DPO: guida alla nomina del responsabile della protezione dei dati in azienda

Una tra le principali novità introdotte dal Regolamento europeo in materia di protezione dei dati personali (Regolamento (UE) 2016/679, anche noto come GDPR) è certamente l’introduzione della figura del responsabile della protezione dei dati (RPD) (o Data Protection Officer, DPO), rispetto alla quale la stessa normativa europea individua i casi in cui si renda obbligatoria la sua designazione, la relativa posizione e i compiti all’interno del contesto organizzativo in cui si inserisce.

I tre casi in cui la nomina del DPO è obbligatoria

Partiamo, innanzitutto, sottolineando i tre casi specifici in cui la nomina del DPO è prevista come obbligatoria, così come stabilito dal primo comma dell’art. 37 GDPR:

• Quando un trattamento di dati personali è “effettuato da un’autorità pubblica o da un organismo pubblico, eccettuate le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali”;
• Quando “le attività principali del titolare del trattamento o del responsabile del trattamento consistono in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala”;
• Quando “le attività principali del titolare del trattamento o del responsabile del trattamento consistono nel trattamento, su larga scala, di categorie particolari di dati personali di cui all’art. 9 o di dati relative a condanne penali e ai reati di cui all’articolo 10”.

Rinviando, per l’analisi delle formulazioni e dei criteri utilizzati nei tre punti, alle preziose indicazioni fornite al paragrafo 2.1 delle Linee guida sul DPO a livello europeo^[1], appare opportuno tuttavia rimarcare che quanto diremo all’interno di questo contributo interesserà non solo coloro che procedono alla nomina del DPO in via obbligatoria, ma anche laddove quest’ultimo venga nominato in via facoltativa. Al di là delle casistiche delineate all’art. 37 GDPR sopra richiamato, infatti, la nomina di un Data Protection Officer rappresenta comunque una “buona prassi”^[2], soprattutto per le aziende più strutturate o nelle quali, a mero titolo esemplificativo, vengono impiegati sistemi e strumenti tecnologicamente avanzati sotto il profilo del trattamento dei dati personali (software basati su intelligenza artificiale, etc.). In ragione delle loro intrinseche caratteristiche e dei rischi da essi derivanti, tali sistemi possono configurare dinamiche per le quali il DPO risulta senz’altro essere – ad avviso di chi scrive – valido alleato per condurre a una corretta compliance normativa.

Il profilo della persona fisica o giuridica destinataria della nomina

Compiuto il primo passaggio, ovvero stabilire se si ricada o meno nell’obbligo di nomina del DPO a norma dell’art. 37 GDPR o, alternativamente, si intenda designarlo discrezionalmente in ragione del contesto, è opportuno valutare attentamente il profilo della persona fisica o giuridica^[3] destinataria della nomina.

Ciò, in considerazione dei requisiti esplicitamente richiesti a tale figura dal citato art. 37 GDPR. In particolare, per quanto allo stato attuale non vengano stabilite specifiche attestazioni formali o iscrizioni in appositi albi, il comma 5 stabilisce che il DPO venga individuato “in funzione delle qualità professionali, in particolare della conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati, e della capacità di assolvere i compiti” di cui diremo a breve.

Secondo il successivo comma 6, il DPO può essere anche “un dipendente” del titolare o del responsabile. Ciò, tuttavia, conduce a un’importante considerazione rispetto ai caratteri di autonomia e indipendenza da assicurare a questa figura, così come esplicitamente stabilito dal terzo comma dell’art. 83 GDPR^[4]: nell’esecuzione dei propri compiti, il DPO non deve infatti ricevere “alcuna istruzione” sull’approccio da adottare né sull’interpretazione da attribuire a una specifica questione in materia di protezione dei dati personali, così da poter adempiere alle proprie funzioni “in maniera indipendente”.

Inoltre, soprattutto nel caso in cui la scelta ricada su un DPO dipendente interno all’organizzazione, quest’ultimo non potrà essere “rimosso o penalizzato […] per l’adempimento dei propri compiti”.

Autonomia e indipendenza del DPO

Per quanto una più sostanziale autonomia e indipendenza sia – tendenzialmente – più rinvenibile in un soggetto esterno all’organizzazione, anche la nomina di un dipendente dovrà, pertanto, essere associata a un’adeguata tutela sotto questo profilo^[5].

Infine, sempre riguardo alla corretta individuazione del destinatario della nomina, per quanto l’art. 38, comma 6, GDPR, consenta al DPO di “svolgere altri compiti e funzioni”, il titolare o il responsabile devono assicurarsi che “tali compiti e funzioni non diano adito a un conflitto di interessi”: è il caso, ad esempio, in cui tale figura venga individuata all’interno di ruoli manageriali di vertice (es. amministratore delegato, responsabile finanziario, etc.) o tra posizioni che possono determinare finalità e mezzi del trattamento dei dati^[6].

I compiti del DPO

Rimandando, per ragioni di sintesi, alla lettura del regolamento europeo per le altre indicazioni circa la “posizione” e le risorse da assicurare al DPO^[7] all’interno dell’azienda, vale la pena ricordare quali siano i compiti di tale figura, sanciti dall’art. 39 GDPR^[8]:

• Informare e fornire consulenza al titolare, ai responsabili, nonché ai dipendenti, circa gli obblighi normativi in materia di protezione dei dati personali;
• Sorvegliare la corretta osservanza degli obblighi del Regolamento europeo e, più in generale, delle altre disposizioni relative alla protezione dei dati;
• Sensibilizzare e formare il personale che partecipa alle attività di trattamento;
• Fornire, laddove richiesto, un parere in merito alla valutazione d’impatto ex art. 35 GDPR e sorvegliarne lo svolgimento;
• Cooperare con l’autorità di controllo e fungere da punto di contatto per quest’ultima.

Alla luce di tali compiti, si comprende a pieno quanto precedentemente indicato circa la necessità di individuare una figura che sia dotata di specifiche qualità professionali, nonché di una spiccata conoscenza della normativa sulla protezione dei dati.

Non solo. L’ultimo punto dell’elenco ci fornisce lo spunto per introdurre il terzo e ultimo passaggio da compiere: quello della nomina formale del DPO e della comunicazione dei suoi dati al Garante privacy.

Se alla prima si provvede attraverso una nomina interna (se dipendente) o un contratto di servizi (se la figura è esterna), la comunicazione (ma anche variazione e revoca) dei dati di contatto del DPO all’Autorità Garante per la protezione dei dati personali è da effettuarsi esclusivamente tramite la procedura telematica messa a disposizione sul sito di detta Autorità.

All’ovvia considerazione per cui la messa a disposizione dei suoi dati al Garante agevola i citati compiti del DPO di cooperazione e di raccordo tra Titolare e Autorità di controllo, si aggiunge l’esplicita previsione di cui all’art. 37, comma 7, GDPR, a norma del quale “il titolare del trattamento o il responsabile del trattamento pubblica i dati di contatto del responsabile della protezione dei dati e li comunica all’autorità di controllo”.

Comunicazione al Garante privacy della nomina del DPO

Ciò significa da un lato consentire agli interessati la possibilità di rivolgersi direttamente al DPO, a seguito della pubblicazione dei suoi dati di contatto (es. all’interno del modello di informativa, sul sito web, etc.) ^[9], dall’altro permettere all’Autorità Garante di contattarlo in modo facile e diretto.

Soffermandoci, adesso, sulla compilazione della procedura telematica da trasmettere al Garante in occasione della nomina, variazione o revoca del DPO, è utile sottolineare come essa rappresenti l’unica e ordinaria modalità consentita e riconosciuta come valida dalla stessa Autorità.

In primo luogo, viene resa disponibile un’apposita pagina sul sito web del Garante privacy suddivisa in sei sezioni (vedi immagine 1).

Immagine 1

Nello specifico, troviamo:

• F.A.Q. di dettaglio relative alla procedura telematica per la comunicazione dei dati del DPO al Garante;
• Compilazione della comunicazione, da selezionare per avviare la procedura;
• Istruzioni, descrittive delle modalità di svolgimento della procedura nonché del contenuto richiesto per ciascuna delle parti di cui si compone il modello da compilare;
• Informativa sul trattamento dei dati personali, relativa alle informazioni trasmesse al Garante per tramite della procedura;
• Pagina informativa sul RPD, che rinvia alla sezione di approfondimento del sito sulla figura del DPO;
• Fac-simile del modello, che consente la visione in anteprima del modello da compilare (e delle informazioni ivi richieste) e da inoltrare nell’ambito della procedura.

Venendo alla compilazione del modello, in via preliminare si osserva che mentre l’attività di comunicazione dei dati del DPO è richiesta al titolare o al responsabile del trattamento (ossia a una persona giuridica nel caso dell’azienda) il sistema informatico è strutturato per operare con una persona fisica. Pertanto, il soggetto che nella sostanza effettua la comunicazione deve necessariamente essere il legale rappresentante del titolare o del responsabile, oppure una diversa persona che agisca dietro specifica delega^[10].

Accedendo all’apposita area per la comunicazione (vedi immagine 2), è possibile avviare la procedura mediante tre tipi di autenticazione informatica: carta d’identità elettronica (CIE); sistema pubblico di identità digitale (SPID) ed eIDAS (electronic IDentification Authentication and Signature). In questo caso il soggetto che effettua la comunicazione sarà colui che si è autenticato e dovrà comunicare se agisce in qualità di titolare/responsabile oppure di soggetto delegato. Al termine della compilazione riceverà direttamente un riscontro.

Alternativamente alle predette modalità, al fine di ampliare le possibilità di utilizzo della procedura, è stata altresì prevista una modalità che consente di sottoscrivere la comunicazione tramite firma digitale. In tale ipotesi, l’utente compila il modulo online e riceve via PEC le istruzioni per completare la procedura.

Immagine 2

Le sezioni del modulo da compilare

Il modulo da compilare (di cui, come si è detto, è possibile prendere anticipatamente visione grazie al fac-simile messo a disposizione dal Garante) è suddiviso in più sezioni e, in particolare:

• A. Dati del soggetto che effettua la comunicazione, nel quale inserire i dati della persona fisica che materialmente effettua la comunicazione;
• A1. Tipo di comunicazione, dove indicare se si tratta di una nuova comunicazione, una variazione o una revoca di una comunicazione precedentemente effettuata.
• B. Titolare/Responsabile del trattamento, nel quale inserire i dati del titolare o del responsabile sottoposto all’obbligo di comunicazione.
• C. Responsabile della Protezione dei Dati, nel quale inserire l’identità e i dati di contatto del DPO nominato.
• D. Pubblicazione dei dati di contatto, che richiede l’indicazione dei canali utilizzati per la pubblicazione dei dati di contatto del DPO, così come stabilito ex art. 37, comma 7, GDPR.
• E. Motivazione della revoca, per la specificazione dei motivi alla base di una eventuale revoca della comunicazione.

Al termine della procedura, in caso di esito positivo tanto il titolare o il responsabile (e, per conoscenza, anche il soggetto che ha effettuato la comunicazione) quanto il DPO, ricevono tramite PEC un documento informatico contenente le informazioni trasmesse e l’indicazione del numero di protocollo utilizzato per la registrazione dei dati comunicati^[11].

Nel caso opposto, il rigetto della comunicazione e la relativa motivazione vengono comunicati esclusivamente al soggetto che ha effettuato la comunicazione, mediante l’invio di una e-mail.

Conclusioni

In conclusione, è utile sottolineare come il titolare o il responsabile devono successivamente provvedere alla corretta conservazione della documentazione attestante l’avvenuta comunicazione, per il sostanziale rispetto del principio di accountability di cui all’art. 24 GDPR.

Dal canto suo, in ragione dei suoi compiti di sorveglianza, al DPO è fatta richiesta di verificare la correttezza delle informazioni fornite nella comunicazione e segnalare eventuali errori al titolare o al responsabile che l’hanno nominato.

Note

1. Linee guida sui responsabili della protezione dei dati (RPD) – WP243, adottate dal Gruppo di lavoro Art. 29 il 13 dicembre 2016. ↑
2. Cfr. par. 2.2 delle Linee guida sui responsabili della protezione dei dati (RPD) – WP243. ↑
3. In questo caso dovrà comunque essere indicata la persona fisica atta a fungere da punto di contatto con gli interessati e con l’Autorità garante (cfr. FAQ n. 9: www.garanteprivacy.it/faq-sul-responsabile-della-protezione-dei-dati-rpd-in-ambito-privato). ↑
4. Sul punto, cfr. anche i paragrafi 3.3 e 3.4 delle Linee guida sui responsabili della protezione dei dati (RPD) – WP243. ↑
5. Si pensi, ad esempio, alla penalizzazione (o anche alla semplice minaccia di penalizzazione) consistente in una mancata o ritardata progressione di carriera del dipendente per aver formulato una raccomandazione. ↑
6. Cfr. par. 3.5 delle Linee guida sui responsabili della protezione dei dati (RPD) – WP243. ↑
7. Cfr. art. 38 GDPR. ↑
8. Sui compiti del DPO, cfr. anche Considerando 97 GDPR e par. 5, punto 8, delle Linee guida sui responsabili della protezione dei dati (RPD) – WP243. ↑
9. Cfr. par. 2.6 delle Linee guida sui responsabili della protezione dei dati (RPD) – WP243. ↑
10. Cfr. sezione A all’interno delle “istruzioni”. ↑
11. Come indicato dalla stessa Autorità Garante all’interno delle “istruzioni”, “per eventuali future comunicazioni con l’Autorità è necessario far riferimento al numero di protocollo e non all’identificativo provvisorio della comunicazione”. ↑