Questo sito utilizza cookie per raccogliere informazioni sull'utilizzo. Cliccando su questo banner o navigando il sito, acconsenti all'uso dei cookie. Leggi la nostra cookie policy.OK

Direttore responsabile Alessandro Longo

riforma ue

Privacy, cos’è e come scegliere il data protection officer

di Fabio Di Resta, avvocato, LL.M., presidente del Centro europeo per la Privacy

10 Feb 2017

10 febbraio 2017

Lo richiede la nuova normativa europea. Per essere preparati alla scadenza del prossimo anno occorre non solo una corretta procedura di selezione di questa figura, ma sin da subito valutare il proprio contesto legale-organizzativo

L’Unione europea con il nuovo pacchetto di riforma nell’ambito della protezione dei dati punta con decisione sull’aumento di fiducia dei consumatori per dare impulso al mercato unico digitale a livello europeo. Il pacchetto si compone di due atti normativi la direttiva 2016/680/CE (c.d. Direttiva Polizia) e il Regolamento 2016/679/UE. Come è noto, il Regolamento europeo per la protezione dei dati personali  è entrato in vigore lo scorso 24 maggio, la sua disciplina diventerà direttamente applicabile in tutti gli Stati Membri dell’Unione europea a partire dal 25 maggio 2018.

Per adempiere ai numerosi nuovi adempimenti previsti dal regolamento 679 rimangono poco più di quattordici mesi. Non si tratta tuttavia di adempimenti solo formali ma di un nuovo approccio pervasivo per le organizzazioni.

Infatti, la disciplina normativa subisce cambiamenti sostanziali. Tra questi merita particolare attenzione il c.d. principio di accountability (tradotto prevalentemente con il termine “responsabilizzazione” oppure come proposto da alcuni commentatori anche “rendicontazione”), in virtù di tale principio tutti i titolari e i responsabili del trattamento dovranno preventivamente gestire la propria organizzazione in modo da garantire in ogni fase del trattamento la piena conformità al trattamento e raccogliere prove documentali per dimostrarla.

Principio questo che va certamente accostato ad un approccio proattivo al rischio fortemente rafforzato nel regolamento rispetto all’attuale Codice della Privacy e che obbligherà i titolari e i responsabili ad analizzare i rischi connessi ai trattamenti da loro posti in essere (c.d. risk-based approach).

Tra gli adempimenti di più ampio impatto sul mercato vi è certamente la designazione  del responsabile della protezione dei dati personali ovvero del Data Protection Officer (DPO), figura già presente nelle organizzazioni più complesse presenti anche nel mercato italiano, ma che diverrà obbligatoria per tutta la pubblica amministrazioni e in alcuni casi anche in ambito privato.

Le recenti linee guida pubblicate dal Gruppo europeo dei Garanti ex art. 29, in consultazione pubblica fino la fine di gennaio 2017, hanno fornito alcune indicazioni a riguardo.

Si conferma, inoltre, che nella disciplina estremamente succinta prevista dal legislatore europeo il DPO è un supervisore indipendente, il quale sarà designato obbligatoriamente, da soggetti apicali di tutte le pubbliche amministrazioni e nello specifico è previsto l’obbligo nel caso in cui “il trattamento è effettuato da un’autorità pubblica o da un organismo pubblico, eccettuate le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali”.

Sul piano interpretativo le recenti linee guida del Gruppo articolo 29 lasciano ancora diversi problemi aperti, alcuni dei quali ci si augura verranno risolti a breve a seguito della consultazione pubblica alla quale ha partecipato anche il Centro europeo per la privacy il cui documento è disponibile sul sito istituzionale.

Da quanto detto sopra, emerge comunque con chiarezza che, sebbene la designazione del Data Protection Officer sia accompagnato da una semplificazione in termini di designazione condivisa tra i diversi enti pubblici, questo adempimento comporterà certamente maggiori oneri per le finanze pubbliche.

Peraltro verso, il Data Protection Officer anche in ambito privato ha ruolo pervasivo dovendo essere coinvolto tempestivamente su ogni questione a lui/lei inerente per garantire una protezione dei dati effettiva dei cittadini e al contempo tutelare il titolare e il responsabile del trattamento, dovendo supervisionare tutte le attività di attribuzioni dei ruoli e responsabilità, piani di sensibilizzazione, di formazione nonché le attività di controllo (p.e. adeguatezza dei piani di audit interno).

In ambito privato, l’articolo 37 co. 1 lett. b) del regolamento europeo prevede l’obbligo di designare il DPO quando le attività principali del titolare e del responsabile richiedono su larga scala un monitoraggio regolare e sistematico, rientrano per esempio in tale presupposto gli operatori di telecomunicazione, gli operatori che effettuano profilazione per finalità di marketing comportamentale oppure erogare per premi  assicurativi, localizzazione tramite app, monitoraggio sullo stato di salute tramite dispositivi indossabili e interconnessi (c.d. wearable devices), programmi di fedeltà, ecc. ecc..

Il DPO in ambito privato è obbligatorio anche per tutte le organizzazione che trattano come attività principale dati sensibili (o meglio particolari secondo il regolamento) oppure dati giudiziari su larga scala, rientrano in tale previsione ospedali, assicurazioni e istituti di credito, ecc., ecc..

A seconda della complessità del contesto organizzativo in cui dovrà operare, il DPO dovrà essere anche in grado di gestire questioni inerenti le diverse giurisdizioni.

Più nel merito, i complessi compiti affidati al DPO sono previsti solo a livello minimale dal regolamento potendo quindi il titolare e il responsabile affidarne altri compiti, nello specifico il Dpo dovrà: 1) informare e fornire consulenza a titolare e al responsabile del trattamento nonché ai dipendenti degli obblighi derivanti dal regolamento; 2) sorvegliare l’osservanza del regolamento, nonché delle altre disposizioni europee o di diritto interno in materia di protezione dati; 3) sorvegliare sulle attribuzioni delle responsabilità, sulle attività di sensibilizzazione, formazione e attività di controllo; 4) fornire pareri e sorvegliare alla redazione della Data protection impact assessment (c.d. Dpia); 5) fungere da punto di contatto e collaborare con l’Autorità Garante per la protezione dei dati personali; 6) controllare che le violazioni dei dati personali siano documentate, notificate e comunicate (c.d. Data Breach Notification Management).

Ma come accennato il DPO potrà inoltre gestire inventari e gestire un registro dei trattamenti e delle attività di trattamento ex art. 30, sebbene a stretto rigore la specifica conservazione del registro della attività di trattamento ex art. 30 del regolamento europeo resti comunque ad appannaggio del titolare e del responsabile, peraltro, questi compiti sono già previsti da circa quindi anni come rientranti nel ruolo di Data Protection Officer interni alle istituzioni dell’Unione europea (regolamento 2001/45/Ce).

In riferimento ai requisiti soggettivi e specificatamente allo profilo dello status, il candidato DPO ideale in molti casi potrebbe molto probabilmente occupare una posizione dirigenziale o manageriale stante l’obbligo di riferire al vertice gerarchico, un profilo senior potrà garantire maggiore indipendenza rispetto ad uno junior, soprattutto per garantire in modo effettivo la non ingerenza nelle proprie attività da parte del titolare. Inoltre, dovrà essere dotato di personale, locali e attrezzature sufficienti per adempiere i propri compiti, le linee guida esplicitano che dovrà anche essere dotato di una linea di budget adeguata graduata sulla complessità dell’organizzazione.

Il DPO potrà anche essere un dipendente dell’organizzazione oppure esterno in forza di un contratto di servizi, in quest’ultimo caso mentre l’indipendenza intesa come non ingerenza nelle proprie attività è un elemento più facile da soddisfare rispetto al DPO interno, il conflitto di interessi dovrà comunque essere disciplinato tenuto conto di alcune specificità del DPO esterno.

In ordine a quest’ultimo requisito soggettivo, il DPO interno potrà svolgere altre funzioni, ma dovrà avere sufficiente tempo per svolgere i propri compiti; a tal riguardo, sotto un profilo organizzativo si dovranno evitare situazioni di conflitto del DPO rispetto a chi gestisce processi decisionali critici dell’organizzazione in tema di protezione dei dati.

Chi scrive è persuaso che questo aspetto è meno critico di quanto sia stato sollevato in vari consessi specialistici, soprattutto tenuto conto dell’esperienza maturata in altri settori, come per esempio gli organismi di vigilanza sul decreto legislativo 231/2001, dove si sono adottate soluzioni legali-organizzative basate su codice etici dell’organizzazione, politiche e procedure organizzative che, unitamente alla verifica puntuale delle abilità e competenze concrete del DPO, consentono di inserire correttamente questo nuovo ruolo all’interno dell’organizzazione.

Preme infine ricordare che, come anche chiarito nelle recenti linee giuda, il DPO non potrà rispondere personalmente della non conformità dell’organizzazione al regolamento europeo, responsabilità dirette che ricadono esclusivamente sul titolare e sul responsabile.

In conclusione, si tratta quindi di una figura professionale nuova sul mercato, sebbene diversi grandi enti ed operatori si siano dotati da diversi anni di una funzione privacy che svolge compiti assibilabili al DPO, che necessita di una preparazione specialistica e una formazione continua ma anche di un’esperienza concreta sul campo per supportare adeguatamente le organizzazioni nell’ambito di un mercato unico digitale europeo.

Per essere preparati alla scadenza del prossimo anno occorre pertanto non solo una corretta procedura di selezione del candidato DPO, ma occorre sin da subito valutare il proprio contesto legale-organizzativo che deve garantire una corretta gestione delle problematiche che inevitabilmente si porranno non solo in termini di indipendenza e di assenza di conflitto di interessi ma per una corretta integrazione del DPO con le altre funzioni dell’organizzazione.

 

Articoli correlati