Nel mese di marzo il Comitato europeo per la Protezione dei Dati (EDPB), nel contesto dell’Azione Coordinata di Rafforzamento della Compliance al GDPR 2023, ha lanciato un’indagine sulla visione che i DPO e le Autorità di Regolazione nazionali hanno di questa importante figura (il DPO appunto), cui il GDPR dedica gli articoli da 37 a 39.
L’indagine terminerà con un report, sulla base del quale verranno svolte delle valutazioni, che a loro volta potranno generare Linee Guida ad hoc, oppure ulteriori iniziative.
In questa luce, in considerazione dell’importante ruolo svolto dalla figura del DPO nel fare da interfaccia tra le Autorità di Regolazione ed il mondo delle imprese che al GDPR devono uniformarsi nel loro agire; nonché in considerazione del ruolo centrale del DPO nell’orientare il mondo imprenditoriale nella migliore comprensione ed applicazione dei principi posti dal GDPR stesso, può essere interessante ripercorrere i lineamenti del DPO, così come impostati dagli articoli da 37 a 39 del GDPR, svolgendo ove necessario alcune riflessioni al riguardo.
I casi di nomina obbligatoria del DPO
Ai sensi dell’art. 37.1 del GDPR il DPO il titolare del trattamento ed il responsabile del trattamento sono (entrambi) tenuti a nominare il loro DPO in 3 casi specifici:
- quando il trattamento è condotto da una autorità pubblica (ad eccezione della autorità giurisdizionali nell’esercizio delle loro funzioni);
- quando il trattamento, per sua natura, ambito di applicazione e/o finalità comporti il monitoraggio regolare e sistematico degli interessati;
- quando il trattamento su larga scala riguardi i dati oggetto degli articoli 9 e 10 (dati relativi agli orientamenti politici, religiosi, sessuali, all’appartenenza a gruppi etnici, ovvero dati biometrici/genetici in grado di identificare univocamente le persone, ovvero ancora dati sulla salute delle persone).
Dalla lettura della norma si evince piuttosto chiaramente che i concetti da chiarire sono quelli del trattamento su larga scala, e quelli di monitoraggio regolare e sistematico.
Il trattamento su larga scala
Quanto al primo aspetto, si deve considerare su larga scala il trattamento riguardante una grande quantità di dati personali su base locale, nazionale o sovranazionale.
Parametri utili a definire il concetto sono: il rilevante numero di soggetti coinvolti in assoluto od in percentuale sul totale, il volume dei dati trattati e/o le loro diverse tipologie, la durata del trattamento, l’ambito geografico del trattamento.
Il monitoraggio regolare e sistematico
Quanto al secondo aspetto, un monitoraggio è regolare quando sia continuo od effettuato ad intervalli regolari e predefiniti; mentre un monitoraggio è sistematico quando avviene per sistema, è metodico, si contestualizza in un progetto complessivo di trattamento dei dati.
Non è ancillare ricordare che regolarità e sistematicità del trattamento devono ricorre contestualmente ai fini della obbligatorietà della nomina del DPO.
È altresì importante ricordare che il DPO può essere di nomina interna od esterna: in altre parole esso può essere un dipendente del titolare/responsabile del trattamento oppure un consulente esterno dei medesimi soggetti.
Da quanto precede, e sorvolando per esigenze di sintesi su altri aspetti dell’art. 37 del GDPR, appare chiaro che i casi di obbligatorietà della nomina del DPO si caratterizzano per la grande delicatezza dei trattamenti che esso dovrà supervisionare.
Un altro profilo da tenere presente, rappresentante una zona grigia del GDPR, coincide con l’opportunità o meno di nominare un DPO laddove tale nomina non sia obbligatoria: in generale tale opportunità ricorre laddove il trattamento dei dati, per esempio, sia su larga scala ma non sia contemporaneamente regolare e sistematico, ovvero laddove abbia le predette caratteristiche ma non concerna i dati di particolare delicatezza oggetto degli articoli 9 e 10 del GDPR.
Ove ci si trovi in tale zona grigia, appare opportuno procedere comunque alla nomina del DPO; e sono convinto che questo sia uno degli ambiti dove l’indagine del EDPB potrà evidenziare le maggiori criticità.
Le caratteristiche del ruolo di DPO
Tenendo a mente che il DPO può essere un dipendente del titolare/responsabile del trattamento od un consulente di nomina esterna, possiamo ora dedicare qualche attenzione ad alcuni lineamenti caratterizzanti il ruolo del DPO.
Ai sensi dell’art. 38 del GDPR, il titolare/responsabile del trattamento che procede alla nomina deve fare in modo che il DPO sia coinvolto concretamente in tutti gli ambiti concernenti il trattamento e la protezione dei dati personali.
Ma non è finita, perché inoltre esso deve fornire al DPO tutte le risorse umane e tecnologiche necessarie allo svolgimento delle sue funzioni.
Infine, chi nomina il DPO non può impartirgli istruzioni od ordini, né può penalizzarlo in ragione dell’assolvimento dei suoi compiti (mentre, si badi bene, il DPO è sempre remunerato dal suo datore di lavoro in qualità di dipendente o consulente esterno).
Cosa si evince dal tenore di queste norme? Si evince che la figura del DPO assomiglia a una creatura mitologica come il centauro o il grifone: esso è un dipendente o un consulente remunerato da chi lo nomina, ma allo stesso tempo non deve e non può subirne l’autorità, farsene influenzare, farsene condizionare.
In altri termini si deve comportare come un soggetto indipendente, una sorta di Garante della Privacy interno.
Appare piuttosto chiaro che il rispetto di questi principi non sia affatto facile né per il titolare/responsabile del trattamento, né per il DPO; ed appare altrettanto chiaro che questa sarà un’altra area di particolare delicatezza nell’indagine del EDPB.
I compiti del DPO
Quanto appena osservato sarà ancora più chiaro riflettendo su quali siano le attribuzioni del DPO ai sensi dell’art. 39 del GDPR.
In estrema sintesi, il DPO deve:
- Informare il titolare/responsabile del trattamento ed il personale adibito ai trattamenti degli obblighi imposti dal GDPR e dalle altre norme in tema di sicurezza dei dati personali, fornendo consulenza al riguardo;
- sorvegliare che i predetti soggetti rispettino le disposizioni relative alla protezione e al trattamento dei dati personali, curando altresì la formazione specifica del personale;
- fornire un parere con riferimento alla valutazione d’impatto dei trattamenti, sorvegliandone la realizzazione;
- cooperare ed interfacciarsi con l’autorità di regolazione, fungendo da punto di contatto con la stessa e con i titolari dei dati.
Questo, in altri termini, significa fornire pareri a getto continuo, anche quando non richiesti, supervisionare la predisposizione delle procedure, delle misure di sicurezza, sottoporre a stress test periodici personale, procedure, e misure di sicurezza al fine di verificarne l’attitudine ad essere compliant con le disposizioni del GDPR, essere il riferimento costante dell’autorità di regolazione e dei titolari dei dati in tutti i frangenti e le occasioni ove ciò sia necessario a anche soltanto opportuno.
Ancora più in sintesi, tutto questo significa dover “dare la morte”, metaforicamente parlando, al titolare/responsabile del trattamento ed al personale in modo sistematico e continuativo al fine di accrescerne e testarne l’attitudine al rispetto dei principi posti dal GDPR.
Conclusioni
È possibile svolgere correttamente e con obbiettività questi compiti, essendo contemporaneamente un dipendente od un consulente esterno remunerato dal titolare/responsabile del trattamento?
A questa domanda il legislatore pare aver risposto positivamente; a chi scrive sembra invece che non sia molto facile incontrare nelle riserve naturali centauri e grifoni.
Ritengo che l’indagine dell’EDPB aiuterà molto ad evidenziare quanto critiche siano le attuali disposizioni sul DPO nel contesto del GDPR; ed in effetti non appare un caso se l’EDPB ha deciso di lanciare questa specifica indagine coordinata.