Il Data Protection Officer: la nuovissima figura nella panoramica aziendale
Il GDPR (General Data Protection Regulation, Reg. UE 679/2016) costituisce fulgido esempio della nuova stagione di riforma normativa dell’Unione Europea. Esso infatti costituisce uno dei tanti passi decisi dell’Unione verso l’obiettivo di armonizzazione degli ordinamenti dei singoli Stati membri, andando a normare una importante realtà quale è quella della protezione dei dati personali.
Il regolamento europeo ha introdotto una disciplina in una materia che in realtà, nel panorama italiano, era già discretamente difesa dal Codice della privacy, risalente al 2003; tant’è che lo stesso Codice, una volta recepita la novità, ha subìto poche modifiche dal punto di vista sostanziale.
Del tutto nuova, però, è la figura del Data Protection Officer (d’ora in poi DPO, in italiano traducibile come Responsabile della protezione dati).
Essenziale anche se non sempre obbligatoria, la presenza del DPO nei ranghi aziendali assicura l’aderenza dell’attività d’impresa alla disciplina a tutela della privacy, e può prevenire eventuali data breach oltre che spiacevoli sanzioni economiche.
Il dato normativo. Tre articoli interamente dedicati a questa nuova figura
Il DPO è disciplinato dagli articoli 37, 38 e 39 del Regolamento, che in linea generale ne facoltizza la designazione. Il titolare del trattamento e il responsabile sono infatti obbligati a designarlo solo in tre casi (art. 37 comma 1):
a) il trattamento è effettuato da un’autorità pubblica o da un organismo pubblico, eccettuate le
autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali;
b) le attività principali del titolare del trattamento o del responsabile del trattamento consistono in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio
regolare e sistematico degli interessati su larga scala; oppure
c) le attività principali del titolare del trattamento o del responsabile del trattamento consistono nel trattamento, su larga scala, di categorie particolari di dati personali di cui all’articolo 9 o di dati relativi a condanne penali e a reati di cui all’articolo 10.
Il DPO è pertanto obbligatorio negli enti pubblici e negli enti privati che trattano sistematicamente dati personali nella loro attività; negli enti privati che trattano in larga scala categorie particolari di dati personali (cd. dati sensibili, cioè quelli attinenti ad esempio l’orientamento sessuale, la religione, il pensiero politico, la salute di un individuo).
In tutti gli altri casi, il comma 4 facoltizza, appunto, la designazione del DPO; tuttavia, è evidente come, di fatto, la presenza del DPO si renda obbligatoria per tutti gli enti pubblici e per quasi tutti quelli privati. Ciò in virtù di due ragioni: in primis, le tre opzioni in cui diventa obbligatoria la designazione del DPO coprono un tale ventaglio di possibilità che è quasi impossibile che un’impresa non sia tenuta alla sua designazione: quasi nessuna attività imprenditoriale, al giorno d’oggi, è infatti esente da un trattamento di dati personali più o meno intenso, tale per cui la figura del DPO deve essere presente in praticamente ogni tipo di impresa. In secundis, la disciplina a tutela della privacy è guidata dal principio di accountability (responsabilizzazione), che impone al titolare o al responsabile del trattamento l’adozione di ogni misura necessaria per la protezione dei dati personali.
Ne consegue che anche laddove la designazione del DPO sia opzionale, essa è comunque fortemente raccomandata, soprattutto per superare indenni eventuali ispezione disposte dal Garante della Privacy.
I gruppi imprenditoriali possono designare un unico DPO, comune per tutte le imprese del gruppo.
Infine, per non rendere eccessivamente oneroso l’obbligo di cui si discute, l’incarico di DPO può anche essere assegnato ad un professionista esterno.
Compiti del DPO. Fisionomia e tratti del professionista
L’art. 39 è interamente dedicato ai compiti del DPO, che delinea una figura ibrida, a metà tra un consulente dell’impresa e un controllore della sua attività, limitatamente alla protezione dei dati personali.
La norma così recita:
a) informare e fornire consulenza al titolare del trattamento o al responsabile del trattamento nonché ai dipendenti che eseguono il trattamento in merito agli obblighi derivanti dal presente regolamento nonché da altre disposizioni dell’Unione o degli Stati membri relative alla protezione
dei dati;
b) sorvegliare l’osservanza del presente regolamento, di altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati nonché delle politiche del titolare del trattamento o del responsabile del trattamento in materia di protezione dei dati personali, compresi l’attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo;
c) fornire, se richiesto, un parere in merito alla valutazione d’impatto sulla protezione dei dati e sorvegliarne lo svolgimento ai sensi dell’articolo 35;
d) cooperare con l’autorità di controllo;
e) fungere da punto di contatto per l’autorità di controllo per questioni connesse al trattamento, tra cui la consultazione preventiva di cui all’articolo 36, ed effettuare, se del caso, consultazioni relativamente a qualunque altra questione.
Il DPO ha quindi un triplice compito: consulenza all’impresa in materia di tutela dei dati personali, sorveglianza dell’attività d’impresa, cooperazione con l’autorità di controllo, con cui funge da punto di contatto. Oltre all’attività di consulenza semplice, se richiesto dal titolare o dal responsabile del trattamento, il DPO può fornire parere in merito allo svolgimento di una DPIA (Data Protection Impact Assessment) ovvero di una valutazione dell’impatto sulla tutela della privacy in caso di nuovo trattamento dati.
Questi sono i compiti minimi, cioè quei compiti che secondo l’articolo in parola devono costituire necessariamente il fulcro dell’incarico del DPO. Nulla toglie tuttavia che al DPO siano assegnate altre mansioni supplementari, anche se, come vedremo a breve, il Regolamento esige in ogni caso che il DPO sia messo in condizione di svolgere correttamente il proprio incarico fondamentale di protezione dei dati personali.
La posizione del DPO rispetto al management aziendale
L’art. 38 è estremamente importante, poiché fornisce importanti chiarimenti su quella che deve essere la posizione del DPO, anche all’interno della gerarchia aziendale.
Il DPO deve essere tempestivamente informato di tutte le decisioni aziendali che possano potenzialmente impattare sulla protezione dei dati personali (comma 1), deve avere le risorse, anche umane, necessarie per svolgere i propri compiti (comma 2), può svolgere ulteriori compiti e funzioni (oltre a quelle di protezione dati personali) a patto che non siano in conflitto di interessi con quelli principali (comma 6).
Il comma 3 è invece molto esplicativo per quanto concerne la posizione del DPO nell’organigramma aziendale.
La norma infatti dispone che: <<Il titolare del trattamento e il responsabile del trattamento si assicurano che il responsabile della protezione dei dati non riceva alcuna istruzione per quanto riguarda l’esecuzione di tali compiti. Il responsabile della protezione dei dati non è rimosso o penalizzato dal titolare del trattamento o dal responsabile del trattamento per l’adempimento dei propri compiti. Il responsabile della protezione dei dati riferisce direttamente al vertice gerarchico del titolare del trattamento o del responsabile del trattamento>>.
Il DPO quindi deve essere indipendente nell’espletamento della propria attività ed è tutelato da eventuali atti arbitrari dell’imprenditore in suo pregiudizio.
Quindi dal complesso normativo dettato dall’articolo in parola ne risulta che il DPO, pur non dovendo far parte dell’amministrazione, deve comunque essere a stretto contatto con essa, sia per essere prontamente informato su eventuali nuovi trattamenti di dati personali in procinto di essere realizzati, sia per agevolare l’attività di consulenza.
Da qui derivano pertanto le maggiori differenze con il CTO ed il CIO, dirigenti apicali molto diffusi nella realtà imprenditoriale, che, pur essendo notevolmente competenti nel campo informatico, e di riflesso nella protezione dei dati personali, non possono tuttavia rivestire il ruolo di DPO a causa della mancanza di indipendenza, essendo a tutti gli effetti amministratori dell’impresa.
Infine, il DPO deve essere a disposizione degli interessati per tutte le questioni concernenti la protezione dei loro dati personali e l’esercizio dei relativi diritti. A tal proposito, spetta all’imprenditore pubblicare i dati di contatto del DPO nonché di comunicarli all’autorità di controllo (art.37, comma 7).
Conclusioni
E’ evidente, dopo questo breve excursus sulla figura del DPO, che questi debba necessariamente essere persona esperta nel campo della protezione dei dati personali, sia dal punto di vista teorico che da quello della prassi; la sua presenza assicura una protezione ambivalente, tanto in favore della compliance aziendale, tanto nei confronti dei singoli individui i cui dati personali vengono trattati dall’azienda.
Non può pertanto dubitarsi di come svolga un ruolo cruciale nella protezione dati personali ed è quindi comprensibile la scelta del legislatore europeo di renderlo di fatto obbligatorio. Infatti, nel caso di mancata (ed obbligatoria) designazione sono previste sanzioni economiche che possono ammontare, nei casi più gravi, a 20 milioni di euro o al 4% del fatturato annuale.
Salvis Juribus – Rivista di informazione giuridica
Direttore responsabile Avv. Giacomo Romano
Listed in ROAD, con patrocinio UNESCO
Copyrights © 2015 - ISSN 2464-9775
Ufficio Redazione: redazione@salvisjuribus.it
Ufficio Risorse Umane: recruitment@salvisjuribus.it
Ufficio Commerciale: info@salvisjuribus.it
***
Metti una stella e seguici anche su Google News
The following two tabs change content below.
Laureato in Giurisprudenza all’Università degli Studi di Napoli Federico II, ho completato con successo il tirocinio ex art. 73 d.l. 69/2013, riservato ai migliori laureati, ed ho acquisito notevoli competenze nell’ambito dei tre diritti fondamentali grazie allo studio pluriennale per la preparazione dei concorsi pubblici superiori.Specializzato in diritto a tutela della privacy, sono attualmente docente di corsi di formazione professionale.