– Articolo del Dott. Giuseppe Virgallita
Il Data Protection Officer (Dpo) in italiano – Responsabile della Protezione dei Dati (RPD) – è la nuova figura introdotta dal Regolamento UE 2016/679 (GDPR) che ha la funzione di affiancare il Titolare, il Responsabile e tutti gli addetti del trattamento,
affinchè conservino i dati e gestiscano i rischi seguendo i principi del Regolamento UE stesso. Si tratta di una figura professionale nuova sul mercato, sebbene diversi grandi enti ed operatori si siano dotati da diverso tempo di una funzione privacy che svolge compiti assai simili al DPO, che necessita di una preparazione specialistica e di una formazione continua, ma anche di una concreta esperienza sul campo per supportare adeguatamente le organizzazioni nell’ambito di un unico mercato digitale europeo. Tuttavia, però, la figura del DPO non costituisce una novità assoluta, soprattutto in alcune legislazioni nazionali storicamente più preparate ad approcci basati sulla c.d. “responsabilizzazione”.
Sebbene la vecchia direttiva 95/46/CE, infatti, non prevedesse alcun obbligo di nomina di un DPO, alcuni stati membri (fra i quali la Germania e la Francia) avevano già previsto una figura a questa assimilabile, facendo tesoro delle “best practices” virtuose affermatesi nel corso degli anni.
In Germania, in particolare, si era consolidata la prassi di individuare e di designare all’interno delle organizzazioni aziendali un Responsabile che si occupasse di garantirne la conformità alla normativa in ambito di trattamento dei dati personali, nonché che fungesse da punto di contatto con le Autorità competenti.
I casi in cui il DPO è obbligatorio
L’art. 37, par. 1, del GDPR stabilisce espressamente i casi in cui la nomina del DPO è obbligatoria. In particolare, il Titolare ed il Responsabile del trattamento sono tenuti a designare, in via obbligatoria, un Responsabile della Protezione dei Dati ogniqualvolta:
- Il trattamento è svolto da un’Autorità pubblica o da un Organismo pubblico (fatta eccezione per le Autorità Giurisdizionali quando esercitano le loro funzioni);
- Le attività principali del Titolare del trattamento o del Responsabile del trattamento consistono in trattamenti che richiedono il monitoraggio regolare e sistematico di interessi su larga scala;
- Le attività principali del Titolare del trattamento o del Responsabile del trattamento consistono nel trattamento su larga scala di categorie particolari di dati o di dati personali relativi a condanne penali o reati.
In ambito privato, l’art. 37 del GDPR prevede, quindi, l’obbligo di nominare un DPO qualora le attività principali del Titolare e del Responsabile del trattamento richiedano su larga scala un monitoraggio puntuale, costante e sistematico. Rientrano in tale presupposto, per esempio, gli operatori di telecomunicazione, gli operatori che effettuano attività di profilazione per finalità di marketing comportamentale, oppure per erogare premi assicurativi, localizzazione tramite app, monitoraggio sullo stato di salute tramite dispositivi indossabili, programmi fedeltà, ecc.
Il DPO in ambito privato è obbligatorio anche per tutte le organizzazioni che trattano come attività principale dati sensibili (detti particolari, usando la terminologia prevista dal Regolamento UE 2016/679) oppure dati giudiziari su larga scala, come ospedali, case di cura, istituti di credito, assicurazioni ecc.
A prescindere, però, dal dettato normativo di cui all’art. 37 GDPR, la designazione deI Data Protection Officer (Dpo) può avvenire anche quando la stessa sia ritenuta opportuna in ragione della peculiarità della realtà in cui opera il singolo Titolare. Nelle sue FAQ, infatti, l’Autorità Garante per la Privacy incoraggia la nomina di un DPO anche quando tale figura non sia obbligatoria per legge, essendo tale designazione un elemento peculiare ai fini del principio di “responsabilizzazione” (accountability) che permea l’intero assetto del Regolamento UE 2016/679. Questa tesi, inoltre, è stata corroborata da tutti i Garanti Europei che sottolineano come il DPO rappresenti una “figura capace di facilitare l’osservanza della normativa sulla privacy ed al contempo aumentare il margine competitivo delle imprese”. Giova, però, ribadire ce la nomina di un DPO non sposta il centro di imputazione della responsabilità volta a garantire la conformità al Regolamento UE che rimane pur sempre in capo al Titolare del trattamento.
I compiti del DPO
La figura immaginata e creata dal Legislatore europeo è complessa e multiforme, capace di svolgere compiti di vigilanza, assistenza e consulenza, agevolando la coerente attuazione dei principi del GDPR. Il DPO, infatti, è chiamato a svolgere all’interno della singola realtà aziendale attività analoghe a quelle che il Garante nazionale e l’EDPB (Comitato Europeo per la Protezione dei Dati) svolgono a livello italiano ed europeo.
L’art. 39 del GDPR enumera una serie di attività che il DPO è chiamato a svolgere nell’esercizio della propria funzione, stilandone un elenco non esaustivo. Nulla vieta, infatti, che al Data Protection Officer vengano assegnate ulteriori mansioni e/o incarichi, purchè questi non interferiscano con il proprio ruolo ai sensi dell’art. 37 del GDPR. Dalla normativa applicabile, al DPO sono affidati almeno le seguenti attività:
- Informare e fornire consulenza al Titolare del trattamento, al Responsabile del trattamento, nonché a tutti i dipendenti che trattano dati personali;
- Sorvegliare l’osservanza della normativa nazionale e comunitaria, nonché le politiche del Titolare o del Responsabile del trattamento riguardanti anche “l’attribuzione della responsabilità, la sensibilizzazione e la formazione del personale che partecipa ai vari trattamenti ed alle connesse attività di controllo”;
- Fornire, qualora richiesto, un parere in merito alla valutazione di impatto (DPIA) sulla protezione dei dati e sorvegliarne il corretto svolgimento;
- Cooperare con l’Autorità Garante nazionale;
- Fungere da punto di contatto e di raccordo per l’Autorità Garante nazionale, ai sensi dell’art. 39, lett. d) ed e) GDPR, per tutte le questioni connesse al trattamento, fra cui la consultazione preventiva di cui all’art. 36 ed effettuare, nel caso, consultazioni relativamente a qualunque altra questione.
Da quanto detto sinora, si evince che il DPO debba essere un professionista in possesso di un’adeguata competenza specialistica, un certo grado di esperienza nell’industry dove opera il Titolare del trattamento, oltre che di eccellenti capacità manageriali. Deve essere anche un ottimo comunicatore capace di coinvolgere l’intera organizzazione in cui opera, in modo da rendere il tema della “protezione e sicurezza dei dati” capillarmente diffuso all’interno del tessuto aziendale.
Il DPO, insomma, deve possedere un elenco di hard e soft skills ben definite che fanno di questa nuova figura un vero e proprio manager della gestione del flusso dei dati e di tutte le risorse a questo predisposte.
A questa attività per così dire “istituzionale”, si affianca una attività caratterizzata da sessioni formative circa la conduzione e il governo dei processi di c.d. “data protection”.
Scelta e nomina di un DPO
Stando a quanto previsto dal Regolamento, al Titolare è lasciata libera scelta di optare per un DPO interno, oppure scegliere di avvalersi una figura esterna. Da un punto di vista strettamente funzionale, queste due alternative potrebbero essere considerate del tutto equivalenti, poiché la natura stessa della figura in analisi reagisce in maniera del tutto analoga. Tuttavia, ciò che fa la differenza è ovviamente la realtà operativa del contesto in cui il DPO opera a seconda del suo stato di dipendete o consulente, con inevitabili ripercussioni a livello gestionale ed organizzativo.
Un DPO interno, quindi dipendente del Titolare, potrebbe trovarsi a soffrire una mancanza di indipendenza, in quanto l’organizzazione potrebbe non essere culturalmente matura per accettare comportamenti di totale autonomia gestionale ed a svolgere attività in conflitto di interesse, stante la prassi largamente diffusa di utilizzare risorse già preposte a questa attività.
Un DPO esterno, per converso, potrebbe fornire una visione più lucida e distaccata su alcune problematiche di particolare rilevanza, senza tuttavia conoscere le reali dinamiche aziendali ed il personale con cui andrà ad interfacciarsi. A ben vedere, dunque, e come già detto in precedenza, la nomina di un DPO, interno o esterno che sia, non può prescindere dalla sua preparazione, dalla sua formazione specialistica e dalla sua esperienza pregressa nell’industry di riferimento. Solo queste caratteristiche, unite alla integrità personale e ad elevati standard deontologici, dovranno essere i fattori che spingeranno un Titolare a scegliere un DPO determinato piuttosto che un altro.
Formazione e competenza del DPO
La figura de Il Data Protection Officer (Dpo), per come è stata immaginata e delineata dal Legislatore europeo, è una figura polivalente che per svolgere le sue funzioni abbisogna di una formazione multidisciplinare tecnico-giuridica. Il DPO, infatti, deve essere esperto in sistemi dell’informazione, avere competenze gestionali ed organizzative connesse ad una solida preparazione giuridica. Il DPO è prima di tutto un legale con vaste competenze giuridiche, a cui dovrebbe aggiungersi una buona conoscenza informatica di base unita ad una propensione per la gestione e per l’organizzazione dei processi e delle risorse. Il DPO, inoltre, oltre ad essere un esperto in materia di protezione e gestione dati, deve essere competente anche nelle altre branche del diritto che assumono particolare rilevanza nel corso di uno specifico trattamento.
Per comprendere la reale complessità del ruolo che il DPO riveste, basti pensare allo stravolgimento dell’assetto aziendale di molte realtà nel periodo della pandemia e di come il DPO sia stata una figura chiave nella riorganizzazione delle procedure e dei sistemi aziendali per consentire la prosecuzione delle attività da remoto durante i mesi del lockdown. Il ruolo da giurista del DPO emerge, in particolare, nel delicato contesto delle Pubbliche Amministrazioni (il recente “affair” relativo ai bonus erogati dall’INPS e percepiti solo da alcuni amministratori pubblici e parlamentari, ne è un chiaro esempio). Sulla base della recente esperienza è semplice comprendere come il diritto alla privacy non possa essere concepito come un “isola felice” totalmente avulso dal contesto circostante, bensì come questo sia strettamente collegato alle altre branche del diritto in cui il DPO funge da ponte, supportando il Titolare affinchè questi possa operare scelte in linea con i principi sanciti dal Regolamento UE 2016/679.
Alla luce di quanto sinora esposto, il DPO è una sorta di “piccolo garante” all’interno di una attività aziendale o all’interno di un Ente, capace di operare come una Autorità, avendo una spiccata capacità proattiva nell’indicare soluzioni e strade per operare in piena conformità alla normativa europea.
Per essere “compliance”, insomma, occorre non solo una corretta procedura di selezione e valutazione del neo DPO, ma occorre analizzare in maniera dettagliata e specifica il proprio contesto legale-organizzativo che deve garantire una gestione corretta delle varie problematiche che inevitabilmente si porranno non solo in termini di indipedenza ed assenza di conflitto di interessi, ma anche in riferimento ad una corretta e funzionale integrazione del DPO con le altre figure (non solo appartenenti al mondo privacy) in seno all’organizzazione.
Dr. Giuseppe Virgallita, abilitato all’esercizio della professione forense presso la Corte D’Appello di Roma, DPO ISO Certified, docente/formatore in materia di salute e sicurezza sul lavoro (D. Lgs. 81/2008 e s.m.i.), si occupa di affari legali, compliance aziendale, qualità, sicurezza ed ambiente in una nota società.