Regolamento europeo privacy: nelle PA obbligatorio il Data Protection Officer
Ancora poco si sa di questa nuova figura prevista dalla normativa europea. Il DPO può essere individuato tra il personale dipendente in organico, oppure è possibile procedere a un affidamento di tale incarico all’esterno, in base a un contratto di servizi , riferendo direttamente al vertice gerarchico del Titolare del trattamento
8 Giugno 2016
Sarah Ungaro, vice presidente ANORC Professioni – D&L Department e Graziano Garrisi, direttivo ANORC – D&L Department
Molto è già stato scritto a proposito del nuovo Regolamento europeo sulla protezione dei dati personali [1], pubblicato in Gazzetta Ufficiale dell’Unione Europea lo scorso 4 maggio e al quale ci si dovrà adeguare entro i prossimi 24 mesi. Tuttavia, forse, ancora poco si sa della nuova figura del Data Protection Officer (DPO) o Responsabile della Protezione dei dati (da non confondere con il nostro Responsabile del trattamento ex art. 29 del D.Lgs. 196/2003), che è prevista come obbligatoria per gli enti pubblici e le pubbliche amministrazioni e in altri specifici casi previsti dalla nuova normativa dell’Unione.
In effetti, l’art. 37 del nuovo Regolamento stabilisce espressamente che il Titolare del trattamento e il Responsabile del trattamento designino sistematicamente un “Responsabile della Protezione dei dati” o Data Protection Officer ogni qualvolta:
a) il trattamento sia effettuato da un’Autorità pubblica o da un organismo pubblico , eccettuate le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali;
b) le attività principali del titolare del trattamento o del responsabile del trattamento consistano in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedano il monitoraggio regolare e sistematico degli interessati su larga scala ; oppure
c) le attività principali del Titolare del trattamento o del Responsabile del trattamento consistano nel trattamento, su larga scala , di categorie particolari di dati personali idonei a rivelare l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, nonché nel trattamento di dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona, o dati relativi a condanne penali e a reati.
Pertanto, la designazione del DPO, oltre a risultare obbligatoria per tutti gli enti pubblici e le pubbliche amministrazioni (centrali e locali), nel settore privato risulta necessaria in particolari ambiti – come quello sanitario – e in tutti quelli in cui sono poste in essere attività di profilazione su larga scala (concetto quest’ultimo ancora di dubbia interpretazione per il quale sarebbe auspicabile che l’Autorità Garante italiana fornisse dei chiarimenti).
Inoltre, è previsto che qualora il Titolare del trattamento o il Responsabile del trattamento sia un’Autorità pubblica o un organismo pubblico possa essere designato un unico Data Protection Officer per più enti pubblici o PA, ovviamente in ragione della loro dimensione e struttura organizzativa. In particolare, il DPO può essere individuato tra il personale dipendente in organico, oppure è possibile procedere a un affidamento di tale incarico all’esterno, in base a un contratto di servizi , riferendo direttamente al vertice gerarchico del Titolare o del Responsabile del trattamento: in entrambe le ipotesi, i dati di contatto del DPO dovranno essere pubblicati dal Titolare o dal Responsabile del trattamento (in modo che gli interessati possano contattarlo per tutte le questioni relative al trattamento dei loro dati personali e all’esercizio dei loro diritti) e comunicati all’Autorità garante per la protezione dei dati personali.
In ogni caso, è fondamentale che il DPO sia designato in funzione delle qualità professionali, in particolare della conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati, e della capacità di assolvere i compiti elencati all’art. 39 del nuovo Regolamento 2016/679, ossia:
a) informare e fornire consulenza al Titolare o al Responsabile del trattamento , nonché ai dipendenti che eseguono il trattamento, in merito agli obblighi derivanti dallo stesso Regolamento e da altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati;
b) sorvegliare l’osservanza del Regolamento, di altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati, nonché delle politiche del Titolare o del Responsabile del trattamento in materia di protezione dei dati personali, comprese l’attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo;
c) fornire, se richiesto, un parere in merito alla valutazione d’impatto sulla protezione dei dati e sorvegliarne lo svolgimento ai sensi dell’articolo 35 del Regolamento;
d) cooperare con l’Autorità garante per la protezione dei dati personali;
e) fungere da punto di contatto con la stessa Autorità garante per questioni connesse al trattamento, tra cui la consultazione preventiva di cui all’articolo 36 del Regolamento, ed effettuare, se del caso, consultazioni relative a qualunque altra questione.
A tal fine, è proprio l’articolo 38 del Regolamento a imporre al Titolare e al Responsabile del trattamento di assicurarsi che il Data Protection Officer sia tempestivamente e adeguatamente coinvolto in tutte le questioni riguardanti la protezione dei dati personali, fornendogli altresì le risorse necessarie per assolvere tali compiti (e, quindi, anche un budget di spesa) , accedere ai dati personali e ai trattamenti e per mantenere la propria conoscenza specialistica (anche mediante un piano di formazione periodico, un po’ come già oggi avviene per gli obblighi formativi che hanno i professionisti iscritti agli albi presso gli Ordini di appartenenza).
Inoltre, a tutela dell’autonomia e indipendenza del DPO nello svolgimento del proprio incarico, allo stesso non deve essere impartita alcuna istruzione per quanto riguarda l’esecuzione dei compiti di propria competenza, a differenza di quanto invece deve fare il Titolare con il Responsabile del trattamento (i cui compiti – a differenza di quanto avveniva sino ad oggi nel Codice privacy italiano – sono invece specificati all’art. 28 del Regolamento 2016/679 in maniera molto dettagliata). Lo stesso DPO, inoltre, non potrà essere rimosso o penalizzato dal Titolare o dal Responsabile del trattamento in ragione dell’adempimento dei propri compiti.
Il quadro normativo di riferimento delinea, dunque, il Data Protection Officer come una figura manageriale (executive manager) , di consulenza e controllo, assimilabile, per taluni aspetti e per i requisiti di autonomia e indipendenza, alle funzioni che esercita un Organismo di Vigilanza (ex D.Lgs. 231/2001), ma ovviamente relativo all’ambito privacy: il DPO, infatti, funge sia da auditor sia da referente per la protezione dei dati e per la gestione degli adempimenti previsti per il corretto trattamento dei dati personali nel contesto dell’ente pubblico o dell’organizzazione privata in cui opera.
Da ultimo, è utile considerare che tenendo conto del nuovo approccio delle norme dell’UE alla materia privacy e del principio dell’accountability (intesa come “responsabilizzazione”) che introduce maggiori responsabilità per i titolari e responsabili del trattamento, la possibilità in futuro di poter ricorrere all’utilizzo di certificazioni (già previste dal nuovo Regolamento) anche per il profilo professionale del DPO potrà sicuramente aiutare tali soggetti nella scelta delle persone più adatte a ricoprire questo ruolo e a garantire un livello di tutele e garanzie adeguate per il trattamento dei dati personali all’interno del contesto in cui tale figura andrà a operare.
[1] Regolamento (Ue) 2016/679 del Parlamento Europeo e del Consiglio del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati).