Chi è il DPO

Il Regolamento Generale sulla Protezione dei dati personali, Regolamento UE 2016/679 (o GDPR: General Data Protection Regulation), ha introdotto la figura del Responsabile della Protezione dei Dati (RPD o più notoriamente DPO: Data Protection Officer). Ha definito chi è il DPO, ovvero un professionista con competenze giuridiche, informatiche e manageriali, che ha il compito di affiancare il titolare del trattamento o il responsabile del trattamento, nell’attuazione e nel rispetto del GDPR, dovendo essere sempre tempestivamente coinvolto in tutte le questioni relative alla protezione dei dati.

Chi è il DPO?

La disciplina che regola questa nuova figura professionale è contenuta negli artt. 37-39 del GDPR. Come vedremo meglio nel prosieguo, le sue funzioni principali sono quelle di informare, sorvegliare, fornire pareri, cooperare e fungere da punto di contatto con l’autorità di controllo.

Il DPO, quindi, può essere definito come una figura ibrida, ovvero un consulente, sia in ambito tecnico informatico, sia in ambito legale, che tuttavia svolge anche un ruolo più diretto ed esecutivo per quanto concerne i rapporti con l’autorità di controllo e la vigilanza sull’osservanza del GDPR. Egli, in sostanza, ha un doppio ruolo, uno più prettamente consulenziale, l’altro di vigilanza e cooperazione con l’autorità.

Proprio in virtù di questo suo doppio ruolo, che lo differenzia da un mero consulente, il DPO deve essere indipendente e deve interloquire direttamente con i soggetti apicali dell’azienda.

Quali sono i compiti del DPO?

L’art. 39 del GDPR definisce i compiti minimi che il DPO deve svolgere, ovvero:

  • informare e fornire consulenza al titolare del trattamento o al responsabile del trattamento nonché ai dipendenti che eseguono il trattamento in merito agli obblighi derivanti dal presente regolamento nonché da altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati;
  • sorvegliare l’osservanza del presente regolamento, di altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati nonché delle politiche del titolare del trattamento o del responsabile del trattamento in materia di protezione dei dati personali, compresi l’attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo;
  • fornire, se richiesto, un parere in merito alla valutazione d’impatto sulla protezione dei dati e sorvegliarne lo svolgimento ai sensi dell’articolo 35;
  • cooperare con l’autorità di controllo;
  • fungere da punto di contatto per l’autorità di controllo per questioni connesse al trattamento, tra cui la consultazione preventiva di cui all’articolo 36, ed effettuare, se del caso, consultazioni relativamente a qualunque altra questione.

È utile sottolineare che la norma individua i compiti minimi che il DPO deve svolgere, ciò significa che il titolare del trattamento o il responsabile del trattamento possono assegnargli anche altri compiti. Questa affermazione trova poi conferma all’art. 38 par. 6 del GDPR, il quale testualmente recita: “il responsabile della protezione dei dati può svolgere altri compiti e funzioni”.

Inoltre, nell’eseguire i propri compiti chi è il DPO deve considerare debitamente i rischi inerenti al trattamento, tenuto conto della natura, dell’ambito di applicazione, del contesto e delle finalità del medesimo (art. 39 par. 2 del GDPR).

Con tale disposizione il GDPR indica al DPO una metodologia di lavoro che deve tenere sempre al centro quelli che sono i rischi relativi al trattamento dei dati, fornendo anche i criteri sulla base dei quali valutarli.

In sostanza, come affermato dal Gruppo di Lavoro Articolo 29 (WP 243/16), si chiede al DPO di dare un ordine di priorità alle questioni che presentino maggiori rischi in termini di protezione dei dati, rispetto a quelle con un livello di rischio comparativamente inferiore, pur ovviamente senza trascurare queste ultime. Ciò al fine di rendere più facile il compito del DPO nel consigliare al titolare del trattamento, o al responsabile del trattamento, la metodologia da seguire nella valutazione d’impatto, a quali settori riservare un audit interno o esterno in tema di protezione dei dati, quali attività di formazione interna adottare, a quali trattamenti dedicare maggiori risorse e tempo.

Quando è obbligatorio nominare il DPO?

L’art. 37, stabilisce 3 casi in cui la nomina del DPO è obbligatoria per adeguarsi al GDPR. Ciò in particolare quando:

  • il trattamento è effettuato da un’autorità pubblica o da un organismo pubblico, eccettuate le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali;
  • le attività principali del titolare del trattamento o del responsabile del trattamento consistono in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala; oppure
  • le attività principali del titolare del trattamento o del responsabile del trattamento consistono nel trattamento, su larga scala, di categorie particolari di dati personali di cui all’articolo 9 o di dati relativi a condanne penali e a reati di cui all’articolo 10.

Quanto al primo caso, stante la mancanza di una definizione di autorità pubblica nel GDPR, è necessario rifarsi al diritto nazionale, conseguentemente, devono considerarsi autorità pubbliche o organismi pubblici le autorità nazionali, regionali e locali ma, a seconda del diritto nazionale applicabile, anche tutta una serie di altri organismi di diritto pubblico.

Quanto al secondo caso, il concetto di “attività principale” deve essere assimilato a quello di core business dell’azienda. Il Gruppo di Lavoro Articolo 29 nelle linee guida adottate sul DPO, ha precisato che “con “attività principali” si possono intendere le operazioni essenziali che sono necessarie al raggiungimento degli obiettivi perseguiti dal titolare del trattamento o dal responsabile del trattamento, comprese tutte quelle attività per le quali il trattamento dei dati è inscindibilmente connesso all’attività del titolare del trattamento o del responsabile del trattamento”.

L’attività di monitoraggio comprende tutte le attività di tracciamento e profilazione sia online che offline. Secondo il Gruppo di Lavoro Articolo 29, tale attività è “regolare” quano è fatta in modo continuo o comunque ad intervalli definiti in un arco di tempo preciso ricorrente o ripetuto a intervalli costanti, o, ancora, che avviene in modo costante o a intervalli periodici.

L’attività è invece “sistematica” se avviene per sistema, in modo predeterminato, organizzato o metodico, se ha luogo nell’ambito di un progetto complessivo di raccolta di dati, o se è svolta nell’ambito di una strategia.

Per valutare, poi, se il trattamento è su “larga scala”, sempre secondo il Gruppo di Lavoro Articolo 29, si devono tenere in considerazione alcuni parametri, quali il numero degli interessati coinvolti (in termini assoluti o in percentuale rispetto alla popolazione di riferimento); il volume dei dati e/o le diverse tipologie di dati trattati; la durata o la persistenza del trattamento; la portata geografica del trattamento.

Quanto al terzo caso, definiti come sopra i concetti di “attività principale” e “trattamento su larga scala”, occorre precisare quali sono le categorie particolari di dati personali. La loro enunciazione si trova nell’art.9, par.1, GPDR: e corrispondono sonoi dati relativi all’origine razziale o etnica, alle opinioni politiche, alle convinzioni religiose o filosofiche, l’appartenenza sindacale, inoltre, vi rientrano i dati genetici, i dati biometrici, i dati relativi alla salute o alla vita sessuale o all’orientamento sessuale. Si tratta delle categorie di dati definiti dalla normativa previgente sensibili, poichè meritevoli di specifica protezione.

Quali sono i requisiti del DPO?

Preliminarmente occorre sottolineare che ad oggi non esiste per legge alcun particolare titolo abilitante a svolgere il ruolo di DPO, né sono richieste specifiche certificazioni. Tuttavia, ciò non significa che non abbiano un ruolo determinante le competenze ed i titoli acquisiti, nonché l’esperienza maturata.

Infatti, come si evince dal GDPR, il DPO deve essere un professionista designato per le sue qualità professionali, in particolare per la conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati, e della capacità di assolvere i suoi compiti, delineati dall’art. 39 (art. 37 par. 5 del GDPR).

Il Garante privacy afferma, in proposito, che il DPO “deve poter offrire, con il grado di professionalità adeguato alla complessità del compito da svolgere, la consulenza necessaria per progettare, verificare e mantenere un sistema organizzato di gestione dei dati personali, coadiuvando il Titolare nell’adozione di un complesso di misure (anche di sicurezza) e garanzie adeguate al contesto in cui è chiamato a operare”.

Partendo da quanto stabilito dal GDPR, si possono individuare alcuni “requisiti” necessari a svolgere correttamente le funzioni di Responsabile delle Protezione dei dati.

Innanzitutto, chi è il DPO deve possedere, come detto, una buona conoscenza della normativa e delle prassi in materia di protezione dei dati personali, oltre alle conoscenze sulle tecnologie informatiche e sulle misure di sicurezza dei dati. Inoltre, deve avere conoscenze circa le operazioni di trattamento svolte, lo specifico settore di attività e l’organizzazione del titolare del trattamento, o del responsabile del trattamento, nonché la capacità di promuovere la cultura della protezione dei dati all’interno dell’organizzazione del titolare o responsabile.

Inoltre, il DPO deve essere indipendente, per poter svolgere correttamente le proprie funzioni senza subire pressioni o condizionamenti. Nel considerando 97 del GDPR si legge che “tali responsabili della protezione dei dati, dipendenti o meno del titolare del trattamento, dovrebbero poter adempiere alle funzioni e ai compiti loro incombenti in maniera indipendente”. Poi, più dettagliatamente, l’art. 38 par. 3 stabilisce che il DPO non deve ricevere istruzioni per l’esecuzione dei propri compiti, non deve essere penalizzato o rimosso per l’adempimento dei propri compiti e riferisce direttamente al vertice gerarchico dell’azienda.

L’indipendenza del DPO è maggiormente a rischio laddove questi sia nominato all’interno dell’azienda, come è consentito dal GDPR (art. 37 par. 6). Proprio per tale motivo, nel caso di DPO interno, il Garante Privacy ritiene preferibile la nomina di una figura di livello dirigenziale, che è meno soggetta a subire condizionamenti.

Altro fondamentale requisito, previsto dal GDPR, è l’assenza di conflitto di interessi con eventuali ulteriori compiti e funzioni che il DPO può essere chiamato a svolgere dal titolare del trattamento o dal responsabile del trattamento. Ciò significa che il DPO non può rivestire, all’interno dell’organizzazione del titolare del trattamento o del responsabile del trattamento, un ruolo che comporti la definizione delle finalità o delle modalità di trattamento dei dati personali.

Inoltre, proprio per consentire al DPO di svolgere pienamente i propri compiti, questi deve essere sostenuto dal titolare del trattamento, o dal responsabile del trattamento, il quale deve fornirgli le risorse necessarie allo svolgimento dei compiti, l’accesso ai dati personali e ai trattamenti e il supporto per mantenere la propria conoscenza specialistica (art. 38 par. 2 GDPR).

Sono importanti, poi, le capacità manageriali per poter fornire consulenza sulle politiche in materia di protezione dei dati personali e sull’attribuzione delle responsabilità all’interno dell’azienda titolare del trattamento o del responsabile del trattamento, che in molti casi può essere costituita da realtà molto strutturate e complesse a livello organizzativo. Il DPO deve, quindi, conoscere a fondo l’azienda e le sue dinamiche, nonché i rapporti contrattuali che questa intrattiene.

Conclusioni

Come abbiamo visto, la figura del DPO, presente nelle legislazioni di altri Stati europei, ma non in Italia, riveste un ruolo decisivo nell’ambito del trattamento dei dati fungendo, essenzialmente, da guida per le organizzazioni e da punto di contatto tra esse e l’autorità di controllo.

Attualmente, il mercato dei DPO è veramente molto variegato: dall’entrata in vigore del GDPR ad oggi si sono verificate, in numerose occasioni, ipotesi di nomine di DPO del tutto privi delle competenze specialistiche richieste dal GPDR, così come sono stati numerosi i casi di nomina di soggetti interni alle organizzazioni, che si trovano in chiaro conflitto di interessi (es. nomina a DPO di componenti del Cda, nelle pubbliche amministrazioni, nomine conferite a soggetti privi di qualsivoglia competenza specialistica e posti in posizioni subordinate, chiaramente privi di autonomia).

Questo è accaduto poichè vi è stata l’urgenza di adeguarsi, purtroppo solo formalmente, alla nuova normativa, in un contesto, però, di scarsa sensibilità sul tema.

Al momento sono poche le pronunce in argomento: non risultano essere stati adottati provvedimenti sanzionatori da parte dell’Autorità Garante, per nomine inadeguate, mentre la giustizia amministrativa ha avuto modo di specificare come il DPO debba avere delle competenze giuridiche. Inoltre, vi è stata una delibera ANAC del maggio scorso che ha fornito indicazioni circa la durata degli incarichi conferiti a queste figure professionali.

Al momento, dunque, vi è estrema fluidità nel mercato, sia in termini di competenze dei professionisti che offrono le proprie prestazioni, sia di compensi per l’espletamento dell’incarico.
Accade, purtroppo, molto spesso di leggere di professionisti che si definiscono “DPO certificato”, pur non esistendo, al momento, una certificazione ad hoc per l’incarico in commento.
L’auspicio è quello che con il tempo il contesto si stabilizzi e si delinei in modo chiaro il profilo di tale professionista, in modo da consentire alle organizzazioni di individuare con maggior facilità il soggetto a cui affidare un incarico così delicato.

Avv. William Dispoto