Il ruolo del Data Protection Officer anche in Italia è obbligatorio per la pubblica amministrazione e in ambito privato: pubblicate le linee guida del Gruppo europeo dei Garanti privacy

| 21/12/2016 11:25


Fabio Di Resta, avvocato, LL.M., presidente del Centro europeo per la Privacy (EPCE), titolare dello studio Di Resta Lawyers


Lo scorso 24 maggio è entrato il vigore il regolamento europeo per la protezione dei dati personali (Regolamento 2016/679/UE), la sua disciplina diventerà direttamente applicabile in tutti gli Stati Membri dell'Unione europea a partire dal 25 maggio 2018, lasciando un periodo totale di due anni alle organizzazioni per prepararsi, periodo molto breve se si considera gli sforzi che le stesse dovranno compiere per garantire una conformità al momento dell'applicazione.

Le disciplina normativa subirà cambiamenti sostanziali recependo principi e adempimenti nuovi in Italia. Tra questi merita particolare attenzione il c.d. principio di accountability (tradotto prevalentemente con il termine "responsabilizzazione" oppure come proposto da alcuni commentatori anche "rendicontazione"), in virtù di tale principio tutti i titolari e i responsabili del trattamento dovranno preventivamente gestire la propria organizzazione in modo da garantire in ogni fase del trattamento la piena conformità al trattamento e raccogliere prove documentali per dimostrarla.

Principio questo che va certamente accostato ad un approccio al rischio fortemente rafforzato nel regolamento rispetto all'attuale Codice della Privacy e che obbligherà i titolari e i responsabili ad analizzare i rischi connessi ai trattamenti da loro posti in essere ( c.d. risk-based approach ).

Accanto a questo principio generale del regolamento vi sono poi una serie di principi, quali: la data protection by design e la data protection by default; il primo costituisce un criterio di proattività per tutte le soluzione tecnologiche in base al quale i requisiti privacy devono essere incorporati nella tecnologia sin dalla definizione dei requisiti funzionali del progetto.

Mentre il secondo principio rappresenta un criterio di trasparenza verso gli utenti, il diritto fondamentale alla protezione dei dati personali deve essere tutelato anche quando l'utente non interagisce con il sistema informatico non dovendo selezionare o effettuare scelte per tutelare i propri dati personali.

Tra gli adempimenti di più ampio impatto sul mercato vi è certamente la designazione del responsabile della protezione dei dati personali ovvero del Data Protection Officer (DPO), figura che diverrà obbligatoria per tutta la pubblica amministrazione e in alcuni casi anche in ambito privato.

Le recenti linee guida pubblicate dal Gruppo europeo dei Garanti ex art. 29, in consultazione pubblica fino fine gennaio 2017, forniscono importanti indicazioni a riguardo.

Si conferma, inoltre, che nella disciplina estremamente succinta prevista dal legislatore comunitario il Dpo è un supervisore indipendente, il quale sarà designato obbligatoriamente, da soggetti apicali di tutte le pubbliche amministrazioni e nello specifico è previsto l'obbligo nel caso in cui "il trattamento è effettuato da un'autorità pubblica o da un organismo pubblico, eccettuate le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali".

Ora, un primo nodo da sciogliere per l'interprete è certamente l'ambito soggettivo di questa norma, le linee guida pubblicate dal Gruppo indicano che le nozioni di "autorità pubblica " e di "organismo pubblico" devono riferirsi al diritto interno dello Stato Membro. In tal senso vanno ricompresi i Ministeri e tutti gli enti pubblici anche territoriali, ma anche tutti gli enti gestiti secondo la normativa di diritto pubblico.

Infatti, come specificato dal Gruppo art. 29 alla nota 12 per gli organismi di diritto pubblico si può fare riferimento alla direttiva 2003/98/UE sul riutilizzo dell'informazione nel settore pubblico (come modificata dalla direttiva 2013/37/UE), al cui art. 2 punti numero 1 e 2 è previsto che:
"Ai fini della presente direttiva si intende per: 1) «ente pubblico», le autorità statali, regionali o locali, gli organismi di diritto pubblico e le associazioni formate da una o più di tali autorità oppure da uno o più di tali organismi di diritto pubblico; 2) «organismo di diritto pubblico», qualsiasi organismo: a) istituito per soddisfare specificatamente bisogni d'interesse generale aventi carattere non industriale o commerciale; e b) dotato di personalità giuridica; e c) la cui attività è finanziata in modo maggioritario dallo Stato, da autorità regionali o locali o da altri organismi di diritto pubblico, oppure la cui gestione è soggetta al controllo di questi ultimi, oppure il cui organo d'amministrazione, di direzione o di vigilanza è costituito da membri più della metà dei quali è designata dallo Stato, da autorità regionali o locali o da altri organismi di diritto pubblico".

Pertanto, una prima considerazione può essere esposta tenendo conto di tale specifico richiamo nelle linee guida, data l'ampia definizione della direttiva si potrebbe ragionevolmente ritenere che rientrino nella nozione di "organismo di diritto pubblico" tutti gli enti ricompresi nell'elenco delle amministrazioni pubbliche inserite nel conto economico consolidato individuate ai sensi dell'articolo 1, comma 5, della legge 30 dicembre 2004, n. 311, criterio prevalentemente statistico-economico ma ripreso anche dal più recente DL 78/2010 sulle "Misure urgenti in materia di stabilizzazione finanziaria e di competitività economica", poi convertito in legge n.122/2010.

Tali organismi sarebbero pertanto tenuti all'obbligo di designazione del DPO.

Tuttavia, quest'affermazione potrebbe anche essere considerata una forzatura laddove anche le linee guida indicano come ulteriore criterio l'esercizio da parte di altri enti della funzione pubblica, ritenendo invece in tal caso solo altamente suggerita sul piano della buona pratica la designazione del DPO, vengono indicati a titolo di esempio, i servizi di trasporto pubblici, di servizi di fornitura di energia, di acqua, di infrastrutture stradali, le emettenti televisive pubbliche, gli ordini professionali, ecc., ecc..

Da quanto detto, emerge comunque con chiarezza che, sebbene questo adempimento sia accompagnato da una semplificazione in termini di designazione condivisa tra i diversi enti pubblici, questo adempimento comporterà certamente maggiori oneri per le finanze pubbliche.

Peraltro verso, il Data Protection Officer anche in ambito privato ha il ruolo fondamentale, ruolo pervasivo dovendo essere coinvolto tempestivamente su ogni questioni a lui inerente per garantire una protezione dei dati effettiva dei cittadini e al contempo tutelare il titolare e il responsabile del trattamento, dovendo supervisionare tutte le attività di attribuzioni dei ruoli e responsabilità, piani di sensibilizzazione, di formazione nonché le attività di controllo (p.e. adeguatezza dei piani di audit interno).

In ambito privato, l'articolo 37 co. 1 lett. b) del regolamento europeo prevede l'obbligo di designare il DPO quando le attività principali del titolare e del responsabile richiedono su larga scala un monitoraggio regolare e sistematico, rientrano per esempio in tale presupposto gli operatori di telecomunicazione, gli operatori che effettuano profilazione per finalità di marketing comportamentale oppure erogare per premi assicurativi, localizzazione tramite app, monitoraggio sullo stato di salute tramite dispositivi indossabili e interconnessi (c.d. wearable devices), programmi di fedeltà, ecc. ecc..

Il DPO in ambito privato è obbligatorio anche per tutte le organizzazione che trattano come attività principale dati sensibili (o meglio particolari secondo il regolamento) oppure dati giudiziari su larga scala, rientrano in tale previsione ospedali, assicurazioni e istituti di credito, ecc., ecc..

Purtroppo, vi è da rilevare che da una parte il concetto di larga scala continua ad essere ancora molto indeterminato con il rischio di comportare incertezze sul piano giuridico e quindi sul mercato, l'auspicio è che la consultazione pubblica spinga verso maggiori precisazioni, dall'altra occorrerebbe qualche ulteriore indicazione o criterio anche con riguardo all'ambito pubblico in riferimento agli organismi di diritto pubblico.

A seconda della complessità del contesto in cui dovrà operare, il Dpo dovrà essere anche in grado di gestire questioni inerenti le diverse giurisdizioni.

Più nel merito, i complessi compiti affidati al Dpo sono previsti solo a livello minimale dal regolamento potendo quindi il titolare e il responsabile affidarne altri compiti, nello specifico il Dpo dovrà:

1) informare e fornire consulenza a titolare e al responsabile del trattamento nonché ai dipendenti degli obblighi derivanti dal regolamento;
2) sorvegliare l'osservanza del regolamento, nonché delle altre disposizioni europee o di diritto interno in materia di protezione dati ;
3) sorvegliare sulle attribuzioni delle responsabilità, sulle attività di sensibilizzazione, formazione e attività di controllo;
4) fornire pareri e sorvegliare alla redazione della Data protection impact assessment (c.d. Dpia); 5) fungere da punto di contatto e collaborare con l'Autorità Garante per la protezione dei dati personali;
6) controllare che le violazioni dei dati personali siano documentate, notificate e comunicate (c.d. Data Breach Notification Management).

Ma come accennato il DPO potrà inoltre gestire inventari e gestire un registro dei trattamenti e delle attività di trattamento ex art. 30, sebbene a stretto rigore la specifica conservazione del registro della attività di trattamento ex art. 30 del regolamento europeo resti comunque ad appannaggio del titolare e del responsabile, peraltro, questi compiti sono già previsti da circa quindi anni come rientranti nel ruolo di Data Protection Officer interni alle istituzioni dell'Unione europea (regolamento 2001/45/Ce).

Sotto il profilo dello status, dovrà molto probabilmente occupare una posizione dirigenziale o manageriale stante l'obbligo di riferire al vertice gerarchico, un profilo senior potrà garantire maggiore indipendenza rispetto ad uno junior, soprattutto per garantire in modo effettivo la non ingerenza nelle proprie attività da parte del titolare, inoltre, dovrà essere dotato di personale, locali e attrezzature sufficienti per adempiere i propri compiti, le linee guida esplicitano che dovrà anche essere dotato di una linea di budget adeguata graduata sulla complessità dell'organizzazione.

Il DPO potrà anche essere un dipendente dell'azienda oppure esterno in forza di un contratto di servizi.

In ordine al conflitto di interessi, il DPO potrà svolgere altre funzioni ma dovrà avere sufficiente tempo per svolgere i propri compiti; a tal riguardo, sotto un profilo organizzativo si dovranno evitare situazioni di conflitto del DPO rispetto gestisce processi decisionali critici dell'organizzazione in tema di protezione dei dati. Il DPO dovrà avere a disposizione tutte le risorse necessarie anche per tenersi aggiornato sulla propria competenza specialistica.

Le linee guida specificano, inoltre, che qualora la struttura dimensionale dell'organizzazione lo richieda oltre al DPO singolo, sempre inteso comunque come persona fisica, può essere previsto un DPO Team. Tale DPO Team può essere interno alla struttura è occorrerà definire puntualmente in tale caso i singoli compiti e responsabilità individuali dei componenti, senza necessariamente che ciascun componente dello staff del DPO disponga di tutti i requisiti normativi previsti per il ruolo di DPO. In alternativa, in caso di DPO esterno, può essere previsto un DPO coordinatore (a single DPO designated lead contact and person in charge of the client) da intendersi con quest'ultimo un DPO che coordina l'attività degli altri DPO assistenti, con la particolarità che sebbene tutti debbano rispondere ai requisiti previsti dal regolamento sarà solo il DPO coordinatore ad essere responsabile ed incaricato dal cliente.

Infine, in termini più pratici si conferma che per poter definire i requisiti professionali necessari per ricoprire il ruolo del Dpo, vi è una gradualità di abilità, esperienza e conoscenza che è in funzione della sensibilità o meno dei dati trattati, della loro mole e della complessità organizzativa del titolare del trattamento, per esempio se il ruolo della DPO dovesse riguardare un Comune o un ente pubblico potrebbe essere sufficiente una conoscenza tecnica piuttosto minimale, diverso è il discorso se l'impresa fosse invece un operatore telco o un operatore di e-commerce, dove l'aspetto tecnologico è fondamentale almeno quanto la dimensione e la complessità dell'organizzazione al fine di operare la scelta tra DPO singolo, DPO Team, DPO interno o esterno.

Peraltro, si chiarisce al punto 12 delle FAQ allegate alle linee guida che il DPO non potrà rispondere personalmente della non conformità dell'organizzazione al regolamento europeo, responsabilità che ricadono sul titolare e sul responsabile.

In conclusione, si tratta quindi di una figura professionale nuova sul mercato, sebbene diversi grandi enti ed operatori si siano dotati da diversi anni di una funzione privacy che svolge compiti assibilabili al DPO, che necessita di una preparazione specialistica e una formazione continua ma anche di un'esperienza concreta sul campo per supportare adeguatamente le organizzazioni nell'ambito di un mercato unico digitale europeo la cui fiducia da parte degli utenti è posta in posizione centrale tramite la tutela dei diritti fondamentali e il diritto alla protezione dei dati personale.

Vetrina