La posizione del Responsabile della Protezione dei Dati – RPD nei confronti dell’organizzazione che lo ha designato
di Claudio Fuligni – consulente ICT e cybercrimes, consulente privacy e DPO
Description: Il DPO ha funzioni interlocutorie e di raccordo con il Garante e non ci devono essere ingerenze e conflitti di interessi con il titolare del trattamento
Chi è il DPO
La figura del Responsabile della Protezione dei Dati – RPD o, secondo la versione anglosassone, forse di uso più comune, il Data Protection Officer – DPO, è il nuovo soggetto privacy di cui più si parla sin dall’emanazione del Reg. UE 2016/679, anche noto con l’acronimo GDPR-General Data Protection Regulation, che regolamenta in maniera compiuta la materia della privacy, creando una base armonizzata comune a tutti gli stati membri.
È un soggetto, persona fisica o ente, nominato dal titolare del trattamento o dal responsabile del trattamento con funzioni consultive, formative e informative relativamente all’applicazione della normativa privacy, di interlocuzione e cooperazione il Garante per la protezione dei dati personali e come punto di contatto per gli interessati nell’esercizio dei diritti ad essi riconosciuti agli articoli da 12 a 23 del Regolamento europeo.
Quando è obbligatorio nominare il DPO
La nomina del DPO diviene obbligatoria solo quando si verifica uno dei tre presupposti di cui all’art. 37 par. 1, Reg. UE 2016/679:
- il titolare del trattamento è un’autorità pubblica o da un organismo pubblico;
- le attività principali del titolare del trattamento o del responsabile del trattamento consistono in trattamenti che richiedono il monitoraggio regolare e sistematico degli interessati su larga scala;
- le attività principali del titolare del trattamento o del responsabile del trattamento consistono nel trattamento, su larga scala, di categorie particolari di dati personali di cui agli artt. 9 e 10 del Regolamento UE.
Tuttavia, la nomina del DPO resta una questione aperta, almeno per quelle realtà imprenditoriali di dimensioni medio-grandi, perché, nell’ambiguità della terminologia utilizzata dal legislatore europeo al menzionato art. 37, in base al principio di accountability, su cui si impernia l’intera disciplina, è rimessa al titolare del trattamento o al responsabile del trattamento la valutazione circa, quantomeno, l’opportunità, di nominare un DPO. E l’ampio dibattito aperto e mai chiuso tra gli addetti ai lavori su questa figura controversa ha creato incertezza e diffidenza negli operatori, come è dato riscontrare quando ci si trova a contatto diretto con i destinatari della normativa.
Natura del rapporto tra DPO e titolare del trattamento
Uno degli aspetti più interessati di questo dibattito è rappresentato dalla natura del rapporto tra il DPO e il Titolare del trattamento.
Al riguardo, difatti, l’intero art. 38 GDPR detta una serie di obblighi da osservare per entrambe le parti.
Anzitutto, il par. 1 dell’articolo in esame si apre imponendo al titolare del trattamento e al responsabile del trattamento (se nominato) di assicurarsi che il DPO sia tempestivamente e adeguatamente coinvolto in tutte le questioni riguardanti la protezione dei dati personali.
Il successivo par. 2 prosegue nella carrellata degli obblighi in capo al titolare del trattamento e al responsabile del trattamento, ove nominato, imponendo loro di supportare e sostenere il DPO nominato nell’esecuzione dei compiti elencati in via semplificativa all’art. 39 GDPR, fornendogli le risorse necessarie per assolvere tali compiti e accedere ai dati personali e ai trattamenti e per mantenere la propria conoscenza specialistica.
Il legislatore europeo, per assicurare autonomia e indipendenza nelle valutazioni e nelle scelte al DPO, impone allo stesso titolare del trattamento (e al responsabile del trattamento, se nominato) l’onere di assicurarsi che il DPO non riceva alcuna istruzione per quanto riguarda l’esecuzione di tali compiti e dispone che non sia rimosso o penalizzato per l’adempimento dei propri compiti proprio dal titolare del trattamento o dal responsabile del trattamento, qui da intendersi evidentemente come il team dirigenziale dell’organizzazione..
È evidente, solo leggendo le disposizioni appena riportate, che la posizione del DPO nei confronti dei vertici dell’organizzazione è molto forte, e difatti l’intenzione del legislatore pare essere proprio quella di assegnare al DPO gli strumenti necessari per intervenire in maniera efficace al fine di promuovere e garantire il rispetto del GDPR nei confronti del titolare e del responsabile del trattamento.
I principali compiti del DPO
Simmetricamente, dopo aver regolamentato i rapporti tra DPO e titolare del trattamento e responsabile del trattamento imponendo obblighi e doveri a questi ultimi, la parte finale dell’articolo in esame si focalizza sul ruolo del DPO, il quale:
– deve riferire direttamente al vertice gerarchico del titolare del trattamento o del responsabile del trattamento;
– può essere contattato direttamente dagli interessati per tutte le questioni relative al trattamento dei loro dati personali e all’esercizio dei loro diritti derivanti dal GDPR;
– è tenuto al segreto e alla riservatezza in merito all’adempimento dei propri compiti, in conformità del diritto dell’Unione o degli Stati membri.
A chiusura della disposizione, in completa sintonia con i doveri fin qui declinati, imposti ad entrambe le parti, espressamente si prevede che il DPO possa svolgere altri compiti e funzioni: ebbene, anche in tali casi il legislatore europeo impone al titolare del trattamento o al responsabile del trattamento, se previsto, l’obbligo di assicurarsi che tali compiti e funzioni non diano adito a un conflitto di interessi.
È possibile nominare DPO un dipendente?
A questo punto, richiamandoci al dibattito cui si faceva cenno in apertura, sembra di poter addivenire in via definitiva al chiarimento di almeno uno dei numerosi quesiti proposti; se il DPO debba necessariamente essere esterno all’organizzazione o se possa essere nominato Responsabile della protezione dei dati anche un dipendente di questa.
La normativa esaminata non esclude mai apertamente la facoltà di nominare DPO un dipendente del titolare o del responsabile del trattamento, che avrebbe il vantaggio di essere già a conoscenza del contesto e delle modalità concrete di realizzazione dei trattamenti, tuttavia, perché l’incarico sia conferito (e svolto) nel rispetto delle disposizioni del GDPR, devono essere rispettati le seguenti condizioni:
– non deve sussistere, né al momento del conferimento dell’incarico, né successivamente, in corso di svolgimento del medesimo, un conflitto di interessi;
– devono sussistere, per tutta la durata dell’incarico, le condizioni minime necessarie per garantire l’effettivo assolvimento dei compiti assegnati al DPO dalla normativa europea;
– l’atto di nomina, che per il DPO interno è rappresentato da una lettera d’incarico, deve avere forma scritta, e contenere l’elenco e la descrizione di tutte le funzioni ed i compiti assegnati al dipendente designato DPO, con l’indicazione delle risorse assegnate per il loro svolgimento.
Tenendo, poi, conto, che il titolare del trattamento ed il responsabile del trattamento sono tenuti a supportare il DPO, sia dal punto di vista organizzativo che finanziario, qualora questi sia un loro dipendente devono evitare non solo ogni e qualsiasi conflitto di interessi, ma anche di dare istruzioni al DPO o, forse anche peggio, penalizzarlo per le scelte operate nello svolgimento dei propri compiti.
Da ciò si vede come la nomina di un DPO interno all’organizzazione sia di fatto più problematico.
Basti pensare che il soggetto incaricato mantiene pur sempre il suo ruolo nell’organizzazione, continuando a svolgere regolarmente le mansioni per cui è stato assunto: diviene difficile, quindi, distinguere gli ordini conferiti dal titolare o dal responsabile del trattamento in ragione del rapporto di subordinazione da quelli dati nel tentativo di influenzare o condizionare il medesimo destinatario in quanto DPO. E l’onere della prova resta in capo al titolare del trattamento (o al responsabile del trattamento, qualora nominato).