Tra le maggiori novità del Regolamento Europeo sulla protezione dei dati personali n. 2016/679 rientra sicuramente la previsione del Data Protection Officer (DPO) o responsabile della protezione dei dati, figura di indubbio rilievo le cui competenze, per la verità, non sono state ancora chiarite nel modo migliore dagli organi comunitari.
Come ormai noto l’art. 37 del Regolamento prevede che quando:
- a) il trattamento è effettuato da un’autorità pubblica o da un organismo pubblico, eccettuate le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali, oppure
- b) le attività principali del titolare del trattamento o del responsabile del trattamento consistono in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala, oppure
- c) le attività principali del titolare del trattamento o del responsabile del trattamento consistono nel trattamento, su larga scala, di categorie particolari di dati di cui all’articolo 9 (dati sensibili) o di dati relativi a condanne penali e a reati di cui all’articolo 10
il titolare del trattamento e il responsabile del trattamento designano sistematicamente un responsabile della protezione dei dati (Data Protection Officer o DPO).
Qualora, poi, il titolare del trattamento o il responsabile del trattamento sia un’autorità pubblica o un organismo pubblico, un unico responsabile della protezione dei dati può essere designato per più autorità pubbliche o organismi pubblici, tenuto conto della loro struttura organizzativa e dimensione.
Il DPO è designato in funzione delle qualità professionali, in particolare della conoscenza specialistica della normativa e delle pratiche in materia di protezione dei dati, e della capacità di adempiere ai propri compiti. Tale figura, di alto livello professionale, può essere un dipendente del titolare del trattamento o del responsabile del trattamento oppure adempiere ai suoi compiti in base a un contratto di servizi e quindi può essere un libero professionista.
Il DPO deve essere prontamente e adeguatamente coinvolto in tutte le questioni riguardanti la protezione dei dati personali sia dal titolare del trattamento che dal responsabile del trattamento e gli interessati possono contattare il responsabile della protezione dei dati per tutte le questioni relative al trattamento dei loro dati personali e all’esercizio dei loro diritti derivanti dal Regolamento.
Lo stesso DPO deve godere di ampia autonomia e non riceve alcuna istruzione per quanto riguarda l’esecuzione dei propri compiti. Inoltre il Regolamento specifica (art. 38) che il responsabile della protezione dei dati non è rimosso o penalizzato dal titolare del trattamento o dal responsabile del trattamento per l’adempimento dei propri compiti, ma riferisce direttamente ai massimi superiori gerarchici del titolare del trattamento o del responsabile del trattamento.
L’art. 39 del Regolamento individua poi i compiti del DPO che si sostanziano essenzialmente in importanti funzioni di carattere consultivo a favore del titolare e del responsabile del trattamento su tutte le tematiche privacy con un’attenzione particolare rivolta al DPIA (Data Protection Impact Assessment) ed al Registro delle attività di trattamento. Di notevole rilevanza è anche la sua funzione di raccordo con l’Autorità Garante e di controllo sull’osservanza del Regolamento nell’ambito dell’azienda o ente di riferimento.
Nonostante tali precisazioni di carattere normativo il DPO rimane una figura controversa che è stata molto discussa in seno alla Commissione Europea. È sicuramente un’importante figura professionale, fortemente voluta, i cui compiti e responsabilità, però, non sono particolarmente chiari, specialmente avuto riferimento ai rapporti con le altre figure soggettive in ambito privacy. È indubbio però che il responsabile della protezione dei dati sia una figura chiave nell’ambito del trattamento automatizzato dei dati personali.
Proprio per tali motivi il WG 29 istituito dalla Direttiva 95/46/CE del Parlamento europeo e del Consiglio del 24 ottobre 1995 ha adottato recentemente in data 13 dicembre 2016 delle linee guida al fine di chiarire quali debbano essere i requisiti ed i compiti di un Data Protection Officer e quale dovrà essere in concreto il suo apporto nel campo della protezione dei dati personali di un’unità organizzativa.
Innanzitutto le linee guida ribadiscono quanto già previsto a livello normativo e cioè che alcuni titolari e responsabili del trattamento sono tenuti a nominare un DPO in via obbligatoria. Ciò vale per tutte le autorità pubbliche e tutti i soggetti pubblici, indipendentemente dai dati oggetto di trattamento, e per altri soggetti che, come attività principale, effettuino un monitoraggio regolare e su larga scala delle persone fisiche ovvero trattino su larga scala categorie particolari di dati personali (dati sensibili). In realtà le linee guida suggeriscono opportunamente che ove il Regolamento non imponga in modo specifico la designazione di un DPO, in determinati casi, può risultare utile procedere a tale designazione su base volontaria.
La figura del DPO non costituisce una novità assoluta. La direttiva 95/46/CE non prevedeva alcun obbligo di nomina di un DPO, ma in molti Stati membri questa è divenuta una prassi nel corso degli anni (ad esempio in Germania). In realtà in questi paesi si parla ancora di privacy officer che è una figura di stampo anglosassone un po’ diversa dal DPO in quanto appare concentrata più su aspetti esecutivi inerenti al rispetto della normativa e meno manageriali o comunque di alto livello.
Per il WP29 la nomina di un DPO è importante in quanto questa figura rappresenta un elemento fondante ai fini della responsabilizzazione. La stessa presenza del DPO può facilitare l’osservanza della normativa e aumentare il margine competitivo delle imprese, nel rispetto del principio di accountability.
Si ricorda, inoltre, che il DPO svolge un ruolo chiave nel promuovere la cultura della protezione dei dati all’interno dell’azienda o dell’organismo, e contribuisce a dare attuazione a elementi essenziali del Regolamento quali i principi fondamentali del trattamento, i diritti degli interessati, la protezione dei dati sin dalla fase di progettazione e per impostazione predefinita, i registri delle attività di trattamento, la sicurezza dei trattamenti e la notifica e comunicazione delle violazioni di dati personali. E’, però, essenziale che il DPO sia coinvolto quanto prima possibile in ogni questione attinente la protezione dei dati. Per quanto concerne le valutazioni di impatto sulla protezione dei dati, il Regolamento prevede espressamente che il DPO vi sia coinvolto fin dalle fasi iniziali e specifica che il titolare ha l’obbligo di consultarlo nell’effettuazione di tali valutazioni. Assicurare il tempestivo e immediato coinvolgimento del DPO, tramite la sua informazione e consultazione fin dalle fasi iniziali, faciliterà l’osservanza del Regolamento e il rispetto del principio di privacy (e protezione dati) by design; pertanto, i Garanti europei consigliano che questo dovrebbe rappresentare l’approccio standard all’interno della struttura del titolare/responsabile. Inoltre, è importante che il DPO sia annoverato fra gli interlocutori all’interno della struttura suddetta e partecipi ai gruppi di lavoro che volta per volta si occupano delle attività di trattamento.
Le linee guida ribadiscono un altro aspetto molto importante e cioè che i DPO non rispondono personalmente in caso di inosservanza del Regolamento. Quest’ultimo chiarisce che spetta al titolare o al responsabile del trattamento garantire ed essere in grado di dimostrare che le operazioni di trattamento sono conformi alle disposizioni del Regolamento stesso (articolo 24, primo paragrafo). L’onere di assicurare il rispetto della normativa in materia di protezione dei dati ricade, quindi, sul titolare o sul responsabile.
Inoltre, al titolare o al responsabile del trattamento spetta il compito fondamentale di consentire lo svolgimento efficace dei compiti cui il DPO è preposto. La nomina di un DPO è solo il primo passo, perché il DPO deve disporre anche di autonomia e risorse sufficienti a svolgere in modo efficace i compiti cui è chiamato.
E’ però inutile nascondere che nel caso in cui il titolare o responsabile del trattamento dovessero prendere decisioni non conformi al Regolamento comunitario con il configurarsi di conseguenti danni a soggetti terzi e tali decisioni siano dovute a pareri fuorvianti del DPO, quest’ultimo potrà sicuramente essere chiamato a responsabilità, seppur in sede di rivalsa.
In ambito nazionale bisogna inoltre riconoscere che a seguito dei lavori congiunti UNI – UNINFO per la redazione dello standard sui Profili professionali relativi al trattamento e alla protezione dei dati personali è stato redatto un progetto di norma UNI attualmente in pubblica consultazione che sicuramente avrà riflessi importanti per il DPO ed in generale in tutto il settore privacy.
Il progetto prevede, infatti, diverse figure professionali competenti nel campo della protezione dei dati personali. Oltre al DPO previsto dal Regolamento Comunitario sono previste altre figure professionali come il manager privacy, lo specialista privacy ed il valutatore privacy.
A parere di chi scrive la norma UNI così come è stata predisposta è fuorviante rispetto alla normativa europea e poco aderente alla realtà organizzativa degli enti ed aziende.
Innanzitutto come precisato dal legislatore comunitario nel Regolamento UE 2016/679 il DPO è una sola figura professionale con precisi compiti di carattere consultivo e manageriale. Può essere persona fisica o giuridica, ma è individuata come unica figura professionale. Appare, quindi, inopportuna l’individuazione di tante figure che ruotano intorno al mondo della protezione dei dati personali che generano una grande confusione in una materia tra l’altro molto delicata.
Non bisogna dimenticare, difatti, che esistono anche un titolare del trattamento ed un responsabile del trattamento chiamati direttamente a rispondere in caso di inosservanza del Regolamento. Inoltre tale norma sarebbe del tutto inapplicabile in realtà aziendali ed anche pubbliche che avranno difficoltà a prevedere un DPO seppur obbligatorio per ovvie motivazioni di carattere economico ed organizzativo.