La figura del responsabile della protezione dei dati (RPD; o DPO, Data Protection Officer) costituisce senza dubbio una tra le maggiori novità introdotte dal regolamento europeo in materia di privacy (Regolamento (UE) 2016/679, anche noto come GDPR).
Il ruolo del Data Protection Officer DPO in base alla normativa privacy
Lo stesso regolamento europeo, oltre a definire posizione e compiti del DPO, individua all’articolo 37 i casi[1] in cui la nomina del DPO risulta obbligatoria, ossia:
- Quando un trattamento di dati personali è “effettuato da un’autorità pubblica o da un organismo pubblico, eccettuate le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali”;
- Quando “le attività principali del titolare del trattamento o del responsabile del trattamento consistono in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala”;
- Quando “le attività principali del titolare del trattamento o del responsabile del trattamento consistono nel trattamento, su larga scala, di categorie particolari di dati personali di cui all’art. 9 o di dati relative a condanne penali e ai reati di cui all’articolo 10”.
Al di là di queste casistiche, nelle quali è richiesto di procedere sistematicamente alla sua nomina, la designazione del DPO può avvenire anche su base facoltativa, soprattutto nei casi di aziende strutturate o nelle quali, ad esempio, entra in gioco l’utilizzo di strumenti o processi avanzati sotto il profilo del trattamento dei dati personali.
Come si dirà a breve soprattutto analizzando i compiti a lui attribuiti dal regolamento europeo, svolgendo principalmente attività di informazione, sorveglianza, cooperazione e supporto, il ruolo del DPO è certamente sinonimo di “facilitatore”[2] che assicura al titolare una maggiore garanzia per il raggiungimento della compliance normativa.
Requisiti e responsabilità del DPO secondo la normativa privacy
Prendendo in esame il quinto comma dell’articolo 37 GDPR, si legge come il DPO “è designato in funzione delle qualità professionali, in particolare della conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati, e della capacità di assolvere i compiti di cui all’articolo 39”.
Con riferimento alle “qualità professionali”, per quanto di esse non venga offerta una specifica definizione, come chiarito dalle Linee guida sul DPO adottate dal WP29 occorre riferirsi alla conoscenza della normativa e delle prassi nazionali ed europee in materia di protezione dei dati, nonché a un’approfondita conoscenza del GDPR[3]. Invero, tale qualità va determinata facendo attenzione anche ai vari contesti in cui il DPO si trova a operare dato che, variando le attività di trattamento e le esigenze di protezione, è opportuno che tale figura sia dotata di una conoscenza dello specifico settore (es. privato, pubblico, sanitario) nel quale presta servizio.
Similmente, anche le “conoscenze specialistiche” non trovano una tassativa definizione all’interno del GDPR. Anche in questo caso sono le Linee guida sul DPO a chiarire come il grado di conoscenza “deve essere proporzionato alla sensibilità, complessità e quantità dei dati sottoposti a trattamento”.
Ad ogni modo, come indicato al par. 5, punto 8, delle Linee guida, possiamo principalmente individuare le seguenti competenze e conoscenze specialistiche in:
- Conoscenza della normativa e delle prassi nazionali ed europee in materia di protezione dei dati, compresa un’approfondita conoscenza del RGPD;
- Familiarità con le operazioni di trattamento svolte;
- Familiarità con tecnologie informatiche e misure di sicurezza dei dati;
- Conoscenza dello specifico settore di attività e dell’organizzazione del titolare/del responsabile;
- Capacità di promuovere una cultura della protezione dati all’interno dell’organizzazione del titolare/del responsabile.
Per il titolare, pertanto, si pone la necessità di individuare il DPO tenendo in debita considerazione non solo il suo profilo professionale in sé considerato, ma anche rapportandolo al contesto nel quale andrà a svolgere la propria attività.
Garanzie e vantaggi della presenza di un DPO in azienda
Ponendoci nell’ipotesi di un contesto aziendale che abbia provveduto – perché obbligato o in via facoltativa – alla designazione del Data Protection Officer, alla luce di quanto finora visto è facile comprendere la portata in termini di garanzie e vantaggi per l’azienda.
Il DPO svolge un ruolo chiave nel promuovere la cultura della protezione dei dati all’interno dell’azienda e contribuisce a dare attuazione a elementi essenziali della normativa privacy europea, primi tra tutti i principi fondamentali del trattamento in essa previsti[4].
Inoltre, se da un lato svolge regolarmente un’attività di monitoraggio e di consulenza circa il rispetto degli obblighi normativi, dall’altro funge altresì da punto di cooperazione e coordinamento tra titolare e Autorità nel caso di eventuali attività di controllo da parte di quest’ultima.
Processo di selezione e formazione del DPO: competenze richieste
Una volta stabilito il bisogno di nominare il DPO per integrazione dei requisiti di cui al richiamato articolo 37 GDPR, oppure stabilita la volontà di una sua designazione in via facoltativa, l’azienda deve procedere all’individuazione di tale figura considerando la necessità che sia in possesso delle menzionate qualità professionali e conoscenze specialistiche nei termini appena descritti.
Il processo di selezione del DPO può condurre alla scelta non soltanto di una figura esterna, sulla base di un contratto di servizi stipulato con una persona fisica o giuridica al di fuori della propria organizzazione, bensì anche a un dipendente dell’azienda stessa (come previsto ex art. 37, comma 6, GDPR). Tuttavia, alla luce delle garanzie di autonomia e indipendenza di cui deve godere la figura del DPO[5] (e di cui si dirà a breve), appare maggiormente probabile che ciò si realizzi sul piano sostanziale nel caso in cui la scelta venga fatta ricadere su una figura esterna.
Una volta individuato il soggetto, l’identità del DPO unitamente ai suoi dati di contatto devono essere obbligatoriamente comunicati all’Autorità Garante privacy, mediante l’apposita procedura già oggetto di approfondimento in un precedente contributo, al quale si rinvia[6].
Oneri e responsabilità del DPO
Come accennato, i compiti del DPO sono molteplici e sono espressamente elencati all’articolo 39 GDPR[7] (al quale si rimanda, per ragioni di sintesi).
Per quanto riguarda l’attività di sorveglianza circa la corretta osservanza da parte del titolare degli adempimenti normativi, il DPO si troverà a svolgere principalmente attività di raccolta di informazioni per l’individuazione dei trattamenti svolti; analisi e verifica dei trattamenti in termini di loro conformità; attività di informazione, consulenza e indirizzo nei confronti del titolare, di eventuali responsabili e, più in generale, degli interessati. Inoltre, in merito al parere da fornire al titolare – laddove da lui richiesto – circa lo svolgimento di una valutazione d’impatto (DPIA, Data Protection Impact Assessment; art. 35 GDPR), indicherà se condurre o meno la DPIA; quale metodologia adottare, le misure di sicurezza da adottare per attenuare i rischi derivanti dal trattamento; se le conclusioni raggiunte al termine della DPIA siano conformi o meno alla normativa.
Ciò premesso, al di là delle proprie responsabilità professionali, il DPO non risulta responsabile in caso di inosservanza del regolamento: spetta infatti all’azienda, nella sua qualità di titolare del trattamento, “mette[re] in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente” alla normativa (principio di accountability, art. 24 GDPR).
Strumenti e risorse per supportare il DPO nel suo ruolo
In base a quanto previsto ex art. 38 GDPR, la figura del DPO deve essere fattivamente supportata nello svolgimento dei suoi compiti.
Ciò si traduce nella necessità di fornirgli le risorse necessarie a consentirgli lo svolgimento delle attività, l’accesso ai dati personali e ai trattamenti, nonché il mantenimento della propria conoscenza specialistica.
Per quanto occorra considerare che il quantitativo di risorse impiegate a supporto del DPO non può essere stabilito ex ante, ma dovrà essere proporzionalmente maggiore all’aumentare della complessità e/o sensibilità dei trattamenti, le Linee guida forniscono comunque un elenco di indicazioni utili sul punto[8] (qui riassunte, per ragioni di sintesi). Il DPO, pertanto, dovrà disporre di:
- Un supporto attivo nelle sue funzioni da parte dei vertici aziendali.
- Tempo sufficiente per l’espletamento dei compiti a lui affidati.
- Supporto adeguato in termini di risorse finanziarie, infrastrutture (sede, attrezzature, strumentazione) e, ove opportuno, personale.
- Comunicazione ufficiale della sua nomina a tutto il personale, in modo da garantire che la sua presenza e le sue funzioni siano note all’interno dell’azienda.
- Accesso garantito ad altri servizi (risorse umane, ufficio giuridico, IT, sicurezza, etc.), in modo da poter disporre di supporto, informazioni e input essenziali;
- Formazione permanente, in modo da curare il proprio aggiornamento con riguardo agli sviluppi nel settore della protezione dati.
- Ove opportuno (es. aziende di grandi dimensioni), la creazione di un ufficio o uno specifico gruppo di lavoro a supporto.
Collaborazione tra il DPO e le altre funzioni aziendali
Il terzo comma del menzionato articolo 38 GDPR chiarisce altresì come il DPO “non è rimosso o penalizzato dal titolare […] per l’adempimento dei propri compiti”[9].
Il divieto mira ad assicurare l’autonomia e l’indipendenza del Data Protection Officer che – proseguendo nella lettura del medesimo articolo – “riferisce direttamente al vertice gerarchico del titolare”. Tale rapporto diretto garantisce così al vertice amministrativo (es. il consiglio di amministrazione) di conoscere le indicazioni fornite dal DPO nell’ambito dei suoi compiti di informazione e consulenza.
Inoltre, sotto diverso profilo, la relazione tra titolare e DPO deve favorire l’attività del secondo per il tramite di un costante e sostanziale supporto a suo sostegno da parte del titolare. In questo senso, il rapporto può inquadrarsi nel senso di una “collaborazione” che, quanto più risulta essere efficace da parte del titolare, tanto più favorisce la funzione di ausilio e facilitazione esercitata a suo vantaggio dal DPO.
Monitoraggio e valutazione delle performance del DPO
Come osservato, l’individuazione del DPO non può prescindere da una preliminare valutazione che prenda in esame le qualità professionali e le conoscenze specialistiche del soggetto scelto per rivestire tale ruolo. Caratteristiche che non solo devono essere presenti come precondizione per la nomina, ma che dovranno perdurare – e, come tali, saranno da monitorare – durante lo svolgimento dell’incarico.
Ferme restando le garanzie viste con riferimento al divieto di penalizzazione o rimozione del DPO derivante dallo svolgimento dei suoi compiti, al contrario è legittimamente possibile interrompere il rapporto per ragioni non afferenti alle sue funzioni, come in caso di furto, molestie sessuali o di altro genere, o altre analoghe e gravi violazioni deontologiche[10].
Qualunque sia il motivo della cessazione dell’incarico (conclusione dell’incarico temporaneo, rescissione del contratto, dimissioni, etc.) e, dunque, il DPO termini di svolgere il proprio ruolo all’interno dell’organizzazione, nessun obbligo di comunicazione è posto in capo al titolare: come chiarito nelle FAQ dell’Autorità Garante[11], tuttavia, è sempre buona regola conservare la documentazione comprovante l’avvenuta cessazione del rapporto tra titolare e DPO, in modo da poterla esibire in caso di eventuale richiesta da parte dell’Autorità[12].
Note
[1] Per l’analisi delle formulazioni e dei criteri utilizzati nelle tre casistiche di cui all’art. 37, comma 1, GDPR, si rinvia alle preziose indicazioni fornite al paragrafo 2.1 delle Linee guida sui responsabili della protezione dei dati (RPD) – WP243, adottate dal Gruppo di lavoro Art. 29 il 13 dicembre 2016.
[2] Cfr. par. 4.3 delle Linee guida sopra menzionate.
[3] Cfr. par. 2.5 delle Linee guida sopra menzionate.
[4] Ibidem.
[5] Sul punto cfr. art. 38 GDPR, nonché par. 3.3 e 3.4 delle Linee guida sui responsabili della protezione dei dati (RPD) – WP243. Inoltre, www.agendadigitale.eu/cultura-digitale/dpo-guida-alla-nomina-del-responsabile-della-protezione-dei-dati-in-azienda/.
[6] www.agendadigitale.eu/cultura-digitale/dpo-guida-alla-nomina-del-responsabile-della-protezione-dei-dati-in-azienda/. Sul punto, cfr. altresì par. 2.6 delle Linee guida sopra richiamate.
[7] Sui compiti del DPO, cfr. anche Considerando 97 GDP e par. 4 delle Linee guida sopra richiamate.
[8] Cfr. par. 3.2 delle Linee guida sopra menzionate.
[9] Le penalizzazioni, come esemplificato dalle Linee guida sul DPO (par. 3.4), possono assumere molte forme (inclusa anche quella della mera minaccia) e avere natura diretta o indiretta.
[10] Cfr. par. 3.4 delle Linee guida sopra menzionate.
[11] www.garanteprivacy.it/regolamentoue/rpd/faq-relative-alla-procedura-telematica-per-la-comunicazione-dei-dati
[12] Cfr. FAQ n. 18.