Il responsabile della protezione dei dati (altrimenti detto Data Protection Officer, o DPO) è un consulente, esperto e qualificato, che affianca il titolare nella gestione delle questioni connesse al trattamento dei dati personali e lo aiuta a rispettare la normativa vigente. Il DPO viene introdotto per la prima volta nel nostro ordinamento dal GDPR, ma già diffuso in altri Stati membri, il cui ruolo è da tenere ben distinto da quello del responsabile del trattamento, che, come approfondito nell'apposito articolo già pubblicato, è il soggetto che affianca per compiti e responsabilità il titolare stesso (e proprio per facilitare questa distinzione ed evitare confusione si preferisce, e si è maggiormente diffuso, l'utilizzo del termine inglese Data Protection Officer e del relativo acronimo DPO).
Analizzando meglio la disciplina, emerge che il DPO è una figura che viene nominata dal titolare o dal responsabile del trattamento e che può essere selezionata tra gli stessi dipendenti del titolare del trattamento, oppure può essere un libero professionista, esterno e autonomo, appositamente incaricato di svolgere questo ruolo in forza di un contratto di servizi.
In ogni caso, come previsto dall'art. 38, commi 1 e 2 del GDPR, il DPO deve essere tempestivamente e adeguatamente coinvolto in tutte le questioni relative alla protezione dei dati, e pertanto il titolare o il responsabile del trattamento dovranno assicurarsi che abbia a disposizione tutte le risorse (umane ed economiche) necessarie per lo svolgimento dei suoi compiti.
Il DPO, per poter essere nominato, deve poi essere in possesso di alcuni requisiti, in particolare:
- deve avere un'idonea competenza e conoscenza della normativa e della prassi in materia di gestione dei dati personali, anche con riferimento alle misure tecniche e organizzative necessarie per garantire la sicurezza dei dati personali. Non è necessario che sia in possesso di attestazioni formali, né che sia iscritto in un apposito albo professionale, ma la frequentazione di un corso di perfezionamento o di un master può essere uno strumento adeguato per dimostrare il raggiungimento di un livello adeguato di conoscenza. Non esistono attualmente delle abilitazioni né delle certificazioni particolari o necessarie: certo, rivolgersi ad un soggetto che possa garantire e dimostrare seriamente una competenza qualificata nella materia è, prima di tutto, interesse dello stesso titolare, sul quale, in ultimo, si ripercuotono le effettive capacità del DPO;
- deve essere una figura autonoma e indipendente e deve svolgere le sue funzioni in assenza di conflitto di interesse, quindi non potrà essere un soggetto che prende decisioni sulle finalità o sugli strumenti da utilizzare per il trattamento dei dati personali. Tale ruolo non potrà quindi essere svolto da soggetti che si trovano ai vertici di un'azienda e che possono gestire o influenzare le soluzioni e le scelte concretamente adottate in tema di trattamento di dati personali.
Questa indicazione risulta specificata anzitutto dal comma 3 dell'art. 38 del GDPR, laddove è previsto che il DPO non debba ricevere alcuna istruzione relativamente all'esecuzione dei suoi compiti e che si riferisca direttamente ai vertici aziendali, quindi non al titolare o al responsabile del trattamento. La norma prevede infatti: "Il titolare del trattamento e il responsabile del trattamento si assicurano che il responsabile della protezione dei dati non riceva alcuna istruzione per quanto riguarda l'esecuzione di tali compiti. Il responsabile della protezione dei dati non è rimosso o penalizzato dal titolare del trattamento o dal responsabile del trattamento per l'adempimento dei propri compiti. Il responsabile della protezione dei dati riferisce direttamente al vertice gerarchico del titolare del trattamento o del responsabile del trattamento". In secondo luogo, il comma 6 dell'art. 38 stabilisce che il DPO possa svolgere anche altri compiti e funzioni, ma questi non devono dar luogo a un conflitto d'interessi.
Emerge chiaramente il fatto che il legislatore europeo, attraverso l'introduzione di questa figura professionale specifica, abbia voluto innanzitutto spostare da un soggetto (il titolare o il responsabile del trattamento) ad un altro (il DPO) una serie di compiti in ambito di protezione dei dati personali, ferma restando la responsabilità in capo al titolare del trattamento.
In secondo luogo, attraverso la previsione di questa figura, sarà possibile garantire che un soggetto specializzato ed esperto in materia si occupi esclusivamente della protezione dei dati personali, rimanendo sempre aggiornato sui rischi, sui problemi e sulle misure di sicurezza necessarie al fine di garantire un livello di tutela adeguato. Tutto questo è stato stabilito tenendo conto della sempre maggiore diffusione e complessità (e della conseguente attenzione e cautela da dedicare) che il settore della protezione e del trattamento dei dati personali sta avendo, anche in considerazione del ruolo del web, sempre più importante ed invasivo.
Chi deve nominare il DPO e quando
Come stabilito dall'art. 37 del GDPR, il DPO deve essere nominato obbligatoriamente dal titolare del trattamento o dal responsabile del trattamento in una serie definita di ipotesi.
In primo luogo, nel caso in cui il trattamento dei dati sia effettuato da un'autorità pubblica o da un organismo pubblico, fatta eccezione per le autorità giurisdizionali quando esercitano le loro funzioni. Poiché nel Regolamento non viene data alcuna definizione specifica di "autorità pubblica" o di "organismo pubblico", il Gruppo di lavoro ex art. 29 ha ritenuto che questa definizione dovrà essere interpretata in conformità al diritto di ciascuno Stato membro. Si raccomanda, inoltre, la nomina di un DPO anche all'interno di quegli organismi privati incaricati dello svolgimento di funzioni pubbliche, o che comunque esercitano pubblici poteri (ad esempio, nel settore dei trasporti pubblici, delle forniture elettriche, delle infrastrutture stradali e così via). Infine, è opportuno che il DPO, una volta nominato, svolga la propria attività non solo con riferimento ai trattamenti strettamente connessi alle funzioni pubbliche dell'organismo, ma anche con riguardo ad altre attività, come la gestione di un database del personale.
In secondo luogo, la nomina del DPO è obbligatoria quando le attività principali svolte del titolare o del responsabile del trattamento consistono in operazioni che, per la loro natura, l'ambito di applicazione o le finalità, richiedono un monitoraggio regolare e sistematico degli interessati su larga scala. Il Gruppo di lavoro ex art. 29 raccomanda, per valutare il ricorrere o meno di questa circostanza nella situazione concreta, di tenere conto di una serie di fattori, fra i quali, a titolo esemplificativo, rilevano il numero di soggetti interessati dal trattamento, in termini assoluti ovvero espressi in percentuale della popolazione di riferimento, il volume dei dati e le diverse tipologie di dati che sono oggetto di trattamento, la durata o la persistenza dell'attività di trattamento e, infine, la portata geografica dell'attività di trattamento.
Anche il concetto di monitoraggio regolare e sistematico degli interessati non trova una precisa definizione all'interno del GDPR, tuttavia si ritiene che debbano esservi ricomprese tutte le forme di tracciamento e profilazione su Internet, anche per finalità di pubblicità comportamentale. Il monitoraggio sarà poi da considerare "regolare e sistematico" quando, in linea di massima, avviene in modo continuo o in un arco temporale ben definito, quando sia ripetuto a intervalli costanti oppure in modo predeterminato, organizzato e metodico o, ancora, quando sia realizzato in forza di una pianificazione strategica.
Esempi di attività che possono integrare tutti questi estremi sono: la prestazione di servizi di telecomunicazioni, il reindirizzamento di messaggi di posta elettronica e le attività di marketing basate sull'analisi dei dati raccolti, il tracciamento della posizione, per esempio da parte di app su dispositivi mobili, i programmi di fidelizzazione e di monitoraggio di dati sullo stato di salute e sulla forma fisica attraverso dispositivi indossabili.
Infine, il titolare dovrà necessariamente nominare un Responsabile per la protezione dei dati personali, nel caso in cui le attività principali effettuate consistano nel trattamento, su larga scala, di dati sensibili o di dati relativi a condanne penali e a reati consistenti nell'illecito trattamento dei dati personali.
In tutti i restanti casi, quando il regolamento non impone specificamente la nomina di un DPO, questa figura potrà comunque essere designata dal titolare o dal responsabile del trattamento su base volontaria.
La struttura del GDPR e le prime indicazioni applicative emerse, ad ogni modo, hanno enfatizzato l'importanza che per qualsiasi azienda può rivestire questa figura. Come risulta anche dalle indicazioni del Gruppo di Lavoro ex art. 29, infatti, viene suggerito quale misura generale a tutte le imprese, per garantire standard di sicurezza adeguati, di procedere alla nomina del DPO, anche se non sia obbligatoria per legge, affidando possibilmente tale incarico a soggetti terzi ed esterni all'organizzazione, che permettano di assicurare delle valutazioni oggettive per garantire livelli di tutela più elevati possibili per gli interessati.
Infine, emerge dall'art. 37, comma 2 (secondo cui "Un gruppo imprenditoriale può nominare un unico responsabile della protezione dei dati, a condizione che un responsabile della protezione dei dati sia facilmente raggiungibile da ciascuno stabilimento") che viene ammessa dal GDPR anche la possibilità per un gruppo di imprese o di soggetti pubblici di nominare un unico DPO (sia per avere una visione e una gestione globale del "sistema privacy" sia per evitare costi economici eccessivi).
Quali responsabilità ha il DPO
Il DPO ha, innanzitutto, il compito di vigilare sull'osservanza del GDPR da parte dei titolari che gli affidano tale incarico. Come emerge dall'art. 39, comma 1, lettera b), infatti, il DPO viene incaricato, tra gli altri compiti, anche di: "sorvegliare l'osservanza del presente regolamento, di altre disposizioni dell'Unione o degli Stati membri relative alla protezione dei dati nonché delle politiche del titolare del trattamento o del responsabile del trattamento in materia di protezione dei dati personali, compresi l'attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo".
Fanno parte di questi compiti di controllo svolti dal DPO:
- la raccolta di informazioni per individuare i trattamenti svolti;
- l'analisi e la verifica della conformità dei trattamenti;
- l'attività di informazione, consulenza e indirizzo nei confronti di titolare o responsabile. Come precisato dall'art. 39, comma 1, lettera a).
Attenzione, però: il controllo del rispetto del Regolamento non significa che il RPD sia personalmente responsabile in caso di inosservanza degli obblighi in materia di protezione dei dati personali. Il GDPR, all'art. 24, comma 1, chiarisce infatti che è compito del titolare (e non del DPO) mettere in atto le misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al regolamento. La responsabilità di garantire il rispetto della normativa in materia di protezione dei dati ricade quindi sul titolare del trattamento o sul responsabile del trattamento.
Altro ruolo di grande importanza attribuito al DPO è poi quello di assistere il titolare del trattamento dei dati nello svolgimento della "valutazione d'impatto sulla protezione dei dati" che è un onere posto direttamente in capo al titolare del trattamento. L'art. 35, comma 2, prevede infatti in modo specifico che il titolare "si consulti" con il DPO quando svolge una valutazione d'impatto sulla protezione dei dati, e allo stesso tempo, l'art. 39, comma 1, lettera c) affida al DPO il compito di "fornire, se richiesto, un parere in merito alla valutazione di impatto sulla protezione dei dati e sorvegliarne lo svolgimento ai sensi dell'articolo 35".
Il Gruppo di lavoro ex art. 29 ha poi precisato, nelle "Linee Guida sui responsabili della protezione dei dati", che è opportuno che il titolare del trattamento si consulti con il DPO su una serie di argomenti, quali, a titolo esemplificativo, se condurre o meno una valutazione d'impatto, quale metodo adottare per effettuarla, se svolgerla utilizzando risorse interne o esterne all'organizzazione e quali misure adottare per attenuare i rischi per i diritti e gli interessi delle persone interessate. Si noti bene, peraltro, che, nel caso in cui il titolare del trattamento non concordi con le indicazioni fornite dal DPO, il suo dissenso dovrà essere appositamente motivato e documentato.
Altro aspetto importante è quello che emerge dall'art. 39 GDPR i quali il DPO deve "cooperare con l'autorità di controllo" e "fungere da punto di contatto per l'autorità di controllo per questioni connesse al trattamento, tra cui la consultazione preventiva di cui all'articolo 36, ed effettuare, se del caso, consultazioni relativamente a ogni altra questione".
Il DPO deve quindi fungere da punto di contatto per facilitare l'accesso, da parte dell'autorità di controllo, ai documenti e alle informazioni necessarie per l'adempimento dei suoi compiti, nonché ai fini dell'esercizio dei poteri di indagine, correttivi, autorizzativi e consultivi.
Aspetto importante è anche che il DPO nello svolgimento delle sue funzioni ha l'obbligo di rispettare le norme in materia di segreto o riservatezza, in base a quanto stabilito dal diritto dell'Unione Europea o degli stati membri.
In base all'art. 39, comma 2, il DPO deve poi -nell'esecuzione dei suoi compiti- considerare "debitamente i rischi inerenti al trattamento, tenuto conto della natura, dell'ambito di applicazione, del contesto e delle finalità del medesimo". Ciò che si richiede al DPO è, in sostanza, un'attenzione particolare verso quelle che sono le questioni che presentino maggiori rischi in termini di protezione dei dati. La norma appena richiamata sottolinea quindi l'opportunità di dedicare un'attenzione maggiore verso gli ambiti che presentino rischi più elevati, sulla base di valutazioni specifiche e concrete effettuate per ciascuna realtà di trattamento.
GDPR prevede poi che sia compito del titolare del trattamento o del responsabile del trattamento, e non del DPO, quello di tenere un registro delle attività di trattamento svolte, o un registro di tutte le categorie di trattamento svolte per conto del titolare del trattamento. In realtà, il Gruppo di Lavoro ex art. 29 ha rilevato come sia una prassi consolidata (fondata sulle disposizioni di numerose leggi) quella di attribuire proprio al DPO il compito di realizzare l'inventario dei trattamenti e tenere un registro di tali trattamenti sulla base delle informazioni fornite dai vari uffici che trattano i dati personali. Tuttavia, spetterà al titolare e al responsabile, i quali rimangono onerati di tale adempimento e responsabili nei confronti degli interessati e delle Autorità di controllo per eventuali violazioni, fornire tutte le informazioni necessarie e ad approvare quanto riportato dal DPO nel registro dei trattamenti.
Va comunque tenuto presente che l'elenco di compiti affidati al DPO previsto dall'art. 39, comma 1 del GDPR non esaustivo, ma meramente esemplificativo. Il titolare del trattamento ha quindi la possibilità di affidargli anche altre funzioni, tra cui appunto quella di tenere il registro delle attività di trattamento, benché si tratti sempre di attività svolte sotto la responsabilità del titolare stesso o del responsabile.
Il DPO potrà, in conclusione, rispondere di eventuali responsabilità correlate allo svolgimento dei suoi obblighi di consulenza e assistenza (contrattuali o disciplinari, a seconda che si tratti di un soggetto interno o esterno all'azienda) nei confronti del titolare del trattamento, il quale rimane (eventualmente in solido con il responsabile) l'unico soggetto responsabile del rispetto della normativa vigente.
Puoi trovare tutte le news sul GDPR in questa pagina speciale.
Per ricevere assistenza consulta il sito fclex.it