attività, sono riconosciuti specifiche prerogative e attribuiti determinati doveri.
Particolare rilievo rivestono il requisito dell’indipendenza del DPO (il considerando 97 riporta testualmente che il DPO deve “poter adempiere alle funzioni e ai compiti in maniera indipendente”), a prescindere che sia un dipendente o meno del Titolare del trattamento, ed il requisito dell’autonomia intesa nel senso che devono essergli attribuite le risorse necessarie per assolvere ai propri compiti.
È utile, comunque, ricordare che i DPO non rispondono direttamente in caso di inosservanza del GDPR, in quanto tale responsabilità ricade sul Titolare o sul Responsabile del trattamento.
Sul DPO il Gruppo “articolo 29” ha emanato le linee guida WP 243 rev. 01 (versione aggiornata del 5 aprile 2017).
In conclusione deve però sottolinearsi un aspetto che sembra sfuggire a qualcuno, in relazione alla professionalità che il DPO deve possedere. A seguito della nomina ricevuta quali DPO, infatti, molti di loro ritengono di poter integrare le proprie competenze attraverso seminari, corsi, letture, ecc., ricercando impossibili upgrade specialistici.
In realtà, tutto ciò è molto utile in quanto serve per sviluppare sensibilità, conoscere i “vocabolari”, ecc. ma, per poter disimpegnare i complessi compiti devoluti a questa figura, nella maggior parte dei casi occorre la presenza di diversi approfonditi saperi specialistici riferiti non solo al settore giuridico ma anche organizzativo, manageriale e tecnologico.
Si tratta di veri e propri “mestieri” che richiedono esperienze consolidate e competenze “verticali”, e tutto ciò non si improvvisa!
La soluzione? Team interfunzionali in grado di realizzare modelli non solo efficaci ed efficienti ma soprattutto in grado di integrarsi nell’ambiente organizzativo, sviluppando sinergie, eliminando inutili e dannose ridondanze, ecc.
Ma qui si si aprirebbe un altro impegnativo argomento di riflessione…
(1) Cfr. gli artt. 37, 38 e 39 ed il considerando 97 del Regolamento UE.
(2) La nozione di “autorità pubblica e organismo pubblico” non è univocamente definita. Al riguardo potrebbe farsi riferimento al concetto di amministrazione pubblica, definito dall’art. 1, comma 2, del d. lgs. 30 marzo 2001, n. 165, oppure all’elenco delle amministrazioni pubbliche inserite nel conto economico consolidato, individuate dall’ISTAT ai sensi dell’articolo 1, comma 3 della legge 31 dicembre 2009, n. 196.
(3) Il GDPR non fornisce le definizioni di “monitoraggio regolare e sistematico” e di “larga scala” che invece sono chiarite dalle linee guida n. 243 del Gruppo “articolo 29”. In sintesi, il primo concetto fa riferimento a trattamenti che avvengono in modo continuo ovvero a intervalli definiti per un arco di tempo prestabilito e che hanno luogo nell’ambito di progetti complessivi di raccolta di dati; il secondo concetto è invece riconducibile al numero di soggetti interessati dal trattamento (in termini assoluti ovvero in percentuale), al volume dei dati, alla persistenza e alla portata geografica dell’attività di trattamento.
(4) Cfr. l’art. 83, paragrafo 4, del Regolamento UE.