Nell’ambito del nuovo sistema di protezione dei dati personali definito dal Regolamento Generale sulla Protezione dei Dati (Reg. UE 2016/679 o GDPR), che si basa interamente sui principi di trasparenza e responsabilità (accountability), un ruolo fondamentale è attribuito alla nuova figura del Responsabile della Protezione dei Dati (Data Protection Officer – DPO). Quest’ultimo ha il compito di garantire la conformità dell’organizzazione alle nuove esigenze normative del GDPR.

In questo articolo, analizzeremo le condizioni di designazione e le competenze del DPO, il suo ruolo e le sue missioni, nonché la sua indipendenza e l’assenza di responsabilità in caso di non conformità.

Designazione e competenze del DPO

Nel settore privato, l’articolo 37 del GDPR stabilisce che la nomina di un DPO non è obbligatoria, ma facoltativa, sebbene fortemente raccomandata dalle autorità europee di protezione dei dati. Infatti, la designazione di un DPO diventa obbligatoria solo nei seguenti casi:

  • Il trattamento dei dati personali è effettuato da un’autorità o un organismo pubblico.
  • L’attività principale del responsabile o del subappaltatore consiste in trattamenti che, per loro natura, portata e finalità, richiedono un monitoraggio regolare e su larga scala delle persone interessate.
  • L’attività principale del responsabile o del subappaltatore riguarda il trattamento su larga scala di categorie particolari di dati personali (articolo 9 del GDPR) o di dati relativi a condanne penali o reati (articolo 10 del GDPR).

Le grandi imprese che trattano dati personali su larga scala sono quindi obbligate a designare un DPO. Per quanto riguarda i gruppi di imprese, l’articolo 37 del GDPR consente la nomina di un unico DPO per l’intero gruppo, a condizione che sia facilmente raggiungibile da ogni stabilimento del gruppo.

Il GDPR impone che il DPO disponga di un certo livello di competenza e conoscenze, ossia che debba:

  • Possedere un’expertise giuridica e tecnica in materia di protezione dei dati.
  • Avere una conoscenza del settore di attività, della normativa settoriale e dell’organizzazione della struttura per cui è designato.
  • Comprendere le operazioni di trattamento, i sistemi informativi e le esigenze dell’organismo in materia di protezione e sicurezza dei dati.
  • Per un’autorità pubblica o un organismo pubblico, disporre di una buona conoscenza delle regole e delle procedure amministrative applicabili.

Se la persona designata non possiede tutte queste competenze prima di assumere l’incarico, sarà necessario mobilizzare competenze interne e sviluppare rapidamente le sue conoscenze attraverso formazioni.

La persona deve inoltre presentare le qualità personali necessarie per questa funzione: integrità, elevato livello di etica professionale, capacità di comunicare, semplificare e convincere.

L’impresa deve anche vigilare sull’assenza di conflitti di interesse con altre missioni. La « Guide pratique RGPD – Délégués à la protection des données » adottata dalla CNIL (Commission nationale de l’informatique et des libertés) nell’aprile 2022 precisa a tal proposito che il DPO può esercitare altre funzioni all’interno dell’organismo (DPO a tempo parziale). Tuttavia, nell’ambito di queste altre funzioni, non deve avere potere decisionale sulla determinazione delle finalità e dei mezzi dei trattamenti: il DPO non deve quindi essere “giudice e parte”.

L’esistenza di un conflitto di interessi deve essere valutata caso per caso. Si raccomanda di documentare l’analisi che consente di escludere l’esistenza di un conflitto di interessi per il DPO designato.

Infine, il GDPR ricorda che il DPO può essere interno (dipendente dell’organizzazione) o esterno (fornitore indipendente): un DPO interno beneficia di una conoscenza approfondita dell’organizzazione ma può essere limitato da vincoli gerarchici, mentre un DPO esterno offre maggiore indipendenza e un’expertise specializzata, sebbene la sua integrazione nei processi interni possa richiedere un tempo di adattamento.

Ruolo e missioni del DPO

L’articolo 38 del GDPR stabilisce che il responsabile e il subappaltatore devono garantire che il DPO sia coinvolto in modo appropriato e tempestivo in tutte le questioni relative alla protezione dei dati personali, fornendogli le risorse necessarie per svolgere i suoi compiti, accedere ai dati personali e ai trattamenti, e per mantenere le sue competenze specifiche.

Ciò significa che il responsabile e il subappaltatore devono adottare misure di supporto e procedure operative che consentano al DPO di:

  • Conoscere precisamente il proprio perimetro d’azione.
  • Disporre di tempo sufficiente per svolgere le sue missioni.
  • Avere accesso a risorse finanziarie e infrastrutture tecnologiche adeguate.
  • Accedere ai documenti e alle altre funzioni dell’impresa.
  • Sviluppare le sue competenze grazie all’organizzazione di eventi mirati e formazioni in materia di protezione dei dati personali.
  • Partecipare alle riunioni in cui vengono prese decisioni importanti in materia di protezione dei dati.
  • Essere consultato rapidamente in caso di eventi che potrebbero compromettere i dati trattati dall’impresa.

Il ruolo del DPO riveste un’importanza strategica, in particolare in caso di incidenti di sicurezza dei dati o di trattamenti che presentano un rischio elevato per i diritti e le libertà fondamentali.

Per questo motivo, le linee guida della CNIL raccomandano di posizionare il DPO in modo appropriato nell’organigramma dell’impresa, affinché abbia un accesso diretto agli organi di governance e possa esprimere il proprio dissenso rispetto a decisioni non conformi alle esigenze normative del GDPR.

L’articolo 39 del GDPR specifica le missioni che il DPO deve garantire, stabilendo che è incaricato almeno delle seguenti attività:

  • Informare e consigliare il responsabile o il subappaltatore, nonché i dipendenti che effettuano trattamenti, sull’applicazione delle disposizioni del GDPR e delle altre normative dell’Unione europea o degli Stati membri in materia di protezione dei dati.
  • Supervisionare il rispetto delle disposizioni del GDPR, delle altre normative dell’Unione europea o degli Stati membri in materia di protezione dei dati, nonché delle politiche adottate in materia di protezione dei dati, responsabilità, sensibilizzazione e formazione del personale che partecipa alle attività di trattamento e controllo dei dati personali.
  • Fornire, se richiesto, un parere sulla valutazione d’impatto relativa alla protezione dei dati e supervisionarne l’esecuzione, conformemente all’articolo 35 del GDPR.
  • Effettuare un audit presso il responsabile o il subappaltatore, da realizzare a intervalli regolari.

Per quanto riguarda il ruolo di consulenza e supporto del DPO, la Guida pratica GDPR – Responsabili della protezione dei dati della CNIL precisa che quest’ultimo interviene a diversi livelli:

  • Apporta la sua competenza alla direzione affinché questa possa garantire la conformità dei trattamenti.
  • Diffonde la cultura e le regole di protezione dei dati presso tutte le persone che trattano dati personali all’interno dell’organismo.

Il DPO può così identificare e formalizzare i momenti chiave in cui desidera che il suo intervento o la sua presenza siano sistematici, ad esempio per:

  • Ogni progetto di decisione relativo alla creazione o all’evoluzione di un trattamento esistente (in particolare per garantire il rispetto dei principi di protezione dei dati sin dalla progettazione e per impostazione predefinita).
  • L’esame della necessità di realizzare un’analisi d’impatto relativa alla protezione dei dati (AIPD) e la sua effettiva attuazione.
  • La redazione o la tenuta del registro delle attività di trattamento.
  • La redazione e l’aggiornamento delle regole o politiche interne in materia di protezione dei dati.
  • Una violazione di dati personali, per consigliare sulle misure da adottare e sulla notifica all’autorità e alle persone interessate.

Per quanto riguarda il ruolo di sensibilizzazione svolto dal DPO, la CNIL precisa che quest’ultimo deve accompagnare gli attori coinvolti all’interno di ogni servizio che tratta dati:

  • Garantendo l’adozione da parte di tutti di una cultura di protezione dei dati personali (ad esempio attraverso formazioni interne sui grandi principi della protezione dei dati).
  • Conducendo azioni di comunicazione e sensibilizzazione su temi pertinenti per l’organismo (utilizzo di manifesti e guide pratiche accessibili dall’intranet, richiami delle regole di sicurezza in occasione di una sanzione o di una violazione di dati resa pubblica, false campagne di “phishing” a scopo educativo, ecc.).
  • Posizionandosi come l’interlocutore interno di riferimento per qualsiasi questione in materia di protezione dei dati, e se necessario, appoggiandosi a referenti all’interno dell’organizzazione.

Il DPO ha quindi principalmente una missione di informazione, consulenza e controllo. Non è responsabile della conformità dell’impresa, della tenuta del registro, della realizzazione delle analisi d’impatto o delle notifiche di violazioni di dati. Tuttavia, è un attore chiave le cui competenze sono molto utili al responsabile dell’impresa per aiutarlo a conformarsi ai suoi obblighi.

Indipendenza del DPO nell’esercizio delle sue missioni

Il GDPR prevede alcune garanzie destinate ad assicurare che il DPO possa esercitare le sue missioni con un grado sufficiente di autonomia e indipendenza rispetto all’impresa che lo ha designato.

Questa indipendenza significa che il DPO:

  • Non deve ricevere istruzioni nell’esercizio delle sue missioni, ad esempio su come trattare un argomento, gestire una reclamazione, sul risultato di un audit interno o sull’opportunità di consultare l’autorità di controllo. Allo stesso modo, non può essere costretto ad adottare un punto di vista particolare su una questione legata alla legislazione in materia di protezione dei dati, come un’interpretazione specifica del diritto.
  • Non deve essere soggetto a sanzioni o a un licenziamento a causa dell’adempimento delle sue missioni, ad esempio se consiglia al responsabile di realizzare un’analisi d’impatto e quest’ultimo non è d’accordo, o se registra un’analisi giuridica o tecnica in contrasto con quella adottata dal responsabile. Tuttavia, le sue funzioni possono essere terminate per motivi legati alla legislazione lavorativa ordinaria (come furto, molestie o altre gravi inadempienze).
  • Rende direttamente conto ai livelli più alti della direzione dell’impresa, affinché il livello decisionale sia a conoscenza dei suoi pareri e raccomandazioni. Pertanto, la CNIL raccomanda che il DPO elabori e presenti al livello più alto dell’organismo un rapporto regolare (ad esempio annuale) sulle sue attività. Il DPO deve anche poter rivolgersi direttamente al livello più alto su una problematica specifica, se lo ritiene necessario. Questa esigenza di rendere conto al livello più alto non pregiudica il collegamento gerarchico del DPO, per il quale il GDPR non impone regole specifiche.

Assenza di responsabilità del DPO in caso di mancato rispetto del GDPR

Il GDPR prevede che sia il responsabile del trattamento a dover garantire e dimostrare che il trattamento è effettuato in conformità al GDPR. Allo stesso modo, il subappaltatore è responsabile del rispetto dei propri obblighi previsti dal GDPR.

Di conseguenza, il DPO non è responsabile in caso di mancato rispetto del GDPR all’interno dell’impresa che lo ha designato. Non è quindi possibile trasferire al DPO, mediante delega di poteri, la responsabilità che spetta al responsabile del trattamento o gli obblighi propri del subappaltatore derivanti dal GDPR.

Infatti, ciò equivarrebbe a conferire al DPO un potere decisionale sulla finalità e i mezzi del trattamento, il che costituirebbe un conflitto di interessi contrario al GDPR.

Conclusione

Il DPO svolge un ruolo chiave nell’attuazione del GDPR, agendo come consulente, formatore e supervisore all’interno dell’organizzazione. La sua designazione, sebbene talvolta facoltativa, è fortemente incoraggiata per garantire una gestione rigorosa e conforme dei dati personali.

Grazie alla sua competenza, indipendenza e capacità di sensibilizzare i diversi attori, il DPO contribuisce a instaurare una cultura di protezione dei dati all’interno dell’impresa. Tuttavia, è importante notare che la sua responsabilità è limitata a un ruolo di consulenza e controllo, mentre la responsabilità finale della conformità spetta al responsabile del trattamento o al subappaltatore.

In sintesi, il DPO è un pilastro essenziale per accompagnare le organizzazioni nel loro percorso di conformità, rafforzando al contempo la fiducia delle persone interessate nella gestione dei loro dati personali.

gp@giovannellapolidoro.com

Leave a comment