R.E. n. 2016/679 - il nuovo Regolamento Europeo sulla Privacy in vigore a partire dal 25 maggio 2018 anche in Italia.
Il Responsabile del trattamento dei dati e la nuova figura del DPO.
Chi è il Data Protection Officer (DPO)
Il Data Protection Officer sarà una figura professionale con particolari competenze in campo informatico, giuridico, di valutazione del rischio e di analisi dei processi.
Il compito principale del DPO è l’osservazione, la valutazione e la gestione del trattamento dei dati personali allo scopo di far rispettare le normative europee e nazionali in materia di privacy.
Tuttavia quasi tutto ciò che si sa ad oggi sul DPO è frutto di interpretazione del gruppo degli esperti e dei garanti nazionali (WP29). In realtà, l’articolo 37 del Regolamento non specifica quali debbano essere le qualità professionali necessarie a rivestire la figura del DPO. Si evince chiaramente, però, che il soggetto prescelto debba possedere comprovata esperienza sulla legislazione relativa alla protezione dei dati personali sia nazionale che europea, sulle prassi oltre che una approfondita conoscenza del Regolamento. Nel caso, poi, di un ente pubblico o di un organismo pubblico, il DPO dovrebbe anche avere una buona conoscenza delle regole e delle procedure dell’organizzazione amministrativa.
Ciò che invece è certo è che tale figura può essere rivestita, oltre che da un libero professionista, anche da un dipendente del titolare del trattamento (o del responsabile del trattamento).
In merito, v’è da condividere una considerazione importante che contribuisce e stimola le polemiche sulla difficile (o forse prematura) attuazione del Regolamento. Esiste infatti una evidente discrasia tra la figura del dipendente, che si porta sulle spalle tutti gli oneri e gli obblighi di subordinazione previsti dalla legge, e l’articolo 38 del Regolamento lì dove sancisce la posizione di assoluta indipendenza del DPO. E’ chiaro che, con questi presupposti, la funzione garanzia richiesta al DPO parte già in evidente difficoltà applicativa.
L’articolo 38 poi rincara: il DPO non deve trovarsi in alcuna situazione di conflitto di interessi. E qui preferiamo una interpretazione più funzionale che “politica”. Il legislatore europeo in sostanza cerca di evitare facili nomine effettuate per affinità (o sovrapposizione) di mansioni pratiche: non risulterà conforme alla legge l’eventuale nomina a DPO del responsabile che si occupa di ICT.
Allo stesso modo, stante un possibile conflitto di interessi, si ritiene che non possa essere nominato DPO l’amministratore delegato, il responsabile operativo, il responsabile finanziario o sanitario, il direttore marketing e quello delle risorse umane.
Quali sono in compiti del DPO
Come detto, la responsabilità principale del Data Protector Officer è quella di sovraintendere alla gestione del trattamento di dati personali effettuata dalle aziende, sia pubbliche che private, affinché questi siano trattati nel rispetto delle normative privacy europee e nazionali.
Più nel dettaglio, i compiti del DPO sono elencati dall’articolo 39 del Regolamento Europeo sulla protezione dei dati personali il quale stabilisce che tale figura debba:
– informare il Titolare ed il responsabile del trattamento relativamente agli obblighi di legge scaturenti dal regolamento o da ulteriori normative dell’Unione in materia di dati personali;
– controllare l’osservanza del Regolamento da parte del Titolare del trattamento o del Responsabile del trattamento, sensibilizzando e formando il personale che partecipa alle operazioni di trattamento dei dati e alle relative attività di controllo;
– fornire pareri circa la valutazione d’impatto sulla protezione dei dati;
– collaborare con l’autorità di controllo, effettuando consultazioni su qualsiasi altra eventuale questione.
Va da sé quindi che il DPO debba essere un professionista dotato anche di qualità manageriali ed organizzative, onde poter suggerire al titolare o responsabile dei dati i più opportuni cambiamenti di carattere tecnico-organizzativo.
Per quali aziende è obbligatorio il DPO
A mio parere, in assenza di regole certe, l’intero impianto normativo europeo. L’assenza di paletti ben definiti sulla necessità di applicare o meno le regole sul DPO per le aziende private fa prevedere un’applicazione meramente interpretativa, esposta alla totale discrezionalità dell’ente controllore. Ma andiamo con ordine.
Ai sensi dell’articolo 37 del Regolamento Europeo la nomina del DPO è obbligatoria allorquando il trattamento dei dati “venga effettuato da un’autorità pubblica o da un organismo pubblico, eccettuate le autorità giurisdizionali nell’esercizio delle proprie funzioni”. E fin qui nulla quaestio.
Sul punto vale la pena solo specificare che gli “organismi di diritto pubblico” sono tutti quegli organismi creati per soddisfare bisogni d’interesse generale a carattere non industriale o commerciale, dotati di personalità giuridica, con una attività finanziata per la maggior parte dallo Stato o da altri organismi di diritto pubblico.
Ma l’articolo 37 sancisce l’obbligatorietà della nomina del DPO anche per alcune aziende private.
Ed è proprio qui, nel cuore applicativo della normativa, che le regole divengono generiche e imprecise. L’articolo prevede che sussista l’obbligo di nomina del DPO allorquando la ″core activities″ del titolare del trattamento o del responsabile del trattamento ″consista in trattamenti richiedenti il monitoraggio sistematico su larga scala″ nonché quando le attività principali del titolare del trattamento o del responsabile del trattamento ″riguardano il trattamento, su larga scala, di informazioni sensibili o di dati relativi a condanne penali e a reati″.
Che cosa si intende per “attività principali”? L’oggetto dell’attività imprenditoriale o anche uno step necessario per raggiungere lo scopo di essa? L’esempio che si fa più spesso è la clinica privata. L’attività principale è la fornitura del servizio di cura delle persone, ma senza poter trattare i dati (sensibili tra l’altro) dei pazienti, questo non sarebbe possibile. I dubbi restano ma, ci chiediamo: se in un caso simile, venisse comminata una sanzione, questa resterebbe priva di impugnazione? Giammai! La legge parla di “attività principale”. Ed ecco lo spreco di risorse da parte della PA, ed ecco l’aumento delle procedure giudiziarie.
Ed ancora, cosa si intende per “larga scala”? A questa domanda ha provato a rispondere il Gruppo dei Garanti Ue (WP 29), chiamato a fornire delle linee guida in merito. Risposta chiara? Macchè: “non è possibile fornire un numero preciso di dati trattati o di persone interessate necessari a definire la categoria della grande scala” sebbene non possa escludersi la possibilità, con il tempo, di sviluppare pratiche standard che ne permettano la determinazione quantitativa. Sostanzialmente: “per ora non si sa, poi si vedrà”. E quindi? La normativa sarà in vigore solo formalmente dal maggio 2018, ma per l’effettiva applicazione sarà necessario attendere le “pratiche di standard qualitative” di cui sopra?
In ogni caso, al fine di stabilire se si tratta di un trattamento su larga scala le linee guida del Regolamento consigliano di prendere in considerazione i seguenti elementi:
– il numero di persone interessate ed il volume di dati;
– la durata dell’attività di elaborazione dei dati;
– l’estensione geografica dell’attività di trasformazione degli stessi.
E allora proviamo ad ipotizzare, con tecniche esclusivamente interpretative, chi debba rivolgersi al un Data Protection Officer.
Inutile e scontato dire che, oltre a tutti gli enti locali, chi gestisce big data dovrà adempiere alle direttive della normativa (ma forse già lo fa). Che si forniscano di un DPO anche le compagnie di assicurazione, le banche, i fornitori di servizi di telecomunicazioni. E gli studi legali? Alcuni trattano davvero tanti dati personali, migliaia, dati sensibili e giudiziari. A norma di legge forse dovrebbero nominare un DPO. Chi lavora nel marketing e nel webmarketing, chi fa profilazione di dati, chi utilizza landing page, chi fa DEM professionalmente? Direi di sì se il volume dei dati è consistente. E i siti web che fanno numeri importanti? I grandi e-commerce sicuramente devono mettersi a norma, mentre chi utilizza sistemi di analisi di dati di traffico non anonimizzati meglio che si rivolga a società terze per far questo piuttosto che internalizzare il servizio, così da evitare la nomina del DPO.
Attendono comunque, nel prossimo futuro, necessari, fondamentali e definitivi chiarimenti da parte (quantomeno) del Garante italiano onde evitare che le regole vengano fatte dalla giurisprudenza del settore, a discapito dei primi soggetti sanzionati.