Vediamo alcuni degli errori più frequenti commessi all’atto della individuazione e successiva nomina del Responsabile della Protezione dei Dati personali (RPD, nell’acronimo italiano, o DPO, “data protection officer”, nella versione inglese).
GDPR, quella falsa illusione di un rinvio in extremis
Diciamocelo chiaramente: in un’Italia ormai assuefatta alle proroghe dell’ultimo secondo, si è sperato (almeno fino al 25 maggio) in un rinvio in extremis degli adempimenti e delle novità introdotte dal GDPR (o quantomeno delle conseguenze sanzionatorie previste). Insomma, ci si attendeva una sorta di indulgenza. Tuttavia, da più parti si è evidenziato che per il GDPR nessuna indulgenza sarebbe plausibile, posto che il Regolamento è self-executing (art. 288 TFUE) e il tempo a disposizione, per adeguarsi al cambiamento, era di ben due anni (sin dal 2016, anno di entrata in vigore del GDPR).
Dal punto di vista dell’armonizzazione dell’Ordinamento interno si è assistito allo stesso fenomeno: solo nell’ottobre del 2017 arriva la legge-delega (L. 163/17); la delega sarebbe scaduta il 21 maggio 2018 e si è cercato in modo spasmodico un modo per posticipare l’approvazione del decreto legislativo delegato. Lo strumento per posticipare di tre mesi (al 21 agosto 2018) l’approvazione del decreto legislativo viene individuato nella legge 234/2012 (art. 31, terzo comma): peccato che la norma in questione faccia riferimento alle direttive e non ai regolamenti europei. Ma tant’è.
Quindi, sostanzialmente, è solo dai primi mesi del 2018 che, in Italia, in tanti (Amministrazioni e soggetti privati) entrano in fibrillazione da Bianconiglio per gli adempimenti con scadenza al 25 maggio.
E l’adempimento che, più di tutti, era sentito come impellente e gravoso era, appunto, quello della nomina del Data Protection Officer.
Ma la fretta, si sa, è spesso cattiva consigliera e le cose non sono (sempre) andate nel migliore dei modi.
Ecco, quindi, gli errori più comuni commessi nel processo di individuazione e nomina del DPO
Considerare la nomina un mero adempimento formale
Il primo e fondamentale errore deve essere individuato, per quanto riguarda l’approccio generale alla disciplina introdotta da GDPR, nel considerare semplicisticamente il GDPR quale fonte di meri adempimenti formali. A tale errore prospettico, si vedrà, conseguono una serie di ulteriori errori “di dettaglio”.
Sembra infatti essersi conservato il medesimo atteggiamento insofferente e pigro tipico del periodo di applicazione del Codice della privacy, ossia una visione ancora legata all’esigenza di adempiere in modo sbrigativo e spesso superficiale ad una serie di adempimenti formalizzati ed enumerati in pur comode e rassicuranti check-list (quali, ad esempio, l’elenco delle misure minime contemplate dall’Allegato B del Codice della privacy). Il GDPR, tuttavia, arriva come un fulmine a ciel sereno a squassare la tranquilla routine di chi stancamente, dopo un ventennio di applicazione del Codice della privacy, si era adagiato sugli adempimenti minimi del Codice.
Il GDPR richiede, infatti, una maggiore attenzione verso il tema della protezione dei dati personali proprio perché, a monte, vi è la tutela di interessi fondamentali ma con un cambio di paradigma che possiamo individuare, in primo luogo, nel principio di accountability (o, nella versione italiana, nel principio di responsabilizzazione).
La individuazione e successiva nomina del DPO, pertanto, non può (e non deve) essere intesa quale mero adempimento formale. La scelta, infatti, deve ricadere su un soggetto che sia effettivamente dotato delle qualità professionali imposte dall’art. 37 del GDPR e, in particolare, “della conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati, e della capacità di assolvere i compiti di cui all’articolo 39”. Questa norma – così come le linee-guida stilate dall’Article 29 WG (attualmente Comitato Europeo per la Protezione dei Dati) sul tema del data protection officer e pur in assenza di una specifica esperienza in tal senso – è stata spesso completamente ignorata tanto che, in numerose ipotesi, nella nomina del DPO ci si è concentrati sul risparmio di spesa piuttosto che sulla verifica di una conoscenza specialistica della normativa e delle prassi sulla protezione dei dati e sulla capacità di assolvere i compiti di cui all’art. 39. E ciò è ancor più grave se si consideri che la specifica esperienza deve sussistere non solo all’atto della nomina ma deve proseguire per tutto il periodo dell’incarico (tanto che il GDPR, all’art. 38, prevede che debbano essere fornite al DPO le risorse necessarie per mantenere la propria conoscenza specialistica).
E la prova del fatto che la nomina del DPO sia, purtroppo, spesso vista come mero adempimento formale emerge proprio dal testo di molti bandi per l’individuazione e nomina del DPO. In tale situazione possono rientrare sia i casi in cui – senza considerare le responsabilità e la mole di compiti incombenti sulla figura del DPO – si preveda, a titolo di corrispettivo economico, una somma “fino a mille euro annui lordi e omnicomprensivi” o, ancora, ai casi in cui si richiedano al DPO una serie di adempimenti che determinerebbero, automaticamente, l’insorgere di una situazione di conflitto di interessi.
La caccia al massimo risparmio
La individuazione e successiva nomina del DPO, pertanto, non può (e non deve) basarsi esclusivamente su criteri di risparmio di spesa ma deve concentrarsi sulla verifica e sul successivo mantenimento delle elevate competenze richieste dal GDPR. A tal proposito, pertanto, pare doversi preferire al criterio del “massimo ribasso” quello dell’offerta “economicamente più vantaggiosa”. Per tale ragione una selezione del DPO che abbia quale unico criterio di scelta quello dell’offerta più bassa e nella quale, invece, le competenze siano relegate ad un’esperienza meramente di facciata (quale, ad esempio, l’aver partecipato a un corso di formazione di un paio d’ore) sfocerà, con tutta probabilità, in una nomina inefficace.
Il GDPR ha, infatti, tra i suoi obiettivi principali quello di rendere la tutela dei dati personali qualcosa di meno legata a sterili formalismi, e in tal senso, come detto, deve essere letto anche il principio di responsabilizzazione (o “accountability”) che richiede un’attenzione costante a tutti i profili della protezione dei dati personali. La nomina, come DPO, di un soggetto privo delle competenze specifiche richieste dal GDPR (la “misura” di tale competenze va determinata, caso per caso, in relazione ai trattamenti di dati effettuati dal titolare o dal responsabile oltre che alla protezione richiesta per i dati personali oggetto di trattamento) può integrare, quindi, un’ipotesi di nomina inefficace alla quale possono conseguire le sanzioni previste dall’art. 83, par. 4, del GDPR che prevede sanzioni pecuniarie amministrative fino a 10 milioni di euro. Nel caso delle Pubbliche Amministrazioni, pertanto, dovrebbero rientrare tra gli elementi necessari a valutare le competenze e l’esperienza specialistica del candidato, le pregresse esperienze e competenze in materia di amministrazione digitale e, ovviamente, in materia di trasparenza e attività di prevenzione della corruzione.
Scegliere una figura non indipendente
Un altro degli errori che si è riscontrato nella recente prassi (e in cui possono incorrere i titolari o i responsabili del trattamento) è quello legato a una scarsa attenzione alla indipendenza che deve necessariamente caratterizzare la figura del DPO.
Volendo schematizzare le ipotesi generali in cui possa dirsi assente tale caratteristica di indipendenza del DPO potremmo indicare, in primo luogo, il caso in cui il DPO riceva istruzioni, da parte del titolare o del responsabile del trattamento, per quanto riguarda lo svolgimento dei suoi compiti o, in secondo luogo, per la penalizzazione o la rimozione dall’incarico per aver svolto correttamente al suo incarico o, infine e in terzo luogo, per essersi trovato in una situazione di conflitto di interessi.
DPO e conflitto d’interessi
Ed è proprio quest’ultima situazione – ossia la omessa verifica di assenza di conflitti di interesse per i compiti e le funzioni svolte dal DPO – che, nella pratica, si verifica più spesso, contravvenendo così al dettato dell’art. 38, par. 6, del GDPR. In base a tale ultima norma, infatti, il titolare del trattamento o il responsabile del trattamento devono assicurarsi (non solo in fase di individuazione e nomina del DPO ma durante tutta la sua attività) che gli altri compiti e funzioni eventualmente svolti da chi è nominato come DPO non diano adito a un conflitto di interessi. Volendo ulteriormente esplicitare il concetto di “conflitto di interessi” occorre, cioè, che i compiti eventualmente svolti dal DPO non siano direttamente confliggenti con la protezione dei dati per conto del Titolare o del Responsabile. Uno dei primi elementi che porterebbero ad una situazione di conflitto di interessi consisterebbe proprio nel fatto che il DPO possa trovarsi a dover controllare delle situazioni da lui stesso determinate: quelle situazioni in cui, cioè, si trovi, allo stesso tempo, ad essere controllore e controllato. Anche queste situazioni di conflitto di interesse sono in grado di rendere sostanzialmente inefficace l’attività del DPO.
Alle medesime conclusioni, d’altronde, si giungerebbe prendendo a riferimento le figure che possiamo considerare omologhe al DPO (in quanto gli impianti normativi che li prevedono si occupano, allo stesso modo del GDPR, della prevenzione di un rischio) ossia (tra le tante) quella del Responsabile per la Prevenzione della Corruzione e Trasparenza (RPCT) nella disciplina anticorruzione o, ancora, dell’Organismo di Vigilanza (OdV) del D.Lgs. 231/2001. Con riferimento, infatti, ad un’ipotesi relativa alla posizione dell’OdV hanno avuto modo di pronunciarsi le Sezioni unite della Cassazione penale (sent. 38343/2014) statuendo che “la composizione dell’organismo di vigilanza è essenziale perché il modello possa ritenersi efficacemente attuato. Esso deve essere dotato di autonomi poteri di iniziativa e controllo. Ciò significa che deve sempre essere garantita l’autonomia dell’iniziativa di controllo da ogni forma di interferenza o di condizionamento […] Pertanto, le verifiche avrebbero riguardato l’operato di un dirigente chiamato ad essere il giudice di sé stesso e dotato di poteri disciplinari. L’accettazione di tale conflitto di interessi di cui si rese conto lo stesso ing. Tizio denota la propensione verso la configurazione del modello dell’organo di controllo in termini burocratici e di facciata e non di effettiva prevenzione dei reati”.
Conflitto d’interessi, le indicazioni dei garanti privacy
Con riferimento alla necessità di evitare i casi di conflitto di interesse l’Article 29 WP (nelle linee- guida) e il Garante per la protezione dei dati (nelle FAQ) hanno stilato un elenco delle situazioni-tipo in presenza delle quali è elevato il rischio di conflitto di interessi. Nel settore pubblico, ad esempio, si suggerisce di evitare di nominare quale DPO le figure apicali dell’amministrazione con capacità decisionali in ordine alle finalità e ai mezzi del trattamento, ivi compreso il responsabile IT (chiamato ad individuare le misure di sicurezza necessarie) e il responsabile dell’Ufficio di statistica.
Tuttavia, nella pur breve prassi, possiamo riscontrare tante ipotesi in cui le PA hanno delegato o nominato proprio i responsabili IT quali DPO. In altri casi l’incarico è stato dato al soggetto che si occupava già del sito istituzionale dell’ente o a soggetti che erano già nominati quali responsabili del trattamento.
E allora sarà determinante sia in fase di individuazione che di nomina del DPO prevedere regole chiare e specifiche relative anche alle situazioni di conflitto di interesse.
Negli ultimi mesi, inoltre, abbiamo assistito anche al fenomeno del rastrellamento di incarichi come DPO. Vi è da chiedersi, tuttavia, se chi abbia ricevuto numerosissimi incarichi come DPO sia effettivamente in grado di svolgere quei compiti che l’art. 39 del GDPR gli riserva. I titolari o i responsabili, a tal proposito, avrebbero ben potuto – nel contratto di nomina del DPO – individuare, tra le condizioni contrattuali necessarie a garantire l’effettività di adempimento ai compiti del DPO, un sistema per limitare il fenomeno dell’accaparramento incontrollato di incarichi a discapito della piena efficacia dell’attività del DPO.
Si segnala, infine, che il Garante ha pubblicato sul proprio sito istituzionale il modello da impiegarsi per la comunicazione (al Garante) della revoca dei dati del DPO. In tale documento, tra le ragioni della revoca della comunicazione dei dati del DPO, possono leggersi, oltre alla commissione di errori formali nella precedente comunicazione anche una sorta di “resipiscenza” da parte del Titolare o del Responsabile che erroneamente riteneva di essere soggetto all’obbligo di nomina del DPO ma, ancora più rilevante è l’ultima delle cause di revoca di comunicazione dei dati del DPO, ossia “altro”. In questo “altro” potranno rientrare svariate ipotesi tra le quali la revoca del DPO per violazione degli obblighi contrattualmente assunti o per impossibilità di garantire il rispetto degli impegni di cui all’art. 39 del GDPR.
In una situazione governata dalla relativa novità e dall’incertezza derivante dalla mancata pubblicazione del decreto legislativo di armonizzazione delegato dalla L. 163/2017 (decreto che peraltro poco o nulla potrà incidere sugli artt. 37 e ss. del GDPR), può comprendersi che non siano rari i casi in cui la nomina del DPO non sia stata perfettamente aderente allo spirito e ai principi del GDPR o alle linee-guida del Garante o dell’Art29 WP. Ciò nonostante ritengo che l’opera informativa del Garante e, in seguito, i suoi provvedimenti (anche sanzionatori) relativi alle nomine illegittime, condurranno a una “normalizzazione” applicativa e a un sempre più rigoroso stato di applicazione delle norme e dei principi a tutela degli interessi fondamentali.
