Il Data Protection Officer: novità del nuovo Regolamento sulla Protezione dei Dati Personali, pubblicato il 4 maggio 2016
L’approvazione definitiva lo scorso 14 Aprile del nuovo Regolamento sulla protezione dei dati personali, pubblicato in data 4 Maggio 2016, fra le varie novità apportate, ha avuto l’effetto di ufficializzare la figura del Data Protection Officer o Responsabile della Protezione dei Dati (qui di seguito DPO), e dunque l’interesse della Pubblica Amministrazione* da un lato e degli operatori privati dall’altro a conoscere questo nuovo ruolo che, in alcuni casi, sarà necessario adottare all’interno dei rispettivi organigrammi.
Il DPO, nominato dal titolare** o dal responsabile*** del trattamento, dovrà rispondere a determinati requisiti mirati ad un’adeguata conoscenza della normativa Europea e delle prassi da adottare riguardo la gestione dei dati personali, all’adempimento indipendente e senza alcun conflitto di interessi alle sue funzioni e all’operare alle dipendenze del titolare o del responsabile.
E’ bene distinguere fra la nomina del DPO nei casi in cui il trattamento di dati personali venga eseguito dalla Pubblica Amministrazione dai casi in cui il trattamento venga effettuato da operatori privati. Nel caso della Pubblica Amministrazione (pubblica autorità o organismo pubblico), il DPO viene sistematicamente designato dal titolare e dal responsabile del trattamento di dati personali (ad eccezione dei tribunali giudiziari nel momento in cui esercitano le loro funzioni giurisdizionali). Per gli operatori privati, il DPO viene nominato solamente nei casi in cui le attività principali del titolare o del responsabile del trattamento riguardino trattamenti che richiedano il monitoraggio regolare e sistematico degli interessati su larga scala e quando le attività principali consistano in trattamenti, su larga scala, di categorie particolari (origine razziale o etnica, opinione politica, convinzioni religiose o filosofiche, appartenenze sindacali, così come dati genetici o relativi all’orientamento sessuale) o di dati relativi a condanne penali. E’ importante sottolineare che una delle condizioni stabilite dal Regolamento circa la nomina del DPO prevede che quest’ultimo sia facilmente raggiungibile da ciascuno stabilimento di un qualsiasi gruppo imprenditoriale.
Di norma e in via generale, il DPO è incaricato di svolgere specifici compiti fra cui quello di informare e fornire consulenza al titolare o al responsabile del trattamento così come ai dipendenti che eseguono tale trattamento in base al nuovo Regolamento; sorvegliare sull’osservanza e l’attuazione del Regolamento, di altre disposizioni UE o degli Stati Membri in relazione alla protezione dei dati personali; sensibilizzare e formare il personale; fornire un parere circa l’impatto della protezione dei dati e sorvegliarne lo svolgimento; cooperare con l’autorità di controllo; fungere come punto di contatto per l’autorità di controllo per questioni connesse al trattamento e ad eventuali consultazioni. Inoltre, se il DPO è tenuto a svolgere tali funzioni in totale riservatezza, d’altra parte il titolare e il responsabile del trattamento sono tenuti ad informare tempestivamente e adeguatamente il DPO circa le questioni riguardanti la protezione dei dati personali in cui quest’ultimo sia coinvolto.
In definitiva, il DPO è un professionista con ruolo aziendale (sia esterno che interno) che deve possedere adeguate competenze giuridiche, informatiche, di analisi dei rischi e dei processi. La sua principale responsabilità è quella di osservare, verificare ed organizzare la gestione del trattamento di dati personali all’interno di un’azienda, affinché essa rispetti la nuova normativa UE.
A questo punto un attento interprete si pone una domanda su significato e definizione di ‘larga scala’. La normativa Europea, infatti, prevede che il titolare e il responsabile del trattamento designino un DPO ogniqualvolta vengano portate avanti attività o trattamenti di dati su larga scala. Nonostante ciò, non risulta esservi alcuna definizione circa il numero minimo di trattamenti di dati personali in base a cui un’attività sia su larga scala: ad esempio, si potrebbe partire da una cifra minima di 500, 1000 o 2000 trattamenti annuali, potenzialmente variabile da uno Stato Membro all’altro. A riguardo, la Germania prevede una distinzione fra elaborazione automatica e non-automatica di dati personali in modo da stabilire una designazione obbligatoria o meno del DPO. Nei casi in cui vi sia un’elaborazione automatica di dati un DPO viene automaticamente designato mentre nel caso di un’ elaborazione non-automatica, il DPO viene nominato solamente nel caso in cui vi siano almeno 20 impiegati aziendali. Al momento, fra gli Stati Membri dell’Unione Europea, solamente alcuni (fra cui Germania, Francia, Belgio, Paesi Bassi, Norvegia, Svezia e Regno Unito) prevedono una raccomandazione circa la nomina di un DPO, ciò ad indicare la mancanza di un’ armonizzazione a livello europeo che il Regolamento si prefissa di colmare. Vi è comunque il rischio che tale gap legislativo non venga colmato qualora non sia chiarito il vero significato del termine.
Relativamente alle soluzioni a tale lacuna normativa vi è senza dubbio la possibilità di una definizione del concetto di ‘larga scala’ da parte delle istituzioni europee oppure un accordo comune da parte degli Stati Membri circa il numero minimo di trattamenti da considerare su ‘larga scala’ sia nei casi di elaborazione automatica che non. Affinché si arrivi ad un’armonizzazione generale del Regolamento, è necessario che tale lacuna venga affrontata al più presto da esperti in materia e istituzioni nazionali ed europee in modo che ogni Stato Membro si possa adeguare alla normativa, senza alcuna necessità di libera interpretazione, prima dei due anni dalla pubblicazione del Regolamento.
Fra gli specifici compiti del DPO e le novità introdotte dal nuovo Regolamento sulla Protezione dei Dati Personali vi è inoltre l’introduzione del ‘Privacy Impact Assessment’, o ‘Valutazione dell’impatto-Privacy’, che sarà oggetto di un prossimo specifico intervento.
In conclusione, quanto riportato per descrivere la figura del DPO apre nuovi scenari di riflessione per la Pubblica Amministrazione e i privati nell’individuare un professionista (o meglio, un team di esperti) che possa ricoprire adeguatamente un ruolo di fondamentale importanza nel garantire la protezione dei dati personali. E’ del tutto evidente che tali figure non possano non avere pregressa e specifica esperienza nel settore della gestione dei dati ovvero in ambito legale in particolare nel settore della governance e compliance aziendali, laddove la conoscenza dei processi gestionali sono alla base di una corretta tutela delle risorse umane, quali principali target della disciplina in materia di privacy.
*In base al Decreto 165/2001 sulle Norme generali sull’ordinamento del lavoro alle dipendenze delle amministrazioni pubbliche, “per ‘Amministrazioni Pubbliche si intendono tutte le amministrazioni dello Stato, ivi compresi gli istituti e scuole di ogni ordine e grado e le istituzioni educative, le aziende ed amministrazioni dello Stato ad ordinamento autonomo, le Regioni, le Province, i Comuni, le Comunita' montane. e loro consorzi e associazioni, le istituzioni universitarie, gli Istituti autonomi case popolari, le Camere di commercio, industria, artigianato e agricoltura e loro associazioni, tutti gli enti pubblici non economici nazionali, regionali e locali, le amministrazioni, le aziende e gli enti del Servizio sanitario nazionale l'Agenzia per la rappresentanza negoziale delle pubbliche amministrazioni (ARAN) e le Agenzie di cui al decreto legislativo 30 luglio 1999, n. 300”.
**In base al nuovo Regolamento sulla Protezione dei Dati Personali, il ‘Titolare del trattamento’ viene definito come” la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali; (…)”.
***In base al nuovo Regolamento sulla Protezione dei Dati Personali, il ‘Responsabile del trattamento’ viene definito come “la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento”.
di Domenico Vozza