Il Data Protection Officer (DPO) è qualcosa di più e di diverso da un semplice consulente privacy del Titolare. Infatti, come è stato ribadito anche in un recente convegno da autorevoli membri del Collegio e dell’Ufficio del Garante, la funzione del DPO ha un rilievo pubblicistico.
Andiamo allora a esplorare la portata pratica di quest’affermazione, ricordando regole note e prassi ormai diffuse, per poi spostarsi su nodi ulteriori che affiorano da un’interpretazione sistematica.
Le differenze tra DPO e consulente privacy
La diversità di postura fra DPO e consulente privacy è ben chiara nella coscienza professionale di coloro che, come chi scrive questo articolo, hanno rivestito la funzione di DPO negli ultimi cinque anni. Un consulente ha la responsabilità professionale di spiegare al suo cliente i rischi in cui incorre qualora – nella progettazione e/o nell’esecuzione di operazioni di trattamento di dati personali – violi le prescrizioni normative; tuttavia, una volta chiariti al suo cliente i rischi, può aiutarlo a costruire soluzioni che si discostano dalla lettera o dallo spirito del GDPR e della normativa nazionale e dell’interpretazione che ne dà l’Autorità (in Italia, il Garante). Viceversa, ai sensi dell’art. 38.3 del GDPR, un DPO deve svolgere la sua funzione in autonomia, senza essere condizionato dal Titolare o dal Responsabile.
In concreto, ciò significa che il DPO è vincolato dalla norma alla tutela dei diritti e delle libertà degli interessati; pur non potendo imporre il suo punto di vista al Titolare o al Responsabile quando questi devono decidere, è tenuto a documentarlo; inoltre, non può aiutare il Titolare o il Responsabile a costruire soluzioni che violino il GDPR o norme nazionali.
Qualora lo facesse, esporrebbe, ai sensi dell’art. 83.4, lettera a) del GDPR:
- il suo cliente (o il suo datore di lavoro) a una sanzione pecuniaria per il solo fatto di essersi avvalso di un DPO condizionabile, che non ha fatto bene il suo dovere;
- sé stesso a responsabilità professionale (se DPO esterno) o a conseguenze di carriera (se DPO interno).
Molte altre norme largamente conosciute confermano la netta differenza fra DPO e mero consulente privacy: i dati di contatto del DPO devono essere pubblicati e comunicati all’Autorità di controllo (art. 37.7 del GDPR); pur potendo svolgere altri compiti e funzioni, il DPO non deve trovarsi in condizione di conflitto d’interessi (art. 38.6 del GDPR); il DPO è incaricato di sorvegliare l’osservanza del GDPR e delle norme nazionali da parte dell’ente che lo ha designato (art. 39.1, lettera b) del GDPR); il DPO deve cooperare con l’Autorità di controllo (art. 39.1, lettera d) del GDPR) nonché fungere da punto di contatto per l’Autorità per questioni connesse al trattamento (tra cui la consultazione preventiva relativamente a una Valutazione d’impatto), ed effettuare, se del caso, consultazioni relativamente a qualunque altra questione (art. 39.1, lettera e) del GDPR).
L’essere il “naturale” interlocutore del Garante in caso di ispezione o di consultazione preventiva rende il DPO più esposto anche sul versante penale. Infatti, ai sensi dell’art. 168 del Codice privacy “salvo che il fatto costituisca più grave reato, chiunque, in un procedimento o nel corso di accertamenti dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi, è punito con la reclusione da sei mesi a tre anni”. È vero che questo reato può essere commesso da chiunque e non è proprio del DPO, ma è anche vero che, su un piano fattuale, è il DPO (ove nominato) a relazionarsi più spesso col Garante.
Il rilievo pubblicistico della funzione del DPO
Nel nostro ordinamento, non è una novità il rilievo pubblicistico di funzione privatistiche svolte da esercenti una specifica professione o da dipendenti di uno specifico ente privatistico in virtù di un contratto di lavoro. È indubbio, ad esempio, il rilievo pubblicistico delle funzioni attribuite a professionisti come gli avvocati e i revisori contabili; altrettanto lo è talora, nel rapporto d’impiego privato, quello di funzioni attribuite a persone che hanno un rapporto di servizio con società partecipate da amministrazioni pubbliche.
Per il DPO, occorre capire se il rilievo pubblicistico della funzione si limiti a quanto evincibile dalle norme in materia di protezione dei dati personali citate, o possa assumere, in alcuni casi, una consistenza ulteriore. Questo potrebbe accadere qualora esistesse un collegamento sistematico fra ciò che deriva dalle norme speciali e quanto disciplinato in via generale nel nostro ordinamento con riferimento a figure di questo tipo.
Il perimetro della responsabilità penale
È intuibile che il perimetro nel quale ci muoviamo è quello della responsabilità, in particolare di quella penale. Dobbiamo chiederci se un DPO risponde in sede penale soltanto quando “dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi” al Garante, o, in virtù di altre norme, anche in altri casi. Per rispondere alla domanda, occorre fare i conti con due norme del Codice penale: l’art. 359 e l’art. 481.
Secondo l’art. 359 C.p., “agli effetti della legge penale, sono persone che esercitano un servizio di pubblica necessità: 1) i privati che esercitano professioni forensi o sanitarie, o altre professioni il cui esercizio sia per legge vietato senza una speciale abilitazione dello Stato, quando dell’opera di essi il pubblico sia per legge obbligato a valersi; 2) i privati che, non esercitando una pubblica funzione, né prestando un pubblico servizio, adempiono un servizio dichiarato di pubblica necessità mediante un atto della pubblica Amministrazione“.
Il DPO non rientra nella fattispecie 1). Infatti, il DPO è, sì, obbligatorio per le categorie indicate dall’art. 37. 1 del GDPR, ma non deve avere “una speciale abilitazione dello Stato”; semplicemente, deve essere “designato in funzione delle qualità professionali, in particolare della conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati, e della capacità di assolvere i compiti” (art. 37.5 del GDPR).
Sulla fattispecie 2), il discorso è più aperto. La chiave di volta risiede nella dichiarazione di pubblica necessità. Posto che essa deve avvenire mediante un atto della Pubblica Amministrazione (P.A.), occorre che sia esplicita, o può essere implicita? Vale a dire: per considerare determinati professionisti/operatori come persone che svolgono un servizio di pubblica necessità è necessario che l’atto della P.A. abbia espressamente qualificato quel servizio come di pubblica necessità, o è sufficiente che l’atto della P.A. abbia previsto o autorizzato quel servizio, mentre la consonanza di esso con la pubblica necessità può essere implicita?
DPO, cosa deve fare una PA per conformarsi al GDPR
Fra le tre categorie di enti che sono tenute a nominare il DPO, ce n’è una che è non obbligata alla designazione per elementi oggettivi del trattamento dei dati personali che effettua (le finalità, i dati trattati, elementi dimensionali o di reiterazione dello stesso) ma per elementi soggettivi. Infatti, ai sensi dell’art. 37.1, lettera a) del GDPR, il Titolare e il Responsabile devono sistematicamente designare un DPO ogniqualvolta “il trattamento è effettuato da un’autorità pubblica o da un organismo pubblico”. Per essere conforme al GDPR, ogni singola P.A. è tenuta a scegliere un proprio funzionario come DPO interno oppure ad avviare (nelle forme previste dal diritto amministrativo) una selezione per un DPO esterno, affidargli poi la funzione con un contratto di servizi e porlo in condizione di svolgere le sue funzioni nel rispetto degli articoli 37-39 del GDPR.
Visto l’obbligo dell’art. 37.1, lettera a) del GDPR, appare ragionevole affermare che l’atto della P.A. che rende possibile l’espletamento del servizio DPO ne dichiari sia pur implicitamente la natura di “pubblica necessità”.
Le responsabilità del DPO nelle attività di controllo
A questo punto, sorge una seconda domanda, e cioè se ai DPO del settore pubblico si applichi l’art. 481 C.p. Secondo questa norma, “chiunque, nell’esercizio di una professione sanitaria o forense, o di un altro servizio di pubblica necessità, attesta falsamente, in un certificato, fatti dei quali l’atto è destinato a provare la verità, è punito con la reclusione fino a un anno o con la multa da euro 51 a euro 516”. L’unico caso in cui il GDPR prevede un “certificato“ è quello del meccanismo di certificazione dell’art. 42 (ulteriormente normato a livello nazionale), che però non sembra tarato sul settore pubblico e che prevede precise garanzie ed oneri a carico degli enti che erogano la certificazione. Viceversa, dobbiamo capire se fra i documenti previsti dal GDPR ve ne sono alcuni – tendenzialmente affidati ai DPO – che servono a “provare la verità” di fatti, e che quindi possono indirettamente rientrare in una nozione di “certificato“ in senso ampio, come attestazione.
Ad avviso di chi scrive, sarebbe abnorme attribuire natura di “certificato“, della cui veridicità il DPO del settore pubblico risponde ai sensi dell’art. 481 C.p., a documenti che il GPDR pone a carico del Titolare e che nella prassi vengono spesso gestiti dal Titolare con il supporto del DPO, come il registro dei trattamenti (art. 30 del GDPR) e il registro delle violazioni dei dati personali (art. 33.5 del GDPR). Infatti, in questi casi il contributo del DPO alla gestione dell’adempimento è figlio di un’esigenza organizzativa, non del suo ruolo indipendente.
Viceversa, il problema potrebbe porsi per attività che il GDPR assegna al DPO per le quali a valle delle attività del DPO è prodotto un documento che dovrebbe avere il valore di un’attestazione di fatti che ha da essere veritiera in quanto compiuta in virtù di competenze specialistiche e di una funzione indipendente.
Ad esempio, l’art. 39.2, lettera b) del GDPR pone a carico del DPO il compito di sorvegliare l’osservanza del GDPR e parla espressamente di “attività di controllo”. Il report delle attività di vigilanza di un DPO nel settore pubblico sembra avere tutte le caratteristiche di un documento che deve “provare la verità” di fatti, e che quindi può indirettamente rientrare in una nozione di “certificato“ nel senso ampio di attestazione.
Ancora, l’art. 39.2, lettera c) del GDPR pone a carico del DPO il compito di “fornire, se richiesto, un parere in merito alla valutazione d’impatto”. Se un soggetto pubblico Titolare descrivesse nella valutazione d’impatto (o “DPIA”) circostanze non veritiere e se il DPO le asseverasse in un suo parere, potremmo essere di fronte a una falsità ideologica in certificati commessa da persone esercenti un servizio di pubblica necessità.
Il livello di esposizione maggiore rimane quello per il più grave reato di falsità nelle dichiarazioni al Garante, astrattamente realizzabile tanto dai DPO (sia del settore pubblico che del settore privato) quanto da chiunque (legale rappresentante, dirigente, consulente, privacy manager, operatore, ecc.), fornisca dichiarazioni false in sede di ispezione o di procedimento. Tuttavia, in concreto, non è da sottovalutare – per il settore pubblico – l’esistenza di un presidio penale aggiuntivo, anche sul fronte della falsità ideologica. Astrattamente, un DPO di una P.A. potrebbe trovarsi a non dichiarare il falso al Garante (magari perché in sede ispettiva non gli sono state poste domande specifiche su un audit svolto o su un parere da lui reso a valle di una DPIA), e tuttavia a dover rispondere ai sensi dell’art. 481 C.p. per ciò che ha dichiarato nel report di audit o nel parere sulla DPIA.
Conclusioni
In conclusione, nel nostro ordinamento, il rilievo pubblicistico della funzione del DPO sembra essere duplice: da un lato, quello “generale” derivante dalle norme del GDPR e del Codice privacy; b) dall’altro, quello “specifico”, applicabile ai DPO del settore pubblico, derivante dal combinato disposto di GDPR e Codice privacy da un lato, e art. 359 C.p. e art. 481 C.p. dall’altro. Il punto b) genera qualche perplessità, perché foriero di un “doppio binario” (sul fronte della responsabilità) fra DPO del settore pubblico e DPO del settore privato che non sembra del tutto in linea con l’impostazione del GDRP (che non fa differenze fra DPO di settore pubblico e settore privato). Tuttavia, stando alla normativa vigente, una differenza pare esserci.
