Il DPO – Data Protection Officer
Il Data Protection Officer (DPO), o anche Responsabile per la Protezione dei Dati (RPD), è una figura introdotta dal nuovo regolamento europeo in materia di protezione di dati personali.
Il DPO in realtà è l’evoluzione del “privacy officer“, figura prevista dalla direttiva europea 95/46 laddove, all’art. 18, consentiva agli Stati dell’Unione di prevedere semplificazioni o esenzioni nei casi di designazione di un soggetto indipendente che garantisca l’applicazione della normativa. Quindi il DPO è un consulente esperto, che va ad affiancare il titolare nella gestione delle problematiche del trattamento dei dati personali, in tal modo si garantisce che un soggetto qualificato si occupi in maniera esclusiva della materia della protezione dei dati personali, aggiornandosi sui rischi e le misure di sicurezza, in considerazione della crescente importanza e complessità del settore.
Il ruolo di DPO può essere affidato ad uno dei dipendenti dell’azienda ma può anche essere esternalizzato a un fornitore di servizi (libero professionista o azienda) tramite apposito contratto, nel qual caso dovrà essere nominato anche responsabile del trattamento. È difficilmente immaginabile, infatti, che possa svolgere le sue funzioni senza avere accesso ai dati personali. Può essere una persona fisica o un’organizzazione, e può essere nominato per un gruppo di imprese al fine di ridurre i costi.
L’articolo 38 del GDPR stabilisce che il titolare del trattamento e il responsabile del trattamento si assicurano che il DPO non riceva alcuna istruzione per quanto riguarda l’esecuzione dei suoi compiti. Inoltre, il DPO non può essere rimosso o penalizzato dal titolare o dal responsabile del trattamento per l’adempimento dei propri compiti. Questo proprio a tutela della sua autonomia. In tal senso appare difficile ritenere che tale autonomia sia giustificabile nell’ambito di un rapporto di lavoro dipendente, per cui sarebbe preferibile che il DPO sia un soggetto esterno.
La designazione del DPO riflette il nuovo approccio del regolamento europeo (art. 39), maggiormente responsabilizzante, essendo tale designazione finalizzata a facilitare l’attuazione del regolamento da parte del titolare e del responsabile. Il ruolo del DPO è di tutelare i dati personali, non gli interessi del titolare del trattamento. E ciò appare ovvio soprattutto nell’ambito degli enti pubblici e delle aziende che effettuano un monitoraggio su larga scala degli individui. Il DPO deve, infatti, possedere un’adeguata conoscenza delle normative e delle prassi di gestione dei dati personali, e deve adempiere alle proprie funzioni in piena autonomia ed indipendenza, e in assenza di conflitti di interesse. In tal senso non può ricoprire tale incarico un soggetto che si trova ai vertici aziendali, quindi in grado di influenzare le scelte adottate in materia di trattamento dei dati.
Ovviamente, titolare e responsabile devono mettere a disposizione del DPO le risorse umane e finanziarie per poter svolgere il suo compito.
Nomina e requisiti
Il DPO è designato (art. 37) dal titolare o dal responsabile del trattamento, in base ad un contratto. La designazione dovrà essere comunicata all’Autorità di controllo nazionale.
Link al Modello di atto di designazione del Data Protection Officer
Tale designazione è obbligatoria solo in tre casi.
1) Per le amministrazioni e gli enti pubblici (eccetto le autorità giudiziarie nell’esercizio delle loro funzioni). Nel regolamento europeo non vi è una definizione di “autorità pubblica”, per cui occorrerà interpretare l’indicazione in base al diritto nazionale. In particolare il Gruppo Articolo 29 ha raccomandato la nomina del DPO anche per gli organismi privati incaricati dello svolpimengo di pubbliche funzioni o che comunque esercitano pubblici poteri (es. forniture elettriche, trasporti pubblici).
Per stabilire quali sono gli enti soggetti all’obbligo è preferibile fare riferimento alle legislazioni nazionali.
Linee guida dell’Autorità di controllo nazionale sul Data Protection Officer (RPD) in ambito pubblico
2) Se l’attività principale svolta dal titolare o dal responsabile del trattamento consiste nel trattamento di dati che per la loro natura, oggetto o finalità, richiedono il controllo regolare e sistematico degli interessati su larga scala.
Con riferimento all’attività principale, il Gruppo di lavoro articolo 29 precisa che occorre tenere presente il legame del “core business” con l’attività di trattamento dati. Per cui, se l’attività principale di un ospedale non è il trattamento dei dati ma la salute dei pazienti, essendo le due attività strettamente collegate, il trattamento dei dati rientrerà nell’alveo delle attività principali, per cui un ospedale dovrà nominare un DPO. Stesso discorso di può fare per una società di vigilanza, dove l’attività di sorveglianza è indissolubilmente legata all’attività di trattamento dei dati personali relativi. Di contro, anche se nella pratica tutte le imprese trattano dati (es. i pagamenti dei dipendenti), non rientrano nell’obbligo di nomina del DPO se il trattamento dei dati è solo di supporto al “core business”.
La nozione di monitoraggio regolare e sistematico include non solo tutti i vari strumenti di tracciatura elettronica e profilazione online, ma anche qualsiasi forma di tracciatura in un ambiente offline. Per il WP29, un monitoraggio è regolare se avviene di continuo o in un arco temporale ben definito, se ripetuto ad intervalli constanti. Il monitoraggio è sistematico se si verifica in base ad uno schema o quando è organizzato, metodico, prestabilito, o se rientra in un piano generale od una strategia (es. servizi di telecomunicazione, marketing, geolocalizzazione, fidelizzazione, monitoraggio di dati sulla salute e forma fisica attraverso dispositivi indossabili, reindirizzamento di email).
Per stabilire se un trattamento è su larga scala il WP29 suggerisce di tenere in considerazione alcuni elementi:
– il numero degli interessati coinvolti (in termini assoluti o in percentuale rispetto alla popolazione di riferimento);
– la quantità dei dati trattati;
– le diverse tipologie di dati trattati;
– la durata del trattamento;
– la portata geografica del trattamento.
In tal senso sono trattamenti su larga scala quello dei dati di viaggio dei soggetti che usano un sistema di trasporto pubblico (es. il monitoraggio tramite carte di viaggio), il trattamento dei dati dei pazienti da parte di un ospedale, il trattamento di dati di geolocalizzazione della clientela per fini statistici, il trattamento dei dati dei clienti di una banca o un’assicurazione, il trattamenti dei dati personali per la pubblicità comportamentale (tramite cookie di profilazione), il trattamento di dati dei fornitori di servizi telefonici o internet. Non sono trattamenti su larga scala quelli del singolo medico o del singolo avvocato.
3) Se l’attività principale consiste nel trattamento su larga scala di dati sensibili, relativi alla salute, alla vita sessuale, genetici, giudiziari e biometrici. Il monitoraggio del comportamento delle persone interessate comprende tutte le forme di monitoraggio e profilazione su Internet, anche ai fini della pubblicità comportamentale.
Il Garante italiano ha precisato che non esiste alcun obbligo di nominare quale DPO dei soggetti che abbiano attestati o con partecipazione a corsi di formazione, né esiste alcun albo professionale, quanto piuttosto necessita l’approfondita conoscenza della normativa e delle prassi in materia di privacy, nonché delle norme e delle procedure amministrative che caratterizzano lo specifico settore di riferimento. Secondo l’autorità italiana di controllo è opportuno privilegiare soggetti che dimostrino qualità professionali adeguate alla complessità del compito da svolgere, casomai con esperienze di master o corsi di studio.
Compiti e responsabilità
Il Data Protection Officer ha il compito di informare e consigliare il titolare o il responsabile del trattamento, nonché i dipendenti, sugli obblighi previsti dalle norme in materia e quindi verificarne l’attuazione e l’applicazione. Quindi raccoglie informazioni sui trattamenti svolit, e ne verifica la conformità alle norme.
Se richiesto, potrà fornire pareri ed assistere il titolare in merito alla valutazione d’impatto sulla protezione dei dati e sorvegliare i relativi adempimenti.
Inoltre è il punto di contatto, non solo per il Garante ma anche per gli interessati al trattamento, in merito a qualunque problematica connessa ai loro dati o all’esercizio dei loro diritti. Potrà, infine, consultare il Garante anche di propria iniziativa.
Occorre tenere presente che è una prassi consolidata che il DPO abbia il compito di realizzare l’inventario dei trattamenti e tenere il registro degli stessi. Questo nonostante sia il titolare, o il responsabile, ad essere obbligati a tale adempimento e responsabilità nei confronti degli interessati e delle autorità di controllo.
Il DPO non è, però, personalmente responsabile dell’inosservanza degli obblighi in materia di protezione dei dati personali, infatti è compito del titolare (art. 24) mettere in atto le misure tecniche ed organizzative adeguate. Il DPO risponde solo per lo svolgimento dei suoi obblighi di consulenza ed assistenza nei confronti del titolare, che è (eventualmente in solido col responsabile) l’unico soggetto responsabile del rispetto della normativa. Il titolare, quindi, potrà solo avanzare pretese risarcitorie basate sulla responsabilità contrattuale, nei confronti del DPO.
Comunicazione all’Autorità di controllo
In base all’articolo 37, paragrafo 7 del regolamento europeo, il nominativo del DPO eventualmente designato deve essere comunicato all’Autorità di controllo (Garante per la protezione dei dati). Infatti, uno dei compiti principali del DPO è di fare da collegamento con l’Autorità.
L’obbligo scatta nel momento in cui si effettua la nomina.
Sul sito del Garante è disponibile un modulo per la comunicazione del nominativo (link alla procedura online).