Il Regolamento europeo n. 2016/679 sulla protezione dei dati personali (General Data Protection Regulation – GDPR ), ha ridisegnato il “sistema normativo della privacy” sedimentato nella legislazione dei singoli Stati europei, instaurando, anzitutto, una redistribuzione dei ruoli e delle responsabilità.
È questo lo scenario in cui si inserisce il Data Protection Officer o Responsabile della protezione dei dati personali (in seguito DPO o RPD): una figura complessa, che riassume in sé la trama dei principi, etici prima che giuridici, che ammanta il Regolamento europeo.
Per questo, vorremmo provare, in questa sede, a inquadrare la figura del Data Protection Officer in una prospettiva diversa da quella che, troppo spesso, anima i dibattiti degli interpreti, riprendendo e sintetizzando alcuni spunti di approfondimento già sviluppati[1], per proporre una riflessione costruttiva, guidata dallo spirito del GDPR, incentrato sulla tutela della persona.
Una cosa deve essere chiara: i compiti e le responsabilità del DPO non possono dipendere unicamente dalle logiche di mercato. Logiche che, tra l’altro, hanno recentemente alimentato il proliferare di proposte formative, tra le quali è spesso difficile distinguere, con sufficiente chiarezza, quelle realmente orientate a plasmare le qualità e le competenze professionali di questa nuova figura e quelle invece mirate unicamente al rilascio dei cosiddetti “bollini di qualità” (spesso di dubbio valore) da appuntare sul curriculum. Il ruolo del DPO è troppo delicato per essere svilito attraverso un’opera di mercificazione (anche delle certificazioni) che ha accompagnato (purtroppo) tanti ruoli/modelli di “responsabilità” in altri settori del diritto.
È pur vero, infatti, che il Regolamento UE 2016/679 prevede e incentiva l’istituzione di meccanismi di certificazione della protezione dei dati allo scopo di dimostrare la conformità al Regolamento dei trattamenti effettuati (art. 42, par. 1) ma, come giustamente ricordato dall’Autorità Garante per la Protezione dei Dati con comunicato stampa del 18 luglio scorso, in Italia non è ancora stato individuato alcun ente di accreditamento ai fini del Regolamento, né sono stati definiti i requisiti aggiuntivi per l’accreditamento degli organismi di certificazione (art. 43, par. 1, lett. b) e i criteri di certificazione (art. 42 par. 5).
È il caso di ricordare che la protezione dei dati personali è un diritto fondamentale, che converge nella tutela dell’identità personale, imprescindibile in questa nostra società dell’informazione, tanto più libera, quanto più vulnerabile. È precisamente questa, d’altra parte, la ratio dell’obbligo di nomina del DPO posto in capo a Titolari e Responsabili, nel caso in cui si tratti di autorità o organismi pubblici, indipendentemente dai dati personali oggetto di trattamento, e per altri soggetti che, come attività principale, effettuino un monitoraggio regolare e su larga scala delle persone fisiche o trattino su larga scala categorie particolari di dati personali (art. 37, par.1).
Occorre sottolineare che, anche quando non obbligatoria, la designazione del DPO è particolarmente raccomandata per tutti i casi in cui le attività di trattamento costituiscano probabili fonti di rischio per i diritti e le libertà delle persone fisiche, in base a valutazioni affidate, nei singoli casi, ai Titolari e ai Responsabili, in attuazione del fondamentale principio dell’accountability. È evidente, dunque, che al Data Protection Officer non può e non deve spettare una funzione di tutela degli interessi del Titolare e del Responsabile, ma un ruolo esclusivamente dedicato alla protezione dei dati personali.
Ecco dunque che diventa essenziale il requisito dell’autonomia e indipendenza del DPO nell’esercizio delle sue funzioni, riprendendo in parte lo spirito del sistema previsto in Italia dal D. Lgs. 231/2002, in materia di responsabilità amministrativa degli enti. Come sappiamo, assicurare l’assenza di condizionamenti nell’esercizio di compiti complessi è tutt’altro che banale. Certamente, l’ipotesi di inquadrare il DPO in un rapporto di dipendenza con il Titolare (o con il Responsabile) del trattamento prospetterebbe rischi più evidenti di asimmetria di poteri e di conflitto di interesse in ambito lavorativo, nonostante l’espressa copertura normativa. Tuttavia, anche in assenza di vincoli gerarchici, il dovere di agire in modo indipendente potrebbe essere compromesso se l’incarico conferito al DPO esterno assumesse, di fatto, la forma di un semplice mandato professionale o di un affidamento di servizi.
L’autonomia decisionale e l’estraneità rispetto alla determinazione delle finalità e delle modalità del trattamento sono mezzi di fondamentale importanza per restituire agli Interessati quella sovranità sulla circolazione dei propri dati, spesso usurpata per effetto di disattenzione, nei confronti delle regole di liceità del trattamento.
Il Legislatore ha inteso rispondere all’esigenza di respiro intraeuropeo di assicurare un presidio sui dati rigoroso e uniforme in tutti gli Stati dell’Unione, evitando la parcellizzazione di competenze e la sperequazione dei diritti, prevedendo così, in via obbligatoria, la presenza di una figura che informi il Titolare, il Responsabile e i dipendenti (previamente autorizzati) che svolgono attività di trattamento sugli obblighi derivanti dal Regolamento, sorvegliandone la corretta applicazione, fornendo pareri e vigilando sullo svolgimento della valutazione di impatto (art. 35), fungendo altresì da punto di contatto per l’autorità di controllo.
Pur non prevedendo formalmente la figura del DPO, il Codice in materia di protezione dei dati personali italiano concede al Titolare la facoltà di “preporre” al trattamento di dati personali (art. 4, comma 1, lett. g) uno o più Responsabili, dotati dell’esperienza, della capacità e dell’affidabilità necessaria a garantire la piena osservanza delle regole in materia di trattamento, compreso il profilo relativo alla sicurezza (art. 29, comma 2) acquisendo così questa figura, nella prassi applicativa del Codice, un margine di autonomia e una caratterizzazione funzionale molto simile a quelle riconosciute al DPO.
Il Legislatore europeo, nel regolare la figura del DPO (agli artt. 37-39 del GDPR), ha mutuato quindi molti aspetti del Responsabile del trattamento italiano, nella sua evoluzione consuetudinaria, che ha favorito il consolidamento di modelli organizzativi (in alcuni casi molto efficaci e preziosi) nei quali i Responsabili del trattamento svolgevano, con una certa autonomia, compiti di assistenza operativa, di consulenza strategica o giuridica, di monitoraggio e verifica della sicurezza, e così via. Questa esperienza non va messa da parte, ma anzi è bene che sia valorizzata nell’applicazione del GDPR nel nostro Paese.
Va anche precisato, però, che Il Data Protection Officer ha ben altro ruolo rispetto al “semplice” Responsabile del trattamento, tale da consentire di qualificarlo come un “manager del cambiamento digitale”, che dovrà necessariamente essere in possesso di una preparazione specialistica multidisciplinare, non affidata – lo ribadiamo – a improvvisate trovate di certificazione con accattivanti promesse di immediata spendibilità nel “mercato della privacy”, ma supportata da un percorso ponderato sulle competenze, giuridicamente rigoroso ed eticamente consapevole.
È sempre più vero che noi siamo i nostri dati[2]: la protezione, ora più che mai, è una responsabilità che non può essere lasciata al caso
