Tra i principali obblighi previsti dal GDPR c’è quello, per alcune società, di adeguare il proprio organigramma privacy inserendo all’interno dello stesso la figura del DPO, acronimo di Data Protection Officer. In realtà, il Data Protection Officer rappresenta una figura già nota in molte legislazioni europee. Si pensi, ad esempio, agli ordinamenti anglosassoni dove sono già presenti da anni il Chief Privacy Officer (CPO), il Privacy Officer e il Data Security Officer.
A far data dal 25 maggio 2018 il DPO è obbligatorio per tutti i 28 Stati dell’Unione Europea, venendo così a rappresentare, anche in Italia, un elemento imprescindibile per la tutela dei dati personali. Tuttavia questa figura, così importante e qualificata, è ad oggi al centro di questioni controverse e dibattute che hanno dato vita ad una vera e propria opera di interpretazione dei contenuti del Regolamento n. 2016/679. Infatti, in relazione alla figura del DPO, esistono molteplici elementi poco chiari, soprattutto in merito all’obbligo di nomina e alle competenze dello stesso.
Google Analytics, fine di un’epoca? Cosa accadrà, con la rivoluzione privacy
Chi è il Data Protection officer (DPO)
Il Data Protection officer è una figura professionale con particolari competenze in campo informatico, giuridico, di valutazione del rischio e di analisi dei processi. Il compito principale del DPO è l’osservazione, la valutazione e la gestione del trattamento dei dati personali allo scopo di far rispettare le normative europee e nazionali in materia di privacy. Sono molte le fonti da cui trarre spunto per comprendere quali sono le caratteristiche di questa figura.
A livello comunitario, il WP29 ha emanato una linea guida sul DPO, mentre a livello nazionale, il Garante per la protezione dei dati personali ha emanato due diverse FAQ (relative al ruolo di DPO in ambito privato o in ambito pubblico che sono state da ultimo aggiornate nel maggio 2021) In realtà, l’articolo 37 del Regolamento non specifica quali debbano essere le qualità professionali necessarie a rivestire la figura del DPO. Si evince chiaramente, però, che il soggetto prescelto debba possedere comprovata esperienza sulla legislazione relativa alla protezione dei dati personali sia nazionale che europea, sulle prassi oltre che una approfondita conoscenza del Regolamento.
Nel novembre 2021, l’Autorità garante per la protezione dei dati personali del Lussemburgo, sanzionando una società, ha emanato un criterio molto importante utile a stabilire cosa debba intendersi per “comprovata esperienza”. Si è stabilito che il DPO per poter essere validamente nominato abbia almeno tre anni di esperienza in materia di protezione dei dati personali.
Data protection officer, cosa dice l’articolo 38
Nel caso, poi, di un ente pubblico o di un organismo pubblico, il DPO dovrebbe anche avere una buona conoscenza delle regole e delle procedure dell’organizzazione amministrativa. Ciò che invece è certo è che tale figura può essere rivestita, oltre che da un libero professionista, anche da un dipendente del titolare del trattamento (o del responsabile del trattamento). In merito, v’è da condividere una considerazione importante che contribuisce e stimola le polemiche sulla difficile (o forse prematura) attuazione del Regolamento. Esiste infatti una evidente discrasia tra la figura del dipendente, che si porta sulle spalle tutti gli oneri e gli obblighi di subordinazione previsti dalla legge, e l’articolo 38 del Regolamento lì dove sancisce la posizione di assoluta indipendenza del DPO. È chiaro che, con questi presupposti, la funzione garanzia richiesta al DPO parte già in evidente difficoltà applicativa.
L’articolo 38 poi rincara: il DPO non deve trovarsi in alcuna situazione di conflitto di interessi. E qui preferiamo una interpretazione più funzionale che “politica”. Il legislatore europeo in sostanza cerca di evitare facili nomine effettuate per affinità (o sovrapposizione) di mansioni pratiche: non risulterà conforme alla legge l’eventuale nomina a DPO del responsabile che si occupa di ICT.
I requisiti del DPO
Le FAQ (sul RPD in ambito pubblico) del Garante, rispondono alla domanda di quali siano le qualifiche che deve avere un dipendente per poter essere nominata DPO: nel caso in cui si opti per un RPD interno, sarebbe quindi in linea di massima preferibile che, ove la struttura organizzativa lo consenta e tenendo conto della complessità dei trattamenti, la designazione sia conferita a un dirigente ovvero a un funzionario di alta professionalità, che possa svolgere le proprie funzioni in autonomia e indipendenza, nonché in collaborazione diretta con il vertice dell’organizzazione.
Allo stesso modo nell’ambito privato, stante un possibile conflitto di interessi, si ritiene che non possa essere nominato DPO l’amministratore delegato, il responsabile operativo, il responsabile finanziario o sanitario, il direttore marketing e quello delle risorse umane.
Quali sono i compiti del DPO – Data protection officer
Come detto, la responsabilità principale del Data Protection Officer è quella di sovraintendere alla gestione del trattamento di dati personali effettuata dalle aziende, sia pubbliche che private, affinché questi siano trattati nel rispetto delle normative privacy europee e nazionali.
Più nel dettaglio, i compiti del DPO sono elencati dall’articolo 39 del Regolamento Europeo sulla protezione dei dati personali il quale stabilisce che tale figura debba:
- informare il Titolare ed il responsabile del trattamento relativamente agli obblighi di legge scaturenti dal regolamento o da ulteriori normative dell’Unione in materia di dati personali;
- controllare l’osservanza del Regolamento da parte del Titolare del trattamento o del Responsabile del trattamento, sensibilizzando e formando il personale che partecipa alle operazioni di trattamento dei dati e alle relative attività di controllo;
- fornire pareri circa la valutazione d’impatto sulla protezione dei dati;
- collaborare con l’autorità di controllo, effettuando consultazioni su qualsiasi altra eventuale questione.
Quindi il DPO deve essere un professionista dotato anche di qualità manageriali e organizzative, onde poter suggerire al titolare o responsabile dei dati i più opportuni cambiamenti di carattere tecnico-organizzativo.
Per quali aziende è obbligatorio il DPO
A mio parere, in assenza di regole certe, qui perde di fascino l’intero impianto normativo europeo. L’assenza di paletti ben definiti sulla necessità di applicare o meno le regole sul DPO per le aziende private fa prevedere un’applicazione meramente interpretativa, esposta alla totale discrezionalità dell’ente controllore. Ma andiamo con ordine.
Ai sensi dell’articolo 37 del Regolamento Europeo la nomina del DPO è obbligatoria allorquando il trattamento dei dati “venga effettuato da un’autorità pubblica o da un organismo pubblico, eccettuate le autorità giurisdizionali nell’esercizio delle proprie funzioni”. E fin qui nulla quaestio. Sul punto vale la pena solo specificare che gli “organismi di diritto pubblico” sono tutti quegli organismi creati per soddisfare bisogni d’interesse generale a carattere non industriale o commerciale, dotati di personalità giuridica, con una attività finanziata per la maggior parte dallo Stato o da altri organismi di diritto pubblico. Ma l’articolo 37 sancisce l’obbligatorietà della nomina del DPO anche per alcune aziende private.
Ed è proprio qui, nel cuore applicativo della normativa, che le regole divengono generiche e imprecise. L’articolo prevede che sussista l’obbligo di nomina del DPO allorquando la ″core activities″ del titolare del trattamento o del responsabile del trattamento ″consista in trattamenti richiedenti il monitoraggio sistematico su larga scala″ nonché quando le attività principali del titolare del trattamento o del responsabile del trattamento ″riguardano il trattamento, su larga scala, di informazioni sensibili o di dati relativi a condanne penali e a reati″.
Le attività principali
Che cosa si intende per “attività principali”? L’oggetto dell’attività imprenditoriale o anche uno step necessario per raggiungere lo scopo di essa? L’esempio che si fa più spesso è la clinica privata. L’attività principale è la fornitura del servizio di cura delle persone, ma senza poter trattare i dati (sensibili tra l’altro) dei pazienti, questo non sarebbe possibile. I dubbi restano ma, da avvocato mi chiedo: se in un caso simile, ad un mio cliente venisse comminata una sanzione, questa resterebbe priva di impugnazione? Giammai! La legge parla di “attività principale” ed io devo fare gli interessi dei miei assistiti. Ed ecco lo spreco di risorse da parte della PA, ed ecco l’aumento delle procedure giudiziarie.
Il significato di “larga scala”
Ed ancora, cosa si intende per “larga scala”? A questa domanda ha provato a rispondere il Gruppo dei Garanti Ue (WP 29), chiamato a fornire delle linee guida in merito. Risposta chiara? Macché: “Non è possibile fornire un numero preciso di dati trattati o di persone interessate necessari a definire la categoria della grande scala” sebbene non possa escludersi la possibilità, con il tempo, di sviluppare pratiche standard che ne permettano la determinazione quantitativa. Sostanzialmente: “per ora non si sa, poi si vedrà”. E quindi? La normativa sarà in vigore solo formalmente dal maggio 2018, ma per l’effettiva applicazione sarà necessario attendere le “pratiche di standard qualitative” di cui sopra?
In ogni caso, al fine di stabilire se si tratta di un trattamento su larga scala le linee guida del Regolamento consigliano di prendere in considerazione i seguenti elementi:
- il numero di persone interessate ed il volume di dati;
- la durata dell’attività di elaborazione dei dati;
- l’estensione geografica dell’attività di trasformazione degli stessi.
L’intervento del Garante privacy
E allora proviamo ad ipotizzare, con tecniche esclusivamente interpretative, chi debba rivolgersi ad un Data Protection Officer. Inutile e scontato dire che, oltre a tutti gli enti locali, chi gestisce big data dovrà adempiere alle direttive della normativa (ma forse già lo fa). Che si forniscano di un DPO anche le compagnie di assicurazione, le banche, i fornitori di servizi di telecomunicazioni. E gli studi legali? Alcuni trattano davvero tanti dati personali, migliaia, dati sensibili e giudiziari. A norma di legge forse dovrebbero nominare un DPO (fantascienza). Chi lavora nel marketing e nel webmarketing, chi fa profilazione di dati, chi utilizza landing page, chi fa DEM professionalmente? Direi di sì se il volume dei dati è consistente. E i siti web che fanno numeri importanti? I grandi e-commerce sicuramente devono mettersi a norma, mentre chi utilizza sistemi di analisi di dati di traffico non anonimizzati meglio che si rivolga a società terze per far questo piuttosto che internalizzare il servizio, così da evitare la nomina del DPO.
Il Garante per la protezione dei dati personali ritiene, in ogni caso, che la designazione di questa figura sia comunque raccomandata, anche alla luce del principio di accountability che permea il RGPD, in tutti i casi e dunque, anche quando non sussistono i presupposti per la nomina obbligatoria.
