Nell’articolo è descritta in dettaglio la nuova figura del Data Protection Officer, il suo ruolo e i suoi compiti principali, come previsti dalla nuova legge per la Privacy EU, le alternative a disposizione delle aziende
A cura di: Fabio Di Resta – Avvocato – LL.M. – Founding Partner di Di Resta Lawyers e Componente del Consiglio direttivo del Master Privacy – Dipartimento di Giurisprudenza dell’Università Roma Tre
Per fornire risposte all’evoluzione tecnologica e alla transnazionalità delle questioni giuridiche poste dal mercato digitale europeo, la Commissione europea nel 2012 ha pubblicato una proposta di regolamento europeo sulla protezione dei dati personali (GDPR, General Data Protection Regulation), più volte emendata sia dalla Parlamento europeo sia dal Consiglio dei Ministri dell’EU.
Sul testo normativo del regolamento europeo, che sostituirà la Direttiva 95/46/Ce (pilastro del quadro normativo europeo in materia di protezione dati personali), dopo lunghe trattative durate numerosi anni si è raggiunto l’accordo lo scorso dicembre, questo grazie all’intenso trilogo istituzionale europeo. Il 28 gennaio è stata anche approvata e resa pubblica la versione italiana del regolamento europeo: ora è necessaria soltanto l’approvazione più formale del testo normativo. Vengono così delineati i contorni di una nuova figura, quella del Responsabile per la protezione dei dati personali ovvero Data Protection Officer (DPO).
Quando è richiesta la figura del Data Protection Officer
Il DPO è un supervisore indipendente che sarà designato da soggetti apicali sia delle pubbliche amministrazioni sia in ambito privato. Sarà pertanto obbligatorio nelle pubbliche amministrazione e negli enti pubblici: in ambito privato, sarà obbligatorio in alcune circostanze, in particolare quando, tenendo conto dell’ambito applicativo, della natura e delle finalità, il trattamento riguarderà un monitoraggio regolare e sistematico di dati personali su larga scala, oppure se l’attività principale del titolare implicherà un trattamento su larga scala di dati sensibili oppure giudiziari.
A seconda del contesto in cui dovrà operare, il DPO si troverà ad affrontare questioni giuridiche e tecniche-informatiche più o meno complesse. Qualora il titolare del trattamento non operi solo in Italia dovrà essere in grado di gestire questioni transnazionali sia all’interno dell’Unione Europea (rectius Spazio Economico Europeo, che come noto include oltre agli Stati Membri dell’EU anche il Liechtenstein, l’Islanda e la Norvegia) sia fuori dalla stessa.
Ruolo e caratteristiche del Data Protection Officer
Passando all’analisi del ruolo di Data Protection Officer, lo stesso viene disciplinato molto più in dettaglio nella proposta del nuovo regolamento rispetto al responsabile ex art. 29 del nostro Codice della Privacy: riportiamo schematicamente i principali elementi soggettivi in riferimento alla sua designazione.
In primo luogo gli elementi identificativi di questa figura riguardano alcuni “requisiti negativi”: assenza di un conflitto di interessi con altre funzioni a lui affidate; non ingerenza nell’esercizio delle sue funzioni da parte del responsabile o incaricato; nessuna “istruzione per quanto riguarda il loro esercizio”; non deve essere penalizzato per l’esercizio delle sue funzioni.
In secondo luogo ci sono i “requisiti positivi”: indipendenza ed autonomia di risorse (dovendo essere dotato di tutti i mezzi necessari per adempiere le proprie funzioni e compiti, di cui all’art. 37), possibilità di mantenere la propria competenza professionale.
L’elenco sopra illustrato, come già accennato, mostra un elemento cruciale che differenzia un DPO da un responsabile ex art. 29: mentre il primo deve essere indipendente ed autonomo, invece il secondo deve agire seguendo solo e soltanto le istruzioni del titolare del trattamento, pertanto, un vincolo che impedisce di godere di ampia indipendenza, tipica invece del ruolo del DPO.
Quali saranno i compiti del Data Protection Officer
Si può a questo punto passare ad analizzare alcuni dei complessi compiti affidati al DPO che si possono elencare come segue:
- sorvegliare sulla corretta applicazione della normativa sulla protezione dei dati europea ed italiana, nonché l’osservanza delle politiche interne dell’ente, anche compiendo attività di verifica e audit sui processi informativi, oltre che azioni formative ed informative sulle persone;
- fornire pareri e sovraintendere la corretta esecuzione di una Data Protection Impact Analysis (c.d. DPIA);
- fungere da contact point e collaborare con l’Autorità Garante per la protezione dei dati personali.
Quanto emerge da questo elenco è che il DPO è un supervisor indipendente – nella versione inglese del regolamento si parla infatti del verbo “to monitor” per indicare alcuni dei principali compiti dello stesso dovendo egli verificare, secondo un principio di accountability, che vi sia non solo la consapevolezza dei rischi connessi al trattamento dei dati ma soprattutto che il titolare sia in grado di documentare i controlli effettuati.
In conclusione quali saranno le alternative per le aziende in merito al Data Protection Officer
Sotto il profilo dello status del DPO, affinchè vi sia una effettiva indipendenza, dovrà molto probabilmente occupare una posizione dirigenziale o manageriale, soprattutto per garantire la non ingerenza nelle proprie attività da parte del titolare, e dovrà essere dotato di tutti i mezzi necessari e di una propria linea di budget per adempiere i propri compiti, sebbene questo aspetto non sia esplicitato nel testo del regolamento.
A conferma di quanto sopra detto vi è anche lo specifico riferimento che dovrà riferire sulle proprie attività “ai massimi superiori gerarchici del responsabile del trattamento o dell’incaricato del trattamento”, pertanto, conterà l’aver maturato esperienza concreta nell’ambito della protezione dei dati personali.
Da notare che il DPO potrà anche essere interno all’azienda oppure esterno, in forza di un contratto di servizi. Le grandi organizzazioni e le pubbliche amministrazioni dovranno pertanto affrontare diverse problematiche, in termini molto generali e tenendo conto dei costi dell’investimento. Invece, le realtà di dimensioni più contenute e meno strutturate potranno ricorrere a figure di “External Data Protection Officer”. Realtà più strutturate, o che abbiano già al loro interno funzioni come l’internal auditing e gli organismi di vigilanza 231, potranno invece scegliere di designare al loro interno il Data Protection Officer.
Inoltre, aspetto spesso trascurato nell’attuale dibattito, la designazione del DPO è già prevista come obbligatoria da oltre 10 anni nelle istituzioni dell’Unione Europea (regolamento 45/2001). Analogamente, da alcuni anni in diversi Stati Membri – in base all’art. 18 della Direttiva 95/46/Ce – il DPO è obbligatorio (Germania, Grecia, Ungheria, Slovacchia). In altri paesi, come in Francia, è invece previsto un DPO ma come figura facoltativa.
Infine, riteniamo che in Italia per questo importante ruolo professionale dovrebbe essere fornita una maggiore offerta formativa di qualità, soprattutto da parte delle Università, tenendo anche conto del fatto che il responsabile della protezione dei dati personali dovrà aggiornarsi periodicamente per mantenere la propria conoscenza specialistica.