Per rispondere ai numerosi dubbi sollevati dai titolari e dai responsabili del trattamento sul DPO (Data protection officer) alla luce del GDPR sono state pubblicate in questi giorni le Faq del Garante.
Chiarimenti e conferme dal Garante Privacy sul DPO
In riferimento ai requisiti soggettivi e al profilo dello status, si conferma che non sono richieste attestazioni formali o iscrizioni ad albi per adempiere ai compiti del DPO, ma deve possedere un’approfondita conoscenza della normativa e delle prassi in materia di protezione dei dati personali, oltre ad una conoscenza specifica delle procedure che caratterizzano il settore in cui dovrà operare.
Si conferma, inoltre, che nella disciplina estremamente succinta prevista dal legislatore europeo il DPO è un supervisore indipendente, che avrà funzioni di supporto, consultive, formative e informative, coopererà con il Garante e costituirà il punto di contatto anche rispetto agli interessati, i dati di contatti dovranno essere pubblicati, mentre il nominativo dovrà essere comunicato in ogni caso al Garante.
Un aspetto ancora non affrontato è quello che la cooperazione con l’Autorità di controllo trova il limite nella riservatezza e negli obblighi di segreto professionale cui è tenuto il DPO, a tal riguardo l’art. 38 co. 5 prescrive chiaramente che tali obblighi sussistono in conformità al diritto dell’Unione europeo e del diritto interno.
Per altri versi, le faq confermano quanto già asserito dal Gruppo Articolo 29, per esempio il DPO in ambito privato è obbligatorio anche per tutte le organizzazioni che trattano come attività principale categorie particolari di dati personali (prima indicati come dati sensibili) oppure dati relativi a condanne penali e reati (prima indicati come dati giudiziari) su larga scala.
L’esemplificazione del Garante è di un certo interesse, stante i criteri di cui sopra; il DPO potrà essere obbligatorio nei più disparati settori privati, dagli istituti di credito alle assicurazioni, alle società finanziarie, alle società di informazione commerciale (che sono proliferate in questi anni), alle società di revisione contabile, alle società di recupero crediti, ai sindacati, ai caf, ai patronati, per quanto concerne il settore sanitario, vi rientrano sia gli ospedali privati, sia le terme che i laboratori di analisi cliniche e i centri di riabilitazione.
È bene ricordare che dovrà sempre ricorrere la compresenza dei due criteri delle “attività principali” (c.d. di “core business”) e del “trattamento su larga scala” di dati particolari o attinenti ai reati oppure che implichi un monitoraggio regolare e sistematico degli interessati su “larga scala”.
Inoltre, da una parte si conferma che il titolare ed il respo8nsabile devono fornire al DPO supporto adeguato in termini di risorse finanziarie, infrastrutture, personale, ecc.; dall’altra parte si conferma anche che sono solo il titolare ed il responsabile del trattamento a dover garantire e dimostrare la conformità al Gdpr rispondendo pertanto in via esclusiva anche ad eventuali sanzioni amministrative.
Il DPO potrà anche essere un dipendente dell’organizzazione oppure esterno in forza di un contratto di servizi, in quest’ultimo caso mentre l’indipendenza intesa come non ingerenza nelle proprie attività è un elemento più facile da soddisfare rispetto al DPO interno, il conflitto di interessi dovrà comunque essere disciplinato tenuto conto di alcune specificità del DPO esterno.
Caratteristiche del DPO interno
In ordine a quest’ultimo requisito soggettivo, il DPO interno potrà svolgere altre funzioni, ma dovrà avere sufficiente tempo per svolgere i propri compiti; a tal riguardo, sotto un profilo organizzativo si dovranno evitare situazioni di conflitto del DPO rispetto a chi gestisce processi decisionali che comportano la determinazione delle finalità e le modalità del trattamento.
Più nello specifico, le faq chiariscono che mentre gli incarichi di alta direzione (p.e. amministratore delegato, membro del Consiglio di amministrazione, direttore generale, ecc., ecc.) e ruoli che determinano le finalità e le modalità del trattamento (direzione risorse umane, direzione marketing, direzione finanziaria, responsabile IT, ecc., ecc.) possono presentare conflitti di interessi, l’assegnazione dell’incarico del Data Protection Officer potrebbe anche riguardare le “funzioni di staff” come per esempio i responsabili delle funzioni legali, stando alla definizione mutuata da altri ambiti il criterio delle “funzioni di staff” sarebbe da intendersi come funzione di supporto ai processi decisionali e che forniscono quindi consigli e suggerimenti ad altre unità organizzative.
Tale criterio indicato dal Garante sembra essere molto interessante e sarà certamente impiegato prontamente da parte dei soggetti pubblici e privati che intendano designare internamente la figura dal Data Protection Officer, stante i numerosi dubbi emersi con riguardo al conflitto di interessi che caratterizza tale figura e che limita la designazione all’interno dell’organizzazione.
Infine, le faq chiariscono che il Data Protection Officer potrà anche essere una persona giuridica (p.e. le società di capitali), in tal caso come già indicato nelle Linee guida del Gruppo Articolo 29 pubblicate ad aprile 2017 con riferimento al più generico criterio di “organizzazione”, che come è noto ricomprende non solo le persone giuridiche ma anche gli enti ad esso assimilabili, occorre che sia specificata la persona incaricata che svolgerà tale funzione per conto del cliente.
