Come è noto il Regolamento Europeo 2016/679 ha introdotto anche in Italia la figura del Responsabile della Protezione dei Dati Personali (RPD) o Data Protection Officer (DPO).
Il DPO: un po’ di storia
All’entrata in vigore del Regolamento vi era scarsa percezione dell’importanza di questo “ruolo”. La nomina del Responsabile della protezione dei dati personali era spesso vista come uno dei tanti adempimenti resi obbligatori dal Regolamento Europeo, come altra “burocrazia” in più e costi aggiuntivi di cui non si percepiva il beneficio (ancor oggi qualcuno fa fatica a comprendere la giustificazione e il valore aggiunto che tale Funzione può portare negli enti pubblici e in quelli privati).
Spesso, in occasione dei primi eventi formativi, si faceva notevole fatica a spiegare e a far correttamente intendere non solo i compiti e le responsabilità del Responsabile della protezione dei dati personali, ma anche l’importanza “strategica” di questa figura all’interno del “sistema privacy” disegnato dal Regolamento Europeo.
Molte aziende avevano un atteggiamento fortemente critico nei confronti della nomina di un Responsabile della protezione dei dati personali che, in più di un’occasione, veniva considerata un inutile costo da sostenere senza alcun ritorno economico.
Non mancava neppure chi, essendosi occupato sino a quel momento di tutt’altra materia e possedendo scarsissime conoscenze nel trattamento dei dati personali, si improvvisasse Responsabile della protezione dei dati personali, perché costretto dal proprio datore di lavoro o perché convinto di intraprendere una nuova lucrativa professione, senza possedere né un’adeguata preparazione professionale né avendo valutato potenziali circostanze di conflitto di interesse.
Sembra che alcuni Responsabili siano sprovvisti, ancor oggi, di idonea copertura assicurativa professionale ad hoc e che questa non venga richiesta nei bandi pubblici o in occasione delle ricerche selettive da parte delle società private.
Tutto ciò dimostra come non si ritenga, al contrario, quanto fondamentale risulti essere supportati da Responsabili della protezione dei dati personali che abbiano un ampio ventaglio di competenze (in particolare giuridiche, informatiche ed organizzative) maturate sia direttamente, sia attraverso il supporto di collaboratori e di società specializzate nei vari ambiti.
Occorre pertanto che gli enti pubblici e le imprese considerino adeguatamente il fatto che i Responsabili della protezione dei dati personali aderiscano a dei network di professionisti della materia, in modo da avere l’opportunità di essere costantemente aggiornati e da poter interagire positivamente tra loro attraverso lo scambio delle reciproche esperienze.
Il DPO a oltre due anni dall'applicazione del GDPR
In questi primi due anni di applicazione della normativa europea e del Codice nazionale integrato e modificato, anch’esso nel 2018, si è registrato un aumento della sensibilità dell’opinione pubblica in ordine alle tematiche relative al trattamento dei dati personali, complici anche le numerose notizie relative a violazioni di dati personali verificatesi nel web, nelle piattaforme social, nonché in ambito assicurativo, bancario, sanitario, solo per citare alcuni esempi.
Proporzionalmente all’aumento di interesse e di considerazione per la materia, non sempre, però, si è registrata anche una analoga crescita di apprezzamento e attenzione per il ruolo del Responsabile della protezione dei dati personali.
In ambito aziendale solo di recente si è cominciato a considerare la figura del Responsabile della protezione dei dati personali alla stregua di qualsiasi altro professionista con il quale ogni impresa ha necessariamente a che fare nel corso delle sue attività (come per esempio il commercialista, il fiscalista, il consulente del lavoro, quello in materia di salute e sicurezza sui luoghi di lavoro).
Occorre finalmente approdare alla considerazione circa l’opportunità e la convenienza di potersi giovare di un professionista di elevato standing per affrontare correttamente non solo le problematiche derivanti da eventuali violazioni della sicurezza dei dati, ma, in generale, per approcciarsi correttamente alle tematiche privacy, anche alla luce delle sanzioni che i Garanti Europei per la protezione dei dati personali hanno iniziato a stabilire.
Il Responsabile della protezione dei dati personali deve quindi diventare il punto di riferimento per enti e imprese al quale rivolgersi allo scopo di chiedere conferme sulla correttezza e sulla validità di scelte che il Regolamento Europeo – in ossequio al principio dell’accountability – ha lasciato in capo al solo Titolare del trattamento.
È quindi fondamentale che la Pubblica Amministrazione e le aziende percepiscano il Responsabile della protezione dei dati personali non solo come il soggetto (la Funzione) che vigila sul loro sistema di gestione della “privacy”, o per meglio dire della “protezione dei dati personali”, ma anche come il soggetto/funzione che li supporta e li indirizza adeguatamente sin dalla fase della progettazione, nel caso di erogazione di servizi o di svolgimento di attività che comportino trattamento di dati personali.
Essere responsabile della protezione dei dati personali oggi
A distanza di quattro anni dall’entrata in vigore del Regolamento Europeo e da due dalla sua applicabilità sta anche finalmente cambiando la figura dei Responsabili della protezione dei dati personali.
Chi si era improvvisato in tale ruolo convinto di avere trovato una nuova lucrativa professione oppure un angolo dove trovare uno spazio di occupazione lavorativa (a costo di accettare incarichi di RPD con compensi assolutamente inadeguati alla quantità e qualità degli impegni e alle correlate responsabilità), ha dovuto affrontare la dura realtà: Responsabile della protezione dei dati personali non ci si improvvisa, occorre studiare, formarsi, approfondire, stare costantemente “sul campo”.
Il continuo aggiornamento del RPD, basato su teoria ed esperienza pratica, genera la effettiva ed efficace capacità di individuare, prima che si trasformino in eventi di danno, i rischi e le criticità ai quali sono potenzialmente sottoposti tutti i trattamenti dei dati personali.
Oggi la figura del Responsabile della protezione dei dati personali è, più che mai, in prima linea accanto a tutti i soggetti protagonisti del mondo privacy per garantire il corretto trattamento dei dati personali ed affrontare le sfide che lo sviluppo tecnologico quotidianamente ci sottopone.
Il fatto che nell’opinione pubblica si stia sviluppando una maggiore consapevolezza e conoscenza della normativa in materia di trattamento dei dati personali, dove il DPO è correttamente percepito come l’interfaccia e il canale di comunicazione diretto tra Interessati e Titolari del trattamento, rende ancor più libera la nomina di Responsabili della protezione dei dati personali con elevati livelli di competenze professionali e relazionali.
A tal fine appare necessario ricordare che nel titolo del Regolamento 2016/679, il GDPR, nel testo rilevante ai fini del SEE, c’è scritto che l’applicazione della norma europea ha le finalità sia della protezione delle persone fisiche con riguardo al trattamento dei dati personali nonché della libera circolazione di tali dati.
Questo Responsabile nel controllare, suggerire, dare i propri pareri, sensibilizzare alla formazione delle regole poste dai legislatori europeo e nazionale, nell’essere il punto di contatto con il Garante Privacy, altro non fa che proteggere le persone da trattamenti illeciti dei loro dati personali ma non solo: sarà un facilitatore della libera circolazione dei dati stessi.
Ecco i due elementi che costituiscono l’effettivo valore aggiunto che il Responsabile può (deve) offrire alla Pubblica Amministrazione.
Basta leggere alcuni bandi di gara che a tutt’oggi vengono emanati e dalla quale lettura si possono dedurre due spiacevoli considerazioni: o coloro che lo hanno redatto ignorano la normativa per la cui applicazione il bando stesso è stato adottato oppure, pur conoscendola, sottovalutano i compiti e le responsabilità del RPD. In entrambi i casi sono evidenti gravi indizi di inadeguata applicazione di norme tra l’altro obbligatorie per tutta la Pubblica Amministrazione e ciò, a distanza di oltre 4 anni dalla pubblicazione del Regolamento europeo in GUUE, appare davvero sconfortante e non di buon esempio per tutti gli altri soggetti che devono fare i conti con tali leggi e provvedimenti del Garante.
Questo valore aggiunto è attribuibile anche a tutti gli enti che compongono il mondo privato.
La sanzione inflitta da un Garante europeo per aver riconosciuto un evidente conflitto di interessi nella nomina di un DPO da parte di una società conferma che anche la galassia dei privati “gode” di ampi spazi di miglioramento.
Tutto questo potrà avvenire solo avendo profonda conoscenza delle tematiche giuridiche, tecniche ed organizzative che costituiscono le fondamenta della protezione dei dati personali e la loro libera circolazione e con il riconoscimento di tali professionalità da coloro che intendono avvalersi (o che debbono farlo) delle prestazioni di un RPD/DPO.
Questo riconoscimento non solo deve evidenziarsi collocando al posto giusto il RPD nella organizzazione dell’ente al pari di tutte le altre Funzioni ma anche attraverso adeguati compensi.
Compensi professionali che, posto che l’oro di questi anni e di quelli che verranno si identifica nei dati personali di qualche miliardo di persone nel mondo interconnesso, avranno una spiccata redditività economico-finanziaria permettendo agli enti di acquisire competitività sui mercati sia in reputazione sia negli affari aziendali veri e propri.
Un RPD, quindi, non sarà cercato e assunto da Titolari e/o Responsabili del trattamento solo per il timore di essere un giorno controllati e magari anche sanzionati dall’Autorità Garante in sede ispettiva (che può essere comprensibile, certo), ma in particolare per la funzione di Compliance di assoluta centralità alle grandi trasformazioni che il Pubblico e il Privato sono chiamati a porre in essere.
Questa funzione è fondamentale visto il ritardo accumulato e anche per le “criticità” sociali, intellettuali e culturali che, spesso, vengono palesate nel non collocare al centro delle loro azioni le Persone e tutto ciò che ad esse appartiene come appunto i rispettivi dati personali.