Si moltiplicano gli interventi di studiosi, avvocati specializzati, studi professionali e di formazione che, in Italia come all’estero, indicano ad imprese e pubbliche amministrazioni gli adempimenti essenziali per il Gdpr: tra cui, la nomina del DPO. Succedeva da tempo prima del 25 maggio e continua ora, considerato che molte aziende non sono ancora compliant (secondo dati di diversi analisti).
Le Autorità di protezione dei dati personali, a loro volta, stanno compiendo uno sforzo notevole.
Il lavoro svolto in questi mesi dal Gruppo delle Autorità garanti europee ancora riunite, sulla base della Direttiva 95/46, sotto la più nota denominazione di Working party 29, è cospicuo e continuerà anche nei prossimi mesi. Lo stesso si può dire per l’impegno con cui, nelle realtà nazionali, stanno operando le Autorità dei principali Paesi, fra le quali si colloca certamente anche il Garante italiano.
Si tratta di interventi dei quali non sempre si coglie a pieno il messaggio essenziale, perché spesso ci si sofferma più sui dettagli che sulle indicazioni di fondo che essi contengono.
Le ragioni per cui questo accade sono molte, ma due in particolare sembrano dominanti.
La prima è che si tende a interpretare il nuovo GDPR secondo un approccio molto simile a quello usato in questi venti anni rispetto alla Direttiva 95/46. Si trascura così che proprio l’esperienza di una Direttiva concepita come un insieme di principi e di regole tendenzialmente “statiche”, la cui elasticità era affidata a un certosino lavoro di interpretazione evolutiva svolto dalle Autorità garanti, e più recentemente dalla Corte di Giustizia, ha spinto la Ue a cambiare strada, anche in considerazione della continua evoluzione della tecnologia digitale e delle sue applicazioni.
Il nuovo GDPR contiene una normativa molto flessibile, volutamente pensata per adattarsi a continui processi di innovazione nel trattamento di dati personali e, proprio per questo, tutta incentrata sul dovere del titolare dei trattamenti di valutare in concreto i rischi che questi possono comportare (art. 24.1). Dovere che spetta anche al responsabile del trattamento come previsto dal Capo IV, anche se in questa sede, per semplificare l’esposizione, si parlerà sempre e solo del titolare.
Per questo le indicazioni delle Autorità garanti e gli stessi pareri del Gruppo art. 29 sono in questa fase soprattutto Linee Guida di carattere metodologico, finalizzate ad aiutare i titolari a compiere le loro scelte e adottare le modalità di trattamento di volta in volta necessarie.
La seconda ragione per cui spesso, malgrado le indicazioni date dalle Autorità garanti e dal Gruppo art. 29, si è restii ad adottare una lettura flessibile delle norme al fine di individuare le modalità più opportune per adattarle alle singole situazioni, è che su alcuni punti specifici si legge il GDPR avendo a mente più la realtà già esistente, spesso sviluppatasi su una applicazione estensiva e non regolata della Direttiva 95/46, che non il “nuovo che avanza”.
Chi è il DPO (Data Protection Officer), cosa fa e le sue funzioni
Fra i settori in cui la interpretazione e attuazione del nuovo GDPR può dar luogo a una lettura della normativa troppo statica, e in qualche caso anche troppo compiacente rispetto all’esistente, vi è quello relativo al DPO (o, in italiano, RDP).
Come riconosce il Gruppo art. 29 nel Parere n. 243 del 13 dicembre 2016/5 aprile 2017, questa figura non era prevista nella Direttiva 95/46 e tanto meno ne era disposto l’obbligo. In molti Stati membri però una figura alla quale assegnare il compito di vigilare in via generale sui trattamenti posti in essere dal titolare si era affermata nella prassi, spesso col consenso delle Autorità garanti nazionali.
Anche in Italia è avvenuto qualcosa di simile, soprattutto come conseguenza di iniziative assunte in varie sedi di formazione. Iniziative del tutto lodevoli nell’ambito della Direttiva 95/46 ma che, proprio perché non basate su alcuna disposizione specifica, hanno interpretato in modo molto variabile ruolo e compiti di questa figura.
Con l’entrata in vigore del Regolamento e in vista della sua attuazione si sono lodevolmente moltiplicate, anche nelle sedi universitarie, le attività orientate a dare una formazione specifica in materia di protezione dati, quasi tutte sottolineando, sia nel titolo dei corsi che nella definizione dei programmi, l’attività del RDP come uno degli sbocchi professionali possibili.
In tutto questo non solo non vi è nulla di male, ma anzi vi è molto di positivo, come appunto anche il Gruppo art. 29 riconosce.
Quello che conta però è che l’esperienza di questi anni non diventi un ostacolo a comprendere in modo adeguato quale sia, nell’ambito del GDPR, la figura e il ruolo del Responsabile dei dati; quali le competenze ad esso richieste; a chi spetti verificarne il possesso; quale sia la sua responsabilità nei confronti del titolare e di altri soggetti che popolano lo scenario della protezione dei dati personali, a partire dalla Autorità garanti.
Per capire ruolo, funzioni e competenze della nuova figura del Responsabile della protezione dei dati personali è bene partire dal fatto che la sua disciplina è prevista nel Capo IV, tutto dedicato alle norme relative ai compiti e alle responsabilità del titolare (e del responsabile) dei trattamenti. Giova poi sottolineare che la normativa relativa al RDP (DPO) è contenuta nella Sezione quarta di questo Capo, dopo la seconda, dedicata alla sicurezza dei dati e la terza, relativa alla valutazione di impatto. La quinta sezione è infine dedicata ai codici di condotta e alle certificazioni.
Discende di qui la constatazione che il Responsabile della protezione dei dati è una figura rilevante, ma certamente non è il “centro” del sistema posto in essere dal GDPR, che nel nuovo ordinamento è sempre il Titolare del trattamento.
Di qui due conseguenze molto importanti.
La prima: la designazione del RDP, compreso l’accertamento delle sue capacità professionali rispetto alle funzioni da svolgere è sempre nella responsabilità del titolare, che a tal fine deve tener conto dei tipi di trattamento concretamente posti in essere.
La seconda: il Responsabile dei dati è un “funzione” non un “mestiere”.
Come ha sottolineato l’Autorità italiana nella risposta data a un quesito posto da una azienda ospedaliera (cfr. newsletter Garante privacy n. 43 del 15 settembre) il RDP deve avere una specifica competenza “della normativa e delle prassi in materia di dati personali nonché delle norme e delle procedure amministrative che caratterizzano il settore”. È non meno importante però che abbia anche “qualità professionali adeguate alla complessità del compito da svolgere” e, specialmente con riferimento a settori delicati come quello della sanità, possa dimostrare di avere anche competenze specifiche rispetto ai tipi di trattamento posti in essere al titolare.
Del resto, basta leggere con attenzione l’art. 37.5 e il richiamo all’art. 39 relativo ai compiti del RDP per comprendere che non può che essere così.
È evidente, e l’Autorità italiana lo precisa con chiarezza, che attestati rilasciati a seguito di corsi di formazione, di perfezionamento e di master, anche universitari, possono costituire una utile documentazione della quale è opportuno che il titolare tenga massimo conto. Resta fermo però che la idoneità del RDP va verificata con esplicito e puntuale riferimento ai trattamenti posti in essere nonché alla organizzazione e alle tecnologie impiegate.
Per questo, come sottolinea la Autorità garante italiana, non può esserci una “abilitazione” allo svolgimento del ruolo di RDP basata su titoli acquisiti attraverso corsi di specializzazione a carattere generale.
Non è però sufficiente limitarsi a queste considerazioni. Il GDPR individua infatti casi specifici in cui la designazione del RDP è obbligatoria. Questo è previsto dall’art. 37 nei confronti della Pubblica Amministrazione senza eccezioni; nel caso di trattamenti che richiedono il monitoraggio regolare e sistematico di dati su larga scala; quando i trattamenti riguardano dati personali sensibili (art. 9) o dati relativi a condanne penali e a reati di cui all’art.10 trattati su larga scala.
La norma relativa all’obbligatorietà della nomina del RDP non è peraltro esaustiva. Va infatti sempre ricordato che il titolare deve adottare tutte le misure organizzative e tecniche adeguate “a garantire ed essere in grado d dimostrare, che il trattamento è effettuato conformante al Regolamento” (art. 24. primo paragrafo). La designazione di un RDP, tenuto conto dei compiti che questo deve svolgere e sempre a condizione che sia ad esso garantita la indipendenza e i mezzi organizzativi e strumentali necessari, può costituire per il titolare del trattamento una misura molto importante ai fini di dimostrare la sua compliance con quanto previsto dal GDPR.
È ovvio, però, che se il titolare, non avendone l’obbligo, ritiene comunque opportuno procedere alla nomina del RDP come ulteriore misura idonea a dimostrare la conformità dei trattamenti al regolamento questo deve avvenire nel rispetto della normativa relativa a questa figura.
Non è possibile, insomma, che nei casi in cui la designazione del RDP non sia obbligatoria il titolare possa costruirsi una sorta di RDP “fai da te”, attribuendo tale funzione a figure professionali inadeguate o senza garantire ad esse i poteri, la posizione di indipendenza e le risorse necessarie previste dalle norme.
Per questo il Gruppo art. 29 nel già citato parere n. 243, non si limita a precisare che i titolari devono sempre poter dimostrare di aver compiuto all’interno dell’azienda le valutazioni necessarie per stabilire se nel caso specifico sussista o meno l’obbligo di nomina. Chiarisce anche che ove si decida di procedere alla nomina di un RDP pur non sussistendone l’obbligo, devono essere integralmente applicate le norme di cui agli art. 37-39 del GDRP.
Infine va sottolineato che il RDP svolge anche una importante funzione di interfaccia tra titolare e interessati, da un lato; tra titolare e Autorità garanti, dall’altro.
È un aspetto molto importante, sia perché spiega le ragioni per cui deve essere garantita al RDP un posizione di staff presso il vertice dell’organizzazione titolare dei trattamenti (di norma per le imprese il CEO) da esercitare in piena indipendenza, sia perché rafforza il RDP e gli conferisce un ruolo che va oltre la mera consulenza e vigilanza.
Una conferma molto forte di questo aspetto è nel parere n. 243 del Gruppo art. 29 al punto 4.2., dove si afferma: “qualora il titolare non concordi con le indicazioni fornite dal RPD, è necessario che la documentazione relativa alla DPIA (Valutazione di impatto) riporti specificamente e per iscritto le motivazioni per cui si è ritenuto di non conformarsi a tali indicazioni”.
Il GDPR assegna dunque al RDP un ruolo che assume anche un rilievo di tipo per così dire “pubblicistico”. Esso opera non solo nell’interesse del titolare ma anche degli interessati e dell’intera comunità.
La ricostruzione della figura del RDP qui fatta è ovviamente parziale. Molti altri aspetti importanti meriterebbero di esser sottolineati, primo fra tutti quello di cui all’art. 39 paragrafo 6, secondo il quale il RDP può svolgere anche altre funzioni e compiti diversi da quelli propri del suo ruolo, ma spetta al titolare accertarsi “che tali compiti e funzioni non diano adito a conflitto di interessi”.
Ciò che qui si è voluto sottolineare è che: a) il RDP è sostanzialmente una “funzione” il cui esercizio richiede competenze “specialistiche” di carattere giuridico e amministrativo, ma anche competenze “specifiche” relative ai trattamenti in concreto posti in essere dal titolare; b) che spetta sempre al titolare, che è il solo a rispondere delle eventuali violazioni del GDPR, accertare che il designato possieda sia le competenze specialistiche che quelle specifiche necessarie alla svolgimento della funzione, tenendo conto dei trattamenti posti in essere e delle modalità organizzative e tecniche adottate; c) che il titolare, nel compiere le valutazioni necessarie ai fini della designazione può tener conto di attestati e certificati di partecipazione a corsi e master, anche di livello universitario, ma la scelta non può mai basarsi solo sul possesso di titoli che comunque non hanno un valore giuridico di “abilitazione”; d) che la designazione del RDP costituisce essa stessa una responsabilità giuridicamente rilevante a carico del titolare del trattamento, sia nel caso in cui la designazione sia fatta per adempiere a un obbligo del GDPR, sia nel caso in cui sia fatta volontariamente ai fini dell’art. 24, primo paragrafo.