Questo sito utilizza cookie per raccogliere informazioni sull'utilizzo. Cliccando su questo banner o navigando il sito, acconsenti all'uso dei cookie. Leggi la nostra cookie policy.OK

Direttore responsabile Alessandro Longo

regolamento europeo

Chi è il Data Protection Officer e perché è una figura controversa

di Antonino Polimeni, avvocato

05 Mag 2017

5 maggio 2017

Come previsto dal nuovo regolamento europeo sulla privacy, la figura del DPO sarà obbligatoria per tutti i 28 Stati Ue dal 25 maggio 2018. Eppure alcune regole risultano ancora generiche e imprecise. Urgono chiarimenti

Tra i principali obblighi previsti dal nuovo regolamento europeo sulla privacy c’è quello, per alcune società, di adeguare il proprio organigramma privacy inserendo all’interno dello stesso la figura del DPO, acronimo di Data Protection Officer.

In realtà, il Data Protection Officer rappresenta una figura già nota in molte legislazioni europee. Si pensi, ad esempio, agli ordinamenti anglosassoni dove sono già presenti da anni il Chief Privacy Officer (CPO), il Privacy Officer e il Data Security Officer.

A far data dal 25 maggio 2018 il DPO sarà obbligatorio per tutti i 28 Stati dell’Unione Europea, venendo così a rappresentare, anche in Italia, un elemento imprescindibile per la tutela dei dati personali.
Tuttavia, come vedremo, questa figura, così importante e qualificata, è ad oggi al centro di questioni controverse e dibattute che hanno dato vita ad una vera e propria opera di interpretazione dei contenuti del Regolamento n. 2016/679. Infatti, in relazione alla figura del DPO, esistono molteplici elementi poco chiari, soprattutto in merito all’obbligo di nomina e alle competenze dello stesso.
Chi è il Data Protection Order (DPO)

Il Data Protection Order sarà una figura professionale con particolari competenze in campo informatico, giuridico, di valutazione del rischio e di analisi dei processi.

Il compito principale del DPO è l’osservazione, la valutazione e la gestione del trattamento dei dati personali allo scopo di far rispettare le normative europee e nazionali in materia di privacy.
Tuttavia quasi tutto ciò che si sa ad oggi sul DPO è frutto di interpretazione del gruppo degli esperti e dei garanti nazionali (WP29). In realtà, l’articolo 37 del Regolamento non specifica quali debbano essere le qualità professionali necessarie a rivestire la figura del DPO. Si evince chiaramente, però, che il soggetto prescelto debba possedere comprovata esperienza sulla legislazione relativa alla protezione dei dati personali sia nazionale che europea, sulle prassi oltre che una approfondita conoscenza del Regolamento.  Nel caso, poi, di un ente pubblico o di un organismo pubblico, il DPO dovrebbe anche avere una buona conoscenza delle regole e delle procedure dell’organizzazione amministrativa.

Ciò che invece è certo è che tale figura può essere rivestita, oltre che da un libero professionista, anche da un dipendente del titolare del trattamento (o del responsabile del trattamento).

In merito, v’è da condividere una considerazione importante che contribuisce e stimola le polemiche sulla difficile (o forse prematura) attuazione del Regolamento. Esiste infatti una evidente discrasia tra la figura del dipendente, che si porta sulle spalle tutti gli oneri e gli obblighi di subordinazione previsti dalla legge, e l’articolo 38 del Regolamento lì dove sancisce la posizione di assoluta indipendenza del DPO. E’ chiaro che, con questi presupposti, la funzione garanzia richiesta al DPO parte già in evidente difficoltà applicativa.

L’articolo 38 poi rincara: il DPO non deve trovarsi in alcuna situazione di conflitto di interessi. E qui preferiamo una interpretazione più funzionale che “politica”. Il legislatore europeo in sostanza cerca di evitare facili nomine effettuate per affinità (o sovrapposizione) di mansioni pratiche: non risulterà conforme alla legge l’eventuale nomina a DPO del responsabile che si occupa di ICT.

Allo stesso modo, stante un possibile conflitto di interessi, si ritiene che non possa essere nominato DPO l’amministratore delegato, il responsabile operativo, il responsabile finanziario o sanitario, il direttore marketing e quello delle risorse umane.

 

Quali sono in compiti del DPO

Come detto, la responsabilità principale del Data Protector Order è quella di sovraintendere alla gestione del trattamento di dati personali effettuata dalle aziende, sia pubbliche che private, affinché questi siano trattati nel rispetto delle normative privacy europee e nazionali.
Più nel dettaglio, i compiti del DPO sono elencati dall’articolo 39 del Regolamento Europeo sulla protezione dei dati personali il quale stabilisce che tale figura debba:
informare il Titolare ed il responsabile del trattamento relativamente agli obblighi di legge scaturenti dal regolamento o da ulteriori normative dell’Unione in materia di dati personali;

controllare l’osservanza del Regolamento da parte del Titolare del trattamento o del Responsabile del trattamento, sensibilizzando e formando il personale che partecipa alle operazioni di trattamento dei dati e alle relative attività di controllo;

fornire pareri circa la valutazione d’impatto sulla protezione dei dati;

collaborare con l’autorità di controllo, effettuando consultazioni su qualsiasi altra eventuale questione.
Va da sé quindi che il DPO debba essere un professionista dotato anche di qualità manageriali ed organizzative, onde poter suggerire al titolare o responsabile dei dati i più opportuni cambiamenti di carattere tecnico-organizzativo.

 

Per quali aziende è obbligatorio il DPO

A mio parere, in assenza di regole certe, qui perde di fascino (sì, fascino, scusate, sono un avvocato) l’intero impianto normativo europeo. L’assenza di paletti ben definiti sulla necessità di applicare o meno le regole sul DPO per le aziende private fa prevedere un’applicazione meramente interpretativa, esposta alla totale discrezionalità dell’ente controllore. Ma andiamo con ordine.

Ai sensi dell’articolo 37 del Regolamento Europeo la nomina del DPO è obbligatoria allorquando il trattamento dei dati “venga effettuato da un’autorità pubblica o da un organismo pubblico, eccettuate le autorità giurisdizionali nell’esercizio delle proprie funzioni”. E fin qui nulla quaestio.
Sul punto vale la pena solo specificare che gli “organismi di diritto pubblico” sono tutti quegli organismi creati per soddisfare bisogni d’interesse generale a carattere non industriale o commerciale, dotati di personalità giuridica, con una attività finanziata per la maggior parte dallo Stato o da altri organismi di diritto pubblico.

Ma l’articolo 37 sancisce l’obbligatorietà della nomina del DPO anche per alcune aziende private.

Ed è proprio qui, nel cuore applicativo della normativa, che le regole divengono generiche e imprecise. L’articolo prevede che sussista l’obbligo di nomina del DPO allorquando la ″core activities″ del titolare del trattamento o del responsabile del trattamento ″consista in trattamenti richiedenti il monitoraggio sistematico su larga scala″ nonché quando le attività principali del titolare del trattamento o del responsabile del trattamento ″riguardano il trattamento, su larga scala, di informazioni sensibili o di dati relativi a condanne penali e a reati″.
Che cosa si intende per “attività principali”? L’oggetto dell’attività imprenditoriale o anche uno step necessario per raggiungere lo scopo di essa? L’esempio che si fa più spesso è la clinica privata. L’attività principale è la fornitura del servizio di cura delle persone, ma senza poter trattare i dati (sensibili tra l’altro) dei pazienti, questo non sarebbe possibile. I dubbi restano ma, da avvocato mi chiedo: se in un caso simile, ad un mio cliente venisse comminata una sanzione, questa resterebbe priva di impugnazione? Giammai! La legge parla di “attività principale” ed io devo fare gli interessi dei miei assistiti. Ed ecco lo spreco di risorse da parte della PA, ed ecco l’aumento delle procedure giudiziarie.

Ed ancora, cosa si intende per “larga scala”? A questa domanda ha provato a rispondere il Gruppo dei Garanti Ue (WP 29), chiamato a fornire delle linee guida in merito. Risposta chiara? Macchè: “non è possibile fornire un numero preciso di dati trattati o di persone interessate necessari a definire la categoria della grande scala” sebbene non possa escludersi la possibilità, con il tempo, di sviluppare pratiche standard che ne permettano la determinazione quantitativa. Sostanzialmente: “per ora non si sa, poi si vedrà”. E quindi? La normativa sarà in vigore solo formalmente dal maggio 2018, ma per l’effettiva applicazione sarà necessario attendere le “pratiche di standard qualitative” di cui sopra?

In ogni caso, al fine di stabilire se si tratta di un trattamento su larga scala le linee guida del Regolamento consigliano di prendere in considerazione i seguenti elementi:

– il numero di persone interessate ed il volume di dati;

– la durata dell’attività di elaborazione dei dati;

– l’estensione geografica dell’attività di trasformazione degli stessi.

E allora proviamo ad ipotizzare, con tecniche esclusivamente interpretative, chi debba rivolgersi al un Data Protection Officer.

Inutile e scontato dire che, oltre a tutti gli enti locali, chi gestisce big data dovrà adempiere alle direttive della normativa (ma forse già lo fa). Che si forniscano di un DPO anche le compagnie di assicurazione, le banche, i fornitori di servizi di telecomunicazioni. E gli studi legali? Alcuni trattano davvero tanti dati personali, migliaia, dati sensibili e giudiziari. A norma di legge forse dovrebbero nominare un DPO (fantascienza). Chi lavora nel marketing e nel webmarketing, chi fa profilazione di dati, chi utilizza landing page, chi fa DEM professionalmente? Direi di sì se il volume dei dati è consistente. E i siti web che fanno numeri importanti? I grandi e-commerce sicuramente devono mettersi a norma, mentre chi utilizza sistemi di analisi di dati di traffico non anonimizzati meglio che si rivolga a società terze per far questo piuttosto che internalizzare il servizio, così da evitare la nomina del DPO.

Attendono comunque, nel prossimo futuro, necessari, fondamentali e definitivi chiarimenti da parte (quantomeno) del Garante italiano onde evitare che le regole vengano fatte dalla giurisprudenza del settore, a discapito dei primi soggetti sanzionati.

 

Articoli correlati