Come sappiamo, il responsabile della protezione dei dati personali (RPD ovvero, secondo l’acronimo di lingua inglese, DPO) può essere un “dipendente” del titolare o del responsabile del trattamento che se ne avvalgono, ovvero “assolvere i suoi compiti in base a un contratto di servizi” (art. 37,6 GDPR).
I compiti del DPO
Nell’uno e nell’altro caso è l’art. 39 del GDPR che descrive, piuttosto dettagliatamente, i compiti che devono essere affidati dal designante al DPO: “1. Il responsabile della protezione dei dati è incaricato almeno dei seguenti compiti: (…)”. La formulazione della norma non lascia dubbi sul fatto che tutti i compiti elencati dal 1° paragrafo, lettere da a) a e), devono essere affidati al DPO, mentre l’avverbio “almeno”, ci lascia comprendere che il titolare o il responsabile del trattamento ben potrebbero incaricare il DPO di ulteriori compiti. Naturalmente – ma non approfondiremo in questa sede il punto – dovrà trattarsi di compiti non incompatibili con quelli elencati dall’art. 39 e, in particolare, tali da non indurre situazioni di conflitto d’interessi (art.38,6) o compromettere l’indipendenza del DPO.
I compiti “obbligatori”
Tra i compiti, per dir così, “obbligatori” nel senso che non possono mancare nell’incarico del DPO, leggiamo nell’art. 39 che il responsabile della protezione è incaricato di:
- cooperare con l’autorità di controllo;
- fungere da punto di contatto per l’autorità di controllo per questioni connesse al trattamento, tra cui la consultazione preventiva di cui all’articolo 36, ed effettuare, se del caso, consultazioni relativamente a qualunque altra questione.
Per ben comprendere, in concreto, il significato e gli orizzonti di questi due “compiti”, è bene tener presente, con riguardo alla posizione del responsabile della protezione, l’art. 38,5 GDPR, in virtù del quale “Il responsabile della protezione dei dati è tenuto al segreto o alla riservatezza in merito all’adempimento dei propri compiti, in conformità del diritto dell’Unione o degli Stati membri.”.
Sul punto si esprimono anche, piuttosto sommariamente invero, le “Linee guida sui responsabili della protezione dei dati – WP243 Rev. 01” del Gruppo di lavoro articolo 29 per la protezione dei dati.
Il vincolo di riservatezza e il rapporto con l’Autorità di controllo
Questi compiti attengono al ruolo di “facilitatore” attribuito al DPO e già menzionato nell’introduzione alle presenti linee guida. Il DPO funge da punto di contatto per facilitare l’accesso, da parte dell’autorità di controllo, ai documenti e alle informazioni necessarie per l’adempimento dei compiti attribuitile dall’articolo 57 nonché ai fini dell’esercizio dei poteri di indagine, correttivi, autorizzativi e consultivi di cui all’articolo 58. Si è già rilevato che il DPO è tenuto al rispetto delle norme in materia di segreto o riservatezza, in conformità del diritto dell’Unione o degli Stati membri (articolo 38, paragrafo 5); tuttavia, tali vincoli di segreto/riservatezza non precludono la possibilità per il DPO di contattare e chiedere lumi all’autorità di controllo. L’articolo 39, paragrafo 1, prevede che il DPO possa consultare l’autorità di controllo con riguardo a qualsiasi altra questione, se del caso.
Ebbene, le poche righe che precedono – nella loro apparente semplicità – inducono ad una riflessione che merita un approfondimento che forse finora è mancato: sembrerebbe, infatti, da poter ricavare dalle parole impiegate dal WP29 che il DPO possa, se non debba, consegnare all’autorità documenti e informazioni che, dichiaratamente, potrebbero essere da essa utilizzate per ricavarne evidenze di inadempimenti sanzionabili.
Ciò sembra contrario all’essenza stessa dell’obbligo di segreto/riservatezza e, su un piano più generale, del canone generale “nemo tenetur se detegere”, che è principio di diritto comune agli ordinamenti degli Stati membri dell’Unione europea, ben conosciuto sia dalla Corte di giustizia dell’Unione europea, sia dalla Corte europea di Strasburgo.
Allora occorre chiedersi: che rapporto c’è tra l’obbligo del segreto o della riservatezza e il dovere di cooperazione con l’autorità di controllo? Fin dove si estende tale cooperazione? La facoltà, attribuita al DPO, di consultare l’autorità di controllo per qualunque questione connessa al trattamento, come deve esercitarsi in concreto per essere coerente con l’obbligo di segreto o riservatezza?
Il vincolo di riservatezza e il rapporto con il soggetto designante
Riassumiamo per sommi capi – visti i limiti di questo intervento – quelli che sembrano essere i punti più immediati da cui muovere, in modo da poter scorgere soluzioni operative quanto più aderenti alla lettera e allo spirito delle norme in esame.
- In primo luogo, osserviamo che, mentre l’obbligo di segreto/riservatezza è imposto in via diretta dal Regolamento (art. 38,5), quale uno degli aspetti qualificanti della posizione giuridica di esso, il “cooperare con l’autorità di controllo” è un dovere impostogli – per via mediata – attraverso l’incarico ricevuto dal soggetto designante (titolare o responsabile del trattamento che sia).
Diciamo subito, incidentalmente, che trattandosi di un compito derivante dall’incarico (sia pure un compito obbligatorio, nel senso che “deve” essere contenuto nell’incarico giusta l’art. 39,1,d) tale compito non può che essere svolto nell’interesse del designante e non già dell’autorità di controllo. Ma su questo aspetto torneremo di qui a poco.
- Il vincolo di segretezza/riservatezza del DPO riguarda “l’adempimento dei propri compiti”: espressione tanto generale da ricomprendere qualsiasi attività svolta dal DPO a seguito della sua designazione, tenendo a mente che si tratta di attività svolte per conto o comunque nell’interesse del titolare o responsabile del trattamento.
A tal proposito, vale anche la pena di sottolineare la natura del rapporto tra designante e DPO, che non può che essere strettamente fiduciaria, sia qualora costui sia un dipendente del designante, sia nel caso che sia un esterno con rapporto regolato da apposito contratto di servizi.
- La norma inoltre fa espresso riferimento a obblighi di segreto/riservatezza stabiliti dal diritto dell’Ue o degli Stati membri: come esempio di obblighi legali di segretezza/riservatezza, possiamo pensare al segreto professionale (DPO esterno) o al segreto d’ufficio (DPO interno), che certamente non sono le uniche ipotesi immaginabili ma soltanto quelle più frequenti.
Se pure il riferimento normativo esplicito riguarda un obbligo legale, può ritenersi equivalente un obbligo di segretezza/riservatezza di natura contrattuale? Anche senza dilungarci su un’analisi giuridica della nozione di “segreto”, sembra a chi scrive di poter affermare che esistono serie ragioni sistematiche per ritenere che anche un obbligo meramente contrattuale di segretezza/riservatezza (che potrebbe, per esempio, essere contenuto nel contratto di servizi o nell’atto di nomina del RPD) sarebbe un vincolo legittimo, sufficiente, effettivo ed efficace per il DPO nell’assolvimento dei propri compiti.
- Ragionando infine a contrario, c’è infine da dire che il GDPR disegna con chiarezza il principio di accountability con specifico riguardo del titolare del trattamento (non del responsabile del trattamento e, ancor meno, del responsabile della protezione dei dati).
Dovrebbe ritenersi pacifico, dunque, che l’onere di documentare e “di essere in grado di dimostrare la conformità delle attività di trattamento con il presente regolamento” (art. 24) incombono direttamente sul titolare e non certo sul responsabile della protezione da costui designato.
Il senso della cooperazione con l’Autorità di controllo
Si vedrà nel concreto, alla prova dell’applicazione vivente di queste disposizioni, quali saranno gli orientamenti in proposito della prassi, delle autorità di controllo, dei giudici e degli studiosi. Al momento, sembra di poter offrire – più come spunto, che come soluzione – alcune considerazioni conclusive che ci sembrano appropriate.
“Cooperare” con l’autorità di controllo non può tradursi in un obbligo di denuncia a carico del DPO, né in una collaborazione che si spinga fino a concretizzarsi in una violazione del segreto o della riservatezza; ancor meno, si ritiene, se accanto al vincolo generale di segretezza, di cui all’art. 38,5 del regolamento, tale obbligo fosse rafforzato, per ipotesi, dalla simultanea sussistenza di un obbligo legale di segreto professionale.
La eventuale richiesta di documenti e informazioni al DPO da parte dell’autorità di controllo deve piuttosto essere intesa quale espressione della funzione di “punto di contatto” a costui attribuita dal GDPR: nel concreto, è lecito ritenere che una tale richiesta debba essere trasferita dal DPO a chi lo ha designato, cui competerà di decidere responsabilmente se e in che misura adempiere ad essa secondo gli obblighi stabiliti dal regolamento.
Al contrario, è difficile immaginare e sostenere sulla base del regolamento che incomba sul responsabile della protezione un obbligo personale e diretto di fornire all’autorità di controllo alcun documento appartenente al titolare o informazione relativa ai trattamenti da costui effettuati, a meno di non voler ritenere ammissibile che l’obbligo di riservatezza non sia operante, per qualche ragione che tuttavia non troviamo nel regolamento, nei confronti dell’autorità stessa nell’esercizio dei suoi poteri, in particolare, di indagine e correttivi.
La “cooperazione” con l’autorità, allora, si esprimerà soprattutto in tutte quelle attività necessarie ed opportune per stimolare la corretta risposta del titolare/responsabile all’autorità e assisterlo nell’adempimento, conformemente al ruolo del DPO quale “facilitatore” nell’osservanza del Regolamento.
Rientra certamente nella “cooperazione”, tra l’altro, il tempestivo e fattivo intervento del DPO a fronte di richieste o iniziative dell’autorità, da inoltrare al più presto al titolare o responsabile, nonché – immediatamente dopo – l’espressione del proprio parere in merito con qualsiasi indicazione utile per l’adempimento necessario.
La facoltà di consultazione
A proposito, infine, della “facoltà di consultazione” dell’autorità di controllo attribuita al DPO, essa non può che essere intesa a beneficio e supporto della funzione da esso esercitata e non quale strumento, anche solo indiretto, di «accusa» nei confronti del titolare o responsabile del trattamento.
La facoltà di consultazione del responsabile è espressamente disegnata sulla consultazione preventiva di cui all’art. 36, nei casi – evidentemente – ove questa costituisca un preciso obbligo per il titolare del trattamento; tuttavia la norma (art. 39,1,e) disegna un panorama più ampio, ove la consultazione “su qualunque altra questione” diventa un’opportunità facoltativa del titolare, per il tramite del responsabile della protezione, al fine di istituire, mantenere e documentare una corretta politica di protezione dei dati personali.
