Il Data Protection Officer (DPO), o anche Responsabile per la Protezione dei Dati (RPD), è una figura introdotta dal nuovo regolamento europeo in materia di protezione di dati personali (art. 37 GDPR).

Designazione, autonomia e indipendenza

Il DPO in realtà è l’evoluzione del “privacy officer“, figura prevista dalla direttiva europea 95/46 laddove consentiva agli Stati dell’Unione di prevedere semplificazioni o esenzioni nei casi di designazione di un soggetto indipendente che garantisca la corretta applicazione della normativa. Il DPO è un consulente esperto che va ad affiancare il titolare nella gestione delle problematiche del trattamento dei dati personali, in tal modo garantendo che un soggetto qualificato si occupi della materia, aggiornandosi sui rischi e le misure di sicurezza, in considerazione della crescente importanza e complessità del settore.

Il TAR per il Friuli-Venezia Giulia, con la sentenza n. 287/2018 del 13 settembre 2018, ha precisato che il profilo del DPO è eminentemente giuridico, ed attiene alla tutela del diritto fondamentale dell’individuo alla protezione dei dati personali. Con ciò ha annullato il bando di un’azienda sanitaria per il conferimento di un incarico di DPO nella parte in cui prevedeva, come requisito di ammissione, il possesso di certificazione di Lead Auditor (o di Auditor) ISO 27001. Il TAR non ha, ovviamente, inteso limitarne la nomina ai soli giuristi, ma ha tenuto a precisare che, a prescindere dai titoli, il DPO non possa non avere, ed essere in grado di dimostrarle, competenze giuridiche approfondite. La certificazione indicata, invece, “non coglie la specifica funzione di garanzia insita nell’incarico conferito, il cui precipuo oggetto non è costituito dalla predisposizione dei meccanismi volti ad incrementare i livelli di efficienza e di sicurezza nella gestione delle informazioni ma attiene semmai alla tutela del diritto fondamentale dell’individuo alla protezione dei dati personali”.

Il Garante italiano ha precisato che non esiste alcun obbligo di nominare quale DPO dei soggetti che abbiano attestati o partecipazioni a corsi di formazione,  né esiste alcun albo professionale, quanto piuttosto necessita l’approfondita conoscenza della normativa e delle prassi in materia di privacy, nonché delle norme e delle procedure amministrative che caratterizzano lo specifico settore di riferimento. Secondo l’autorità italiana di controllo è opportuno privilegiare soggetti che dimostrino qualità professionali adeguate alla complessità del compito da svolgere, casomai con esperienze di master o corsi di studio.

La designazione del DPO riflette il nuovo approccio del regolamento europeo (art. 39), maggiormente responsabilizzante, essendo finalizzata a facilitare l’attuazione del regolamento da parte del titolare e del responsabile. Il ruolo del DPO è di tutelare i dati personali, non gli interessi del titolare del trattamento. E ciò appare ovvio soprattutto nell’ambito degli enti pubblici e delle aziende che effettuano un monitoraggio su larga scala degli individui. Il DPO deve, infatti, possedere un’adeguata conoscenza delle normative e delle prassi di gestione dei dati personali, e deve adempiere alle proprie funzioni in piena autonomia ed indipendenza, e in assenza di conflitti di interesse. In tal senso non può ricoprire tale incarico un soggetto che si trova ai vertici aziendali, quindi in grado di influenzare le scelte adottate in materia di trattamento dei dati. Il provvedimento del Garante sloveno del 24 marzo 2021 segnala l’incompatibilità delle posizione di alta dirigenza (es. Amministratore Delegato, Direttore Operativo, Direttore Finanziario, Responsabile del Marketing, Responsabile delle Risorse Umane o Responsabile dell’Information Technology) e altri ruoli subordinati nell’organizzazione aziendale, qualora tali incarichi o ruoli portino alla determinazione delle finalità e dei mezzi del trattamento.

Proprio per garantire l’autonomia del DPO, l’articolo 38 del GDPR stabilisce che il titolare del trattamento e il responsabile del trattamento si assicurano che il DPO non riceva alcuna istruzione per quanto riguarda l’esecuzione dei suoi compiti. Inoltre, il DPO non può essere rimosso o penalizzato dal titolare o dal responsabile del trattamento per l’adempimento dei propri compiti. In tal senso appare difficile ritenere che tale autonomia sia giustificabile nell’ambito di un rapporto di lavoro dipendente, per cui sarebbe preferibile che il DPO sia un soggetto esterno. Ovviamente, titolare e responsabile devono mettere a disposizione del DPO le risorse umane e finanziarie per poter svolgere il suo compito.

Il ruolo di DPO può essere affidato ad uno dei dipendenti dell’azienda ma può anche essere esternalizzato a un fornitore di servizi (libero professionista o azienda) tramite apposito contratto, nel qual caso dovrà essere nominato anche responsabile del trattamento. È difficilmente immaginabile, infatti, che possa svolgere le sue funzioni senza avere accesso ai dati personali. Può essere una persona fisica o un’organizzazione, e può essere nominato per un gruppo di imprese al fine di ridurre i costi.

Quando nominare il DPO

Il DPO è designato (art. 37) dal titolare o dal responsabile del trattamento, in base ad un contratto. La designazione dovrà essere comunicata all’Autorità di controllo nazionale.

Link al Modello di atto di designazione del Data Protection Officer

Tale designazione è obbligatoria solo in tre casi.

1) Per le amministrazioni e gli enti pubblici (eccetto le autorità giudiziarie nell’esercizio delle loro funzioni). Nel regolamento europeo non vi è una definizione di “autorità pubblica”, per cui occorrerà interpretare l’indicazione in base al diritto nazionale. In particolare il Gruppo Articolo 29 ha raccomandato la nomina del DPO anche per gli organismi privati incaricati dello svolgimento di pubbliche funzioni o che comunque esercitano pubblici poteri (es. forniture elettriche, trasporti pubblici), anche se formalmente non rappresentano enti pubblici. Il Garante italiano ritiene che tutti gli organismi che ricadono nell’ambito di applicazione degli artt. 18-22 del previgente Codice privacy (organismi amministrativi, pubblici no-profit nazionali, regionali e locali, autorità locali, università, Camere di Commercio, Agenzie di salute pubblia, autorità indipendenti di supervisione) debbano nominare un DPO. E che sia raccomandata tale nomina anche agli organismo privati che espletino funzioni di pubblico interesse, ad esempio in base ad una licenza o concessione.

Linee guida dell’Autorità di controllo nazionale sul Data Protection Officer (RPD) in ambito pubblico

2) Se l’attività principale svolta dal titolare o dal responsabile del trattamento consiste nel trattamento di dati che per la loro natura, oggetto o finalità, richiedono il controllo regolare e sistematico degli interessati su larga scala.

Per attività principale si deve intendere le operazioni essenziali che risultino necessarie al raggiungimento degli obiettivi aziendali. Il Gruppo di lavoro articolo 29 ha precisato che occorre tenere presente il legame del “core business” con l’attività di trattamento dati. Anche se l’attività principale di un ospedale non è il trattamento dei dati ma la salute dei pazienti, essendo le due attività strettamente collegate, il trattamento dei dati rientrerà nell’alveo delle attività principali, per cui un ospedale dovrà nominare un DPO. Stesso discorso si può fare per una società di vigilanza, dove l’attività di sorveglianza è indissolubilmente legata all’attività di trattamento dei dati personali relativi, e quindi per un’assicurazione, una banca od un call center. Di contro, anche se nella pratica tutte le imprese trattano dati (es. i pagamenti dei dipendenti), non rientrano nell’obbligo di nomina del DPO se il trattamento dei dati è solo di supporto al “core business”. Non è necessaria la designazione del DPO per soggetti, quali i liberi professionisti (avvocati, medici), che agiscono in forma individuale.

La nozione di monitoraggio regolare e sistematico include non solo tutti i vari strumenti di tracciatura elettronica e profilazione online, ma anche qualsiasi forma di tracciatura in un ambiente offline. Per il WP29, un monitoraggio è regolare se avviene di continuo o in un arco temporale ben definito, se ripetuto ad intervalli constanti. Il monitoraggio è  sistematico se si verifica in base ad uno schema o quando è organizzato, metodico, prestabilito, o se rientra in un piano generale od una strategia (es. servizi di telecomunicazione, marketing, geolocalizzazione, fidelizzazione, monitoraggio di dati sulla salute e forma fisica attraverso dispositivi indossabili, reindirizzamento di email).

Per stabilire se un trattamento è su larga scala il WP29 suggerisce di tenere in considerazione alcuni elementi:
– il numero degli interessati coinvolti (in termini assoluti o in percentuale rispetto alla popolazione di riferimento);
– la quantità dei dati trattati;
– le diverse tipologie di dati trattati;
– la durata del trattamento;
– la portata geografica del trattamento.

In tal senso sono trattamenti su larga scala quello dei dati di viaggio dei soggetti che usano un sistema di trasporto pubblico (es. il monitoraggio tramite carte di viaggio), il trattamento dei dati dei pazienti da parte di un ospedale, il trattamento di dati di geolocalizzazione della clientela per fini statistici, il trattamento dei dati dei clienti di una banca o un’assicurazione, il trattamenti dei dati personali per la pubblicità comportamentale (tramite cookie di profilazione), il trattamento di dati dei fornitori di servizi telefonici o internet, i trattamenti operati tramite fidelity card (a meno che non si tratti di un piccolo negozio). Non sono trattamenti su larga scala quelli del singolo medico o del singolo avvocato.

3) Se l’attività principale consiste nel trattamento su larga scala di dati sensibili, relativi alla salute, alla vita sessuale, genetici, giudiziari e biometrici. Il monitoraggio del comportamento delle persone interessate comprende tutte le forme di monitoraggio e profilazione su Internet, anche ai fini della pubblicità comportamentale.

Ad esempio, una palestra o una catena di palestre, trattando dati relativi alla salute potrebbe avere la necessità di nominare un DPO.

Come si può notare, è raro che una azienda di piccole o medie dimensioni abbia l’obbligo di nominare un DPO, ma è anche vero che oggi esistono aziende di piccole dimensioni che comunque trattano grandissime quantità di dati, grazie a strumenti informatici. Gli esempi possono essere parecchi, come un call center, oppure un centro commerciale che ha un impianto di videosorveglianza e che rientra nell’ipotesi di cui al numero 2.

Le autorità di controllo raccomandano ai titolari e responsabili di effettuare una valutazione in merito all’obbligo o meno di nominare il DPO, documentando tale valutazione compiuta (ad esempio all’interno del registro dei trattamenti).

Requisiti

Il DPO è designato in virtù delle qualità professionali, cioè della conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati e delle capacità gestionali di assolvere i suoi compiti. Quindi deve:
– avere una piena e profonda comprensione dell’ente per il quale svolge il suo ruolo e delle sue attività di tratttamento;
– essere facilmente raggiungibile;
– avere una conoscenza specialistica in materia di protezione dei dati personali;
– avere una buona comprensione della terminologia delle attività IT (Information Technology) e della materia di gestione dati.
Non sono, invece, previste certificazioni obbligatorie.

Obblighi del titolare verso il DPO

Vi sono numerosi obblighi che il titolare (o il responsabile) ha verso il DPO, se nominato:
– supportare il DPO nell’esecuzione dei suoi compiti;
– fornire le risorse necessarie per l’esecuzione dei suoi compiti;
– consentire l’accesso ai dati e alle operazioni di trattamento;
– assicurare l’accesso del DPO ai massimi livelli manageriali dell’azienda;
– assicurarsi che gli altri compiti del DPO non interferiscano con la sua responsabilità primaria quale DPO;
– non fornire alcuna istruzione al DPO sui suoi compiti;
– non penalizzare o licenziare il DPO per l’esecuzione dei suoi compiti.

Compiti e responsabilità

Il DPO ha un ruolo consultivo, e svolge i seguenti compiti:
– informare e consigliare il titolare o il responsabile del trattamento, nonché i dipendenti, sugli obblighi previsti dalle norme in materia;
– verificare l’attuazione e l’applicazione delle norme;
– se richiesto, fornire pareri ed assistere il titolare in merito alla valutazione d’impatto sulla protezione dei dati e sorvegliare i relativi adempimenti;
– cooperare con le autorità di controllo;
– fungere da punto di contatto, non solo per l’autorità di controllo ma anche per gli interessati al trattamento, in merito a qualunque problematica connessa ai loro dati o all’esercizio dei loro diritti;
– consultare l’autorità di controllo anche di propria iniziativa.

Il DPO non è, però, personalmente responsabile nei confronti dei terzi dell’inosservanza degli obblighi in materia di protezione dei dati personali. Infatti è compito del titolare (art. 24) mettere in atto le misure tecniche ed organizzative adeguate. Il DPO risponde solo per lo svolgimento dei suoi obblighi di consulenza ed assistenza nei confronti del titolare, il quale rimane (eventualmente in solido col responsabile) l’unico soggetto responsabile del rispetto della normativa nei confronti dei terzi. Una eventuale azione dell’interessato contro il DPO non potrà avvalersi del regime speciale di responsabilità oggettiva (art. 82 GDPR) ma dovrà essere basata sulle comuni regole del codice civile (ex art. 2043 c.c.). Per cui il danneggiato dovrà dimostrare il dolo o la colpa grave del DPO nella causazione del fatto dannoso, il fatto illecito e il danno subito.

Il titolare potrà avanzare nei confronti del DPO solo pretese risarcitorie basate sulla responsabilità contrattuale (contratto di lavoro o di servizi a seconda dei casi). Il DPO potrà sottrarsi all’addebito dimostrando che il titolare (o il responsabile) ha disatteso le indicazioni operative elaborate dal DPO che, se osservate, avrebbero evitato il danno.

Comunicazione all’Autorità di controllo

In base all’articolo 37, paragrafo 7 del regolamento europeo, il nominativo del DPO eventualmente designato deve essere comunicato all’Autorità di controllo (Garante per la protezione dei dati). Infatti, uno dei compiti principali del DPO è di fare da collegamento con l’Autorità. L’obbligo scatta nel momento in cui si effettua la nomina. Sul sito del Garante è disponibile un modulo per la comunicazione del nominativo (link alla procedura online).

Il nome del DPO va inserito nel sito web dell’azienda, con i relativi contatti, ed anche nell’informativa.

DPO nella prassi

Nella prassi il DPO definisce la policy (che ovviamente sarà approvata dal management) in materia di privacy dell’azienda, redigendo apposite istruzioni alle quali possano far riferimento i dipendenti che sono in dubbio. Questo è importante anche per evitare che ognuno si crei una propria interpretazione applicativa della normativa in materia. Nel documento saranno indicati gli obiettivi dell’azienda (in materia di data protection), le definizioni dei termini chiave della normativa, i principi della protezione dei dati, i ruoli e le responsabilità dei vari soggetti. Se la Data Protection Policy viene utilizzato anche per i trasferimenti dei dati tra le filiali dell’azienda, dovrà essere sottoposto all’approvazione dell’autorità di controllo, e poi potrà valere quale Binding Corporate Rules.

Il passo successivo è di condurre l’audit dei vari settori aziendali, per verificare se i trattamenti posti in essere sono conformi alla Policy. I membri di riferimento di ciascun settore, ovviamente, dovranno essere appositamente istruiti e preparati in materia.

Il DPO deve assicurarsi che l’azienda tenga il registro dei trattamenti e che sia costantemente aggiornato, anche se sono il titolare e il responsabile ad essere obbligati a tale adempimento e responsabilità nei confronti degli interessati e delle autorità di controllo. Inoltre, dovrà assicurarsi che l’azienda mantenga un registro o log delle richieste degli interessati, dei consensi ottenuti ed eventualmente revocati, Oltre ovviamente al registro dei data breach.

fonte: protezionedeidatipersonali.it