Gli incarichi del Data Protection Officer

Articolo header

Lo scorso 25 maggio, il Regolamento (UE) 2016/679 (il “Regolamento” o “Reg.”) ha compiuto due anni. E’, quindi, tempo per guardare alla funzione del Responsabile della Protezione dei Dati Personali sulla base dell’esperienza maturata nel corso di questo primo biennio (il “Data Protection Officer” o “DPO” oppure “RPD”).

SOMMARIO

  1. La poliedricità del DPO.
  2. Il DPO tra obblighi di sorveglianza e di consulenza.
  3. DPO e conflitto di interessi nello svolgimento del proprio incarico.
  4. L’indipendenza del DPO.
  5. DPO e DPIA.
  6. Le ulteriori funzioni del DPO.
  7. L’incarico di DPO in periodo di covid-19.
  8. Il DPO e la cultura aziendale in materia di protezione dei dati personali.

E, a tal fine, è opportuno partire proprio dagli incarichi che il DPO è tenuto a svolgere.

LA POLIEDRICITÀ DEL DPO

Solo un’attenta disamina degli obblighi previsti a carico del DPO, ai sensi del Regolamento, consente, infatti, di comprendere appieno le complessità che tale ruolo comporta, sotto diversi profili:

  • sotto il profilo organizzativo, nell’inquadramento aziendale;
  • sotto il profilo operativo, attraverso lo svolgimento di compiti eterogenei;
  • sotto il profilo relazionale, nell’interpretazione dei rapporti con il preponente, sia esso Titolare o Responsabile del trattamento nonché, se chiamato in causa, dei rapporti con gli interessati.

Il quadro è ulteriormente complicato dalla circostanza che il ruolo può essere svolto individualmente o collegialmente; da risorse interne all’azienda o all’ente pubblico o da un professionista o un team di professionisti esterni.

Si tratta, quindi, di una figura necessariamente poliedrica, di difficile inquadramento tra le categorie note.

IL DPO TRA OBBLIGHI DI SORVEGLIANZA E DI CONSULENZA

Il DPO è, infatti, chiamato ad assolvere contemporaneamente – con riguardo ad una corretta applicazione del Regolamento - funzioni di controllo e funzioni di supporto, consultive, formative ed informative.

Per quanto il compito di sorvegliare la corretta osservanza del Regolamento è, forse, quello che rappresenta una miglior sintesi tra le diverse funzioni che il DPO è chiamato ad assolvere, sarebbe errato ridurre il DPO ad un ruolo di mero controllo, equiparandolo – seppur limitatamente ai profili privacy e della protezione dei dati personali – al Collegio Sindacale o ad una funzione di Internal Audit.

Il DPO è molto altro: è obbligato, infatti, a svolgere in favore del Titolare anche attività di assistenza e consulenza, seppur nel rispetto del proprio ruolo ed evitando condotte che possano generare conflitti di interesse o minare la propria indipendenza.

Questo è, probabilmente, il profilo di più difficile interpretazione. È corretta, infatti, un’attività di indirizzo volta ad individuare soluzioni compliant con il Regolamento e di segnalazione i profili di rischio. Evidentemente non in linea con il ruolo del DPO sarebbe, invece, l’assunzione di decisioni per conto dell’ente o lo svolgimento di attività di natura manageriale, con implicazioni sotto il profilo della privacy e della protezione dei dati.

Con una recente decisione di natura sanzionatoria a carico del Titolare del trattamento, resa in data 28 aprile 2020, l’Autorità di Controllo belga ha ritenuto che la nomina in qualità di DPO del Responsabile del dipartimento Compliance, Risk Management e Audit rappresentasse una violazione dei requisiti di indipendenza prescritti dal Regolamento. In particolare, l’Autorità belga ha osservato: 

  • che, il Responsabile della funzione di audit interno ha il potere decisionale in merito al licenziamento dei dipendenti; e
  • che, nella sua qualità di capo dei dipartimenti Compliance, Risk Management e Audit, la persona nominata DPO della società determina le finalità e le modalità del trattamento dei dati personali che si svolgono nel contesto di tali dipartimenti e, per tale motivo, è Responsabile delle relative attività di trattamento.

L’Autorità belga ha ritenuto, quindi, che tale ruolo non fosse compatibile con i requisiti di indipendenza del DPO prescritti dal Regolamento, osservando anche che la circostanza in base alla quale il dipartimento Compliance, Risk Management e Audit svolga un ruolo meramente consultivo in relazione agli altri dipartimenti aziendali e, come tale, non abbia poteri decisionali rispetto ad attività di trattamento dei dati aziendali, ciò non implica necessariamente che i compiti dell'individuo in qualità di capo di questi dipartimenti siano compatibili con i suoi compiti di DPO.

Tale decisione, a prescindere dal merito, è sicuramente interessante perché pone l’attenzione su due importanti profili: (i) il DPO non deve esercitare poteri gestori; (ii) il DPO non deve assumere decisioni concernenti il trattamento di dati personali in ambito aziendale.

A ciò va aggiunto che il DPO non può essere una figura soggetta a vincoli di dipendenza nello svolgimento del proprio incarico. L’indipendenza del DPO - in base all’articolo 39, paragrafo 2, Reg. – si estrinseca, infatti, sin dal momento dell’assunzione del proprio incarico. Il DPO è chiamato, infatti, a definire una scala di priorità, attraverso la valutazione dei “rischi inerenti al trattamento, tenuto conto della natura, dell’ambito di applicazione, del contesto e delle finalità del medesimo”.

Si chiede, quindi, al DPO di definire – in piena autonomia - un ordine di priorità e di concentrare la propria attenzione sulle questioni che presentino maggiori rischi sotto il profilo della protezione dei diritti e delle libertà delle persone interessate dal trattamento: è ben evidente come in ambito bancario, in ambito sanitario e nella GDO le priorità per un DPO siano inevitabilmente molto diverse. 

Importante è anche il ruolo del DPO nell’ambito delle procedure di Data Protection Impact Assessment (la “DPIA”).

Pur essendo tale procedura di competenza del Titolare del trattamento, come osservato anche nelle “Linee guida sui responsabili della protezione dei dati” adottate dall’Article 29 Working Party nella loro versione finale in data 5 aprile 2017 (le “Linee Guida”, approvate dal Comitato Europeo per la protezione dei dati personali nella prima plenaria del 25 maggio 2018), Il DPO è chiamato ad una partecipazione attiva dalle fasi di avvio della procedura sino alla sua conclusione. Il Titolare deve, infatti, consultarsi con il DPO al fine di definire i seguenti profili:

  • se condurre o meno una DPIA;
  • quale metodologia adottare;
  • se condurre la DPIA con le risorse interne ovvero esternalizzandola;
  • quali salvaguardie applicare, comprese misure tecniche e organizzative, per attenuare i rischi per i diritti e gli interessi delle persone interessate;
  • se la DPIA sia stata condotta correttamente o meno, e se le conclusioni raggiunte (procedere o meno con il trattamento, e quali salvaguardie applicare) siano conformi al Regolamento.

Ai sensi dell’art. 39, par. 1, lett. c, del Regolamento, il DPO è, quindi, tenuto a sorvegliare lo svolgimento della DPIA e - nel caso di richiesta da parte del Titolare - a fornire un proprio parere.

La funzione di supporto del DPO nei confronti del Titolare è confermata dalle menzionate Linee Guida, laddove contempla la possibilità che il Titolare o il Responsabile del trattamento possano delegare, seppur sotto la propria responsabilità, al DPO alcune attività, tra cui la tenuta del registro delle attività di trattamento (art. 30 Reg.), della cui compilazione saranno naturalmente responsabili Titolare e/o Responsabile del trattamento.

Tali funzioni di vigilanza, consulenza e supporto non esauriscono, peraltro, il ruolo del DPO, che è chiamato anche a cooperare con l'Autorità Garante per la Protezione dei Dati Personali (il “Garante”) e costituisce il punto di contatto, anche rispetto agli interessati, per tutte le questioni connesse al trattamento dei dati personali (artt. 38 e 39 del Reg.).

Per effetto del rapporto privilegiato esistente tra DPO ed Autorità Garante (a tal riguardo, è bene ricordare che il Garante ha il puntuale monitoraggio degli incarichi dei DPO attraverso la propria banca dati dove sono per l’appunto registrate le nomine fatte dai titolari e/o responsabili del trattamento), alcuni osservatori hanno persino assimilato i DPO a tanti piccoli “Garanti”, diffusi sul territorio nazionale, a presidio dei principi  del GDPR, della normativa nazionale e dei Provvedimenti dell’Autorità stessa.

A fronte di questa breve disamina, emerge con chiarezza la complessità e la delicatezza del ruolo del DPO che, per un verso, consiglia e supporta il Titolare nel dare corretta esecuzione agli adempimenti previsti dal Regolamento, ma – al contempo – lo sorveglia e rappresenta una funzione di garanzia nei rapporti con il Garante e con gli interessati.

L’INCARICO DEL DPO IN PERIODO DI COVID-19

Le diverse anime del DPO devono essere espresse e modulate, interpretando nella giusta chiave i diversi momenti che una determinata organizzazione attraversa. La straordinarietà degli scorsi mesi ha naturalmente costretto molti DPO a fare i conti con uno scenario del tutto inedito. Per un verso, dovendosi relazionare con realtà in grossissima difficoltà a causa dell’improvvisa emergenza sanitaria e del lock down che ne è seguito; e, per altro verso, dovendo indirizzare Titolari e Responsabili nell’adozione delle necessarie misure anti-contagio nel rispetto dei principi stabiliti dal Regolamento e dei numerosi interventi in materia delle autorità comunitarie, nazionali e regionali.

In tale contesto, particolare importanza ha assunto la capacità dei DPO di essere un autorevole riferimento per le aziende presso le quali operano, nell’aiutarle a trovare – in tempi rapidi - un difficile punto di equilibrio, tra gli obblighi volti a preservare la salute e la sicurezza dei lavoratori ed i principi in materia di privacy e di protezione dei dati personali. 

IL DPO E LA CULTURA AZIENDALE IN MATERIA DI PROTEZIONE DEI DATI PERSONALI.

In termini più generali, la difficoltà di un’interpretazione corretta del ruolo del DPO è ulteriormente accentuata da due fattori: in primo luogo, quantomeno nell’ordinamento italiano, non vi sono altre figure di riferimento che presentino caratteristiche analoghe a cui rapportarsi; in secondo luogo, la diversa estrazione professionale dei soggetti che stanno ricoprendo questo ruolo fa sì che inevitabilmente ciascuno di essi tenda a declinare il ruolo, replicando approcci conformi al proprio background professionale.

Sotto altro profilo, spesso le funzioni apicali delle organizzazioni che hanno provveduto alla designazione di un DPO, non sono pienamente consapevoli dei poteri e dei doveri di tale figura, rendendo ulteriormente difficile una corretta interlocuzione ed una reale integrazione nell’ambito della governance aziendale.

In tale prospettiva, probabilmente la più importante funzione a cui il DPO è chiamato, e forse la più difficile, è lo sviluppo, a tutti i livelli, nell’ambito dell’organizzazione in cui opera, di una cultura della privacy e della protezione dei dati, favorendo l’apprendimento dei valori e dei principi sui quali il Regolamento si regge e contribuendo ad infondere una consapevolezza diffusa che una gestione virtuosa dei dati rappresenta innanzitutto un valore per l’azienda.

A tal fine, ci si augura che la Funzione del RDP/DPO (perché di Funzione si tratta e non tanto di un mero incarico), allorquando siano in discussione decisioni che, direttamente o indirettamente, presuppongono trattamenti di dati personali, possa conquistare, sempre più spesso, il posto che le spetta ai tavoli che contano, sia in ambito privato, sia in ambito pubblico. Solo in tal modo, il DPO sarà posto nella condizione di poter dare un contributo effettivo e garantire quel principio di accountability, che può essere sintetizzato nella consapevole programmazione da parte di Titolari e Responsabili delle necessarie misure di protezione dei diritti degli interessati e nella capacità di documentare ex post, sia agli interessati, sia alle Autorità di controllo, le ragioni delle proprie scelte e le azioni poste in essere a protezione delle persone, in particolare dei loro dati.

Altre news