Data Protection Officer: attribuzioni e compiti del DPO

Come è noto, con l’entrata in vigore, avvenuta il 25 maggio 2018, del regolamento UE n. 679/2016, recepito in Italia per la parte di adeguamento devoluta alla competenza dei singoli Stati membri con il d.lgs. 101/2018, – convenzionalmente denominato GDPR (acronimo di General Data Protection Regulation) – relativo alla protezione delle persone fisiche con riguardo al trattamento ed alla libera circolazione dei dati personali, sono state apportate rilevanti novità in materia di trattamento dei dati personali e di privacy.

Segnatamente, il suddetto provvedimento ha, innanzitutto, ampliato l’ambito di applicazione della tutela comunitaria, statuendo che la normativa europea a tutela dei dati personali è applicabile anche  anche ed enti ed organizzazioni in generale, aventi sede legale fuori in territorio extraeuropeo che trattano dati personali di soggetti residenti in  Unione Europea, a prescindere dalla località ove sono allocati i sistemi di archiviazione (c.d. storage) e di elaborazione (c.d. server).

Inoltre, è stata resa maggiormente chiara la disciplina normativa in materia di consenso e di informativa; sono stati definiti i limiti al trattamento automatizzato dei dati personali ed i criteri per il trasferimento degli stessi al di fuori dell’UE – stabilendo il divieto di trasferimento di dati personali verso Paesi extra UE o organizzazioni internazionali che non rispondono agli standard di sicurezza in materia di tutela – e sono state introdotte rigorose norme sanzionatorie per i casi di violazione dei dati (c.d. data breach) con il contestuale obbligo per il titolare del trattamento di comunicare al Garante ogni eventuale episodio di data breach.

Sono state, poi, fornite le definizioni di titolare e responsabile del trattamento, ossia, rispettivamente, ai sensi dell’ art. 4 GDPR “la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali” e “la persona fisica, giuridica, pubblica amministrazione o ente che elabora i dati personali per conto del titolare del trattamento”.

Per di più, è stato introdotto il principio di responsabilizzazione (accountability) del titolare del trattamento, ossia  egli diviene responsabile delle scelte di mezzi, operazioni, procedure, finalità, ecc. in materia di trattamento dei dati, e deve essere in grado, in caso di contestazione, anche essere in grado di “dare conto” delle valutazioni poste alla base delle scelte operate.

Tuttavia, l’elemento di novità maggiormente significativo apportato dal GDPR è stata l’introduzione e la disciplina delle attribuzioni di una nuova figura professionale: il DPO (acronimo di Data Protection Officer), una figura professionale in possesso di specifiche competenze tecniche deputata ad affiancare il titolare (del trattamento) nell’adeguamento alla normativa europea del proprio organigramma in materia di privacy e trattamento dei dati personali.

Il DPO (Data Protection Officer)

La disciplina legislativa della figura del DPO è contenuta all’art. 37 del GDPR, rubricato proprio “ Designazione del responsabile della protezione dei dati”. La norma non specifica tassativamente di quali requisiti professionali debba essere in possesso il DPO, tuttavia è evidente dai compiti che gli sono devoluti che debba un soggetto dotato di specifiche conoscenze giuridiche in materia di privacy e trattamento di dati personali e, nel caso egli venga designato da una Pubblica Amministrazione, anche della struttura e delle procedure amministrative dell’ente presso cui eserciterà la professione.

L’art. 38 GDPR – rubricato “Posizione del responsabile della protezione dei dati” – poi, statuisce che il DPO debba trovarsi in una posizione di assoluta indipendenza rispetto al titolare del trattamento e non debba trovarsi in alcuna situazione foriera di conflitti di interesse. Tale disposizione sembra andare in contrasto, per quanto concerne le aziende private, con il l’art. 37 nella parte in cui prevede che possa essere nominato DPO anche un dipendente del titolare. Invero, le garanzie di indipendenza ed assenza di conflitti di interesse ex art. 38 GDPR sembrano voler modulare la figura del DPO su quelle già conosciute nei paesi anglosassoni dello Chief Privacy Officer (CPO), del Privacy Officer e del Data Security Officer o, con riferimento al nostro ordinamento giuridico, l’O.D.V. (Organismo Di Vigilanza) di cui al d.lgs. 231/2001 sulla responsabilità penale delle persone giuridiche ed il responsabile anticorruzione delle P.A., che sembrano essere difficilmente conciliabili con la posizione di subordinazione propria del lavoratore dipendente inserito in una struttura aziendale.

Tuttavia, parte della dottrina ha interpretato tale prescrizione nel senso che debba ritenersi vietata la nomina di quale DPO di un soggetto che rischi una sovrapposizione di mansioni pratiche (come il responsabile ICT) o che abbia una posizione nella struttura aziendale in conflitto con le funzioni di vigilanza proprie del DPO, come, ad esempio, l’amministratore delegato o il direttore del marketing [1].

Per quanto concerne le attribuzioni proprie del Data Protection Officer, ai sensi dell’art. 39 GDPR –  rubricato “Compiti del responsabile della protezione dei dati” – egli deve sovraintendere alla gestione del trattamento di dati personali effettuata dalle aziende, sia pubbliche che private, affinché questi siano trattati nel rispetto delle normative privacy europee e nazionali. Più in particolare, egli ha il dovere di:

• informare il titolare ed il responsabile del trattamento relativamente agli obblighi di legge scaturenti dal regolamento o da ulteriori normative dell’Unione Europea in materia di dati personali;
• controllare l’osservanza del regolamento da parte del titolare del trattamento o del responsabile del trattamento, sensibilizzando e formando il personale che partecipa alle operazioni di trattamento dei dati e alle relative attività di controllo;
• fornire pareri circa la valutazione d’impatto sulla protezione dei dati;
• collaborare con l’autorità di controllo, effettuando consultazioni su qualsiasi altra eventuale questione.

Le aziende e le autorità pubbliche obbligate a dotarsi di un DPO 

L’art. 37 GDPR  al par. 1, lett. a), b) e c) prescrive che hanno l’obbligo di dotarsi di un Data Protection Officer 

• le autorità e gli organismi pubblici ad eccezione delle autorità giurisdizionali nell’esercizio delle proprie funzioni,
• i soggetti che effettuano monitoraggio regolare e sistematico degli interessati su larga scala
• ed i soggetti che trattano dati sensibili su larga scala.

Nondimeno, nel corso del tempo sono stati sollevati una serie di dubbi applicativi in merito alla suesposta norma. Difatti, con riguardo alla prima ipotesi, nessun articolo del Reg. UE n. 679/2016 fornisce una definizione di autorità o di organismo pubblico di guisa che in alcuni casi, si sono ingenerati  dubbi sulla riconducibilità di alcuni soggetti a tali categorie, con conseguente incertezza sull’obbligatorietà o meno per essi della necessità di dotarsi di un DPO.

Sul punto il Garante della privacy ha chiarito nelle Faq (Frequently Answered Questions) sul GDPR – richiamando il d.lgs. 196/2003 recante il codice in materia di protezione dei dati personali- che debbono considerarsi autorità pubbliche: le amministrazioni dello Stato, anche con ordinamento autonomo, gli enti pubblici non economici nazionali, regionali e locali, le Regioni e gli enti locali, le università, le Camere di commercio, industria, artigianato e agricoltura, le aziende del Servizio sanitario nazionale, le autorità indipendenti e che in caso di soggetti privati che esercitano pubbliche funzioni ( come, ad esempio un concessionario di servizi pubblici) risulta fortemente raccomandato, ancorché non obbligatorio, procedere alla designazione di un DPO [2].

Tuttavia, ad avviso di parte della dottrina ogni volta che, a prescindere dalla natura giuridica, un ente, in virtù delle funzioni pubbliche esercitate, rivesta una posizione di supremazia nei confronti del cittadino – con la conseguente impossibilità di quest’ultimo di autodeterminarsi  in ordine al trattamento e di controllarne l’intero processo, in primis in termini di finalità, modalità e durata ( si pensi, ad esempio, agli organismi di disciplina professionale o alle aziende di trasporto pubblico)- esso deve essere ricondotto al novero degli organismi di diritto pubblico, con la conseguente obbligatorietà della designazione di un responsabile della protezione dei dati [3]. 

Con riferimento, invece, alle aziende private la norma prescrive che debbano procedere alla nomina di un DPO quelle la cui attività principale consista in trattamenti richiedenti il monitoraggio sistematico su larga scala nonché o riguardi il trattamento, su larga scala, di informazioni sensibili o di dati relativi a condanne penali e a reati. La dottrina prevalente è addivenuta alla conclusione che debbano designare un DPO non solo i soggetti privati che trattino costantemente big data o il cui scopo imprenditoriale sia la gestione di informazioni personali, ma anche quelle per le quali tale attività costituisca uno step necessario della propria attività d’ impresa (es. clinica privata che ha la necessità di registrare i dati dei propri degenti). Il principale parametro di riferimento per i soggetti privati è comunque, costituito dalla “larga scala” dei dati trattati, intesa come il numero di persone interessate dall’ attività di raccolta, il volume dei dati acquisiti; la durata dell’attività di elaborazione dei dati e l’estensione geografica dell’attività di trasformazione degli stessi.

Osservazioni conclusive.

In linea generale, l’istituzione della figura professionale del Data Protection Officer costituisce un’interessante novità. Invero, essa offre un concreto strumento di supporto ai titolari ed ai responsabili del trattamento, che spesso non sono in possesso delle necessarie competenze tecnico – giuridiche, nell’adeguamento al GDPR dei propri organigrammi. Al contempo, l’introduzione nel mercato del lavoro del ruolo di DPO rappresenta anche un’importante opportunità di crescita e consolidamento professionale per tutti gli operatori del diritto maggiormente attenti allo sviluppo dell’innovazione tecnologica.

Tuttavia, sarebbe auspicabile un intervento legislativo di carattere sia comunitario sia nazionale volto a meglio specificarne le attribuzioni e a disciplinare con maggiore compiutezza quali siano i soggetti per i quali ne è  obbligatoria la designazione. Inoltre, risulterebbe opportuno, attesa l’ esponenziale diffusione di enti certificatori che rilasciano attestati di “Data protection officer” un intervento normativo che ne disciplinasse i requisiti e gli standard a cui devono attenersi con la contestuale istituzione e/o potenziamento di corsi specialistici di carattere universitario in materia.

¹ A. POLIMENI, Chi è il DPO e perché è una figura controversa, in https://www.agendadigitale.eu/sicurezza/chi-e-il-data-protection-officer-e-perche-e-una-figura-controversa/#! (ultima consultazione 17 aprile 2020).

² Cfr. Faq sul Responsabile della Protezione dei dati (RPD) in ambito pubblico (in aggiunta a quelle adottate dal Gruppo Art. 29), in https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/7322110#2 (ultima consultazione 17 aprile 2020).

³ N. MINISCALCO, Dpo obbligatorio per i soggetti pubblici, ma non per tutti: il problema, in https://www.agendadigitale.eu/sicurezza/dpo-obbligatorio-per-i-soggetti-pubblici-ma-non-per-tutti-il-problema/ (ultima consultazione 17 aprile 2020).