201712.09
Off
0

Il Data Protection Officer nel nuovo Regolamento europeo sulla privacy 2016/679

by in Pubblicazioni

1. PREMESSA

Il regolamento UE n. 2016/679 sulla protezione dei dati personali (noto come GDPR ossia General Data Protection Regulation), che diventerà efficace negli ordinamenti di tutti gli Stati Membri dell’Unione il 25 maggio 2018, prevede significative novità sia rispetto alla precedente direttiva 95/46/CE sia, per ciò che concerne l’Italia, al codice in materia di protezione dei dati personali di cui al d.lgs. 196/2003.

La scelta di adottare un regolamento è dettata dall’esigenza di uniformare la disciplina in tema di privacy, risultata eccessivamente frammentata a seguito delle diverse modalità di attuazione della precedente direttiva in ciascuno Stato membro.

Per contro, essendo il regolamento direttamente applicabile negli ordinamenti dei singoli Stati senza alcun atto di recepimento, la terminologia impiegata può risultare generica e lasciare così spazio a diverse interpretazioni.

Consapevole di ciò, l’organismo europeo denominato “Gruppo di lavoro ex art. 29”, istituito con la predetta direttiva del 1995, ha pubblicato alcune linee guida che cercano di fornire un ausilio agli operatori del settore e chiarire così talune incertezze; ad esse pertanto si farà ampio riferimento.

2. LA FIGURA DEL DPO ANTE RIFORMA

Tra le novità fornite dal GDPR, quella che forse sta destando più clamore in questo periodo “pre-riforma” è la nomina di un Responsabile per la protezione dei dati (c.d. DPO, Data Protection Officer).

Trattasi infatti di una nuova figura, che va ad aggiungersi, fra le altre, a quella del “Responsabile del trattamento”, già prevista sia dalla direttiva che dal codice e la cui parziale identità terminologica può generare qualche fraintendimento.

Il DPO non costituisce una novità in termini assoluti, poichè già il Regolamento UE 45/2001 ne prevede un’articolata disciplina in relazione ai trattamenti di dati personali ad opera delle istituzioni e degli organismi comunitari.

Non solo: la figura in questione è già prevista dalla legislazione di alcuni Stati membri, come ad esempio in Germania, ove tuttavia la designazione è obbligatoria solo in presenza di un numero minimo di incaricati al trattamento di dati personali.

Lo stesso GDPR, nella sua prima versione presentata dalla Commissione Europea nel 2012, prevedeva l’obbligo di nomina solamente per quegli enti che avessero avuto almeno 250 dipendenti.

L’attuale disciplina, tuttavia, ha eliminato detto requisito quantitativo a favore di quello qualitativo.

3. LA DESIGNAZIONE

L’art. 35 del GDPR prevede che il Responsabile per la protezione dei dati sia designato quando:

a) il trattamento è effettuato da un’autorità pubblica o da un organismo pubblico, eccettuate le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali;

b) le attività principali del titolare o del responsabile del trattamento consistono in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala;

c) le attività principali del titolare del trattamento o del responsabile del trattamento consistono nel trattamento, su larga scala, di categorie particolari di dati personali di cui all’articolo 9 del regolamento stesso (i c.d. dati sensibili) ovvero di dati relativi a condanne penali e a reati di cui al successivo articolo 10.

Il discrimen, quindi, non è dato dalle dimensioni del soggetto/ente, quanto dalle tipologie di trattamento effettuate.

In ogni caso le realtà aziendali che contemplano un consistente numero di dipendenti e di articolazioni in uffici, presentano statisticamente maggiori problematiche connesse alla gestione dei dati personali, di talchè la figura del DPO diviene, a conti fatti, necessaria anche in quelle imprese non soggette al relativo obbligo di legge.

Del resto anche il Garante della Privacy ne consiglia la designazione a prescindere dalla sua obbligatorietà, non fosse altro per il fatto che uno dei principi cardine del GDPR è la c.d. accountability, vale a dire la responsabilizzazione dei soggetti che effettuano trattamenti di dati personali.

In altri termini, il regolamento promuove a più riprese l’adozione di approcci e politiche aziendali che tengano conto costantemente del rischio che un determinato trattamento di dati personali può comportare per i diritti e le libertà degli interessati.

In tal senso si parla anche della c.d. «privacy by design», ossia della protezione dei dati fin dalla fase di ideazione e progettazione di un trattamento, anche mediante l’adozione di linee guida.

Tanto che un’altra novità introdotta dal regolamento riguarda la preliminare valutazione di impatto sulla prevenzione dei dati che un determinato trattamento può comportare.

Adempimento che, peraltro, è strettamente connesso alla figura del DPO, il quale ne sorveglia lo svolgimento.

4. REQUISITI E COMPITI

Il DPO funge innanzitutto da consulente dell’impresa in tutte le sue articolazioni che prevedono il trattamento di dati.

Ed infatti il primo compito disciplinato dall’art. 39 del regolamento prevede che egli assista il titolare, il responsabile e finanche i singoli incaricati del trattamento in merito agli obblighi derivanti dal GDPR nonché da ogni altra disposizione relativa alla protezione dei dati, sia in ambito europeo che nazionale (art. 39 c. 1 lett. a).

Il DPO è quindi inquadrato come un vero e proprio esperto di privacy: egli deve essere scelto fondamentalmente “in funzione delle qualità professionali”, ossia della conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati, oltre che della capacità di assolvere i compiti di cui all’articolo 39 del regolamento.

Il livello di competenza dovrà essere quindi tanto più elevato quanto più articolata e complessa sarà l’azienda, gli specifici trattamenti nonchè la tipologia dei dati raccolti.

Come già accennato, la figura in esame è stata prevista, ancor prima che dal GDPR, dal regolamento 45/2001, ove sono forniti alcuni standard professionali.

Sebbene siano stati elaborati in relazione alle istituzioni e agli organismi comunitari cui si applica il predetto regolamento, detti standard possono fungere da primo criterio orientativo anche per la selezione del soggetto più confacente alle necessità aziendali nell’ambito del GDPR.

Strettamente connessa alla funzione consultiva si pone poi l’attività di sorveglianza: il DPO deve infatti assicurarsi che l’impresa osservi sia le norme del regolamento e di ogni altra disposizione di legge, sia le politiche aziendali in materia, ivi compresa l’attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo (art. 39 c. 1 lett. b).

Il DPO funge altresì da punto di contatto dell’impresa con l’Autorità di controllo (art. 39 c. 1 lett. e) e con gli interessati (art. 38 c. 4), i quali possono contattarlo direttamente per tutte le questioni relative al trattamento dei loro dati personali e all’esercizio dei loro diritti derivanti dal regolamento.

Per assolvere a detti compiti, il DPO deve essere munito di tutte le risorse necessarie e deve poter accedere ai dati personali e ai trattamenti, fermo restando, ovviamente, il segreto e la riservatezza in merito all’adempimento dei propri compiti.

Non in ultimo egli deve essere coinvolto in tutte le questioni riguardanti la protezione dei dati personali.

Ciò significa che dovrà essere garantita, ad esempio, la sua partecipazione su base regolare alle riunioni manageriali di alto e medio livello, la sua presenza ogni qualvolta debbano essere assunte decisioni che impattano sulla protezione dei dati e, ovviamente, la sua tempestiva consultazione qualora si verifichi una violazione dei dati o un altro incidente che coinvolga il trattamento di dati personali.

5. I RAPPORTI CON IL TITOLARE ED IL RESPONSABILE DEL TRATTAMENTO

Alla luce delle funzioni appena descritte, emerge che il DPO è un soggetto munito di una spiccata autonomia e indipendenza, per certi aspetti assimilabile alla figura dell’organismo di vigilanza previsto in materia di responsabilità degli enti (d.lgs. 231/2001), ancorchè con riferimento alla sola protezione dei dati personali.

In tal senso, quindi, la figura del DPO ben può essere rivestita da un soggetto esterno all’impresa (art. 37, par. 6).

Egli peraltro deve vigilare anche sulle attività svolte dal titolare e dal responsabile del trattamento, ossia dagli stessi soggetti che lo hanno nominato.

Dette caratteristiche di autonomia ed indipendenza si riflettono sulle modalità di esecuzione dei compiti che gli vengono attribuiti per legge.

Così, ad esempio, il DPO non deve ricevere istruzioni dal titolare o dal responsabile sull’approccio da seguire in un caso specifico o sulla conduzione degli accertamenti in merito ad un reclamo.

Tuttavia è bene rilevare che l’autonomia del DPO non significa che egli disponga di un margine decisionale superiore al perimetro dei compiti fissati dall’articolo 39 del regolamento.

Ed anzi, l’art. 38, par. 3, prevede che il DPO “riferisce direttamente al vertice gerarchico del titolare del trattamento o del responsabile del trattamento”.

Tale rapporto diretto garantisce quindi che il vertice amministrativo sia a conoscenza delle indicazioni e delle raccomandazioni fornite dal DPO nel quadro della sue funzioni di informazione e consulenza a favore del titolare o del responsabile.

6. LE TIPOLOGIE DI TRATTAMENTO INTERESSATE

Come appena visto, la designazione del DPO è obbligatoria nei soli casi elencati all’art. 37, par. 1.

Diventa quindi di cruciale importanza individuare quali siano le “attività principali” del titolare o del responsabile, i cui trattamenti richiedono il “monitoraggio regolare” e “sistematico” degli interessati “su larga scala”, posto che il GDPR non fornisce alcun ausilio a riguardo.

6.1 Le attività principali

Il considerando n. 97 della direttiva afferma che le attività principali concernono le “… attività primarie ed esulano dal trattamento dei dati personali come attività accessoria”.

Con l’espressione attività principali, pertanto, si possono intendere le operazioni essenziali che sono necessarie al raggiungimento degli obiettivi perseguiti dal titolare o dal responsabile del trattamento.

Si può citare come esempio il caso di un’impresa di sicurezza privata incaricata della sorveglianza di aree pubbliche: l’attività principale consiste nella sorveglianza e questa, a sua volta, è legata in modo inscindibile al trattamento di dati personali, posto che nelle aree pubbliche si assiste al transito continuo di persone e di mezzi.

L’impresa in oggetto sarà quindi tenuta alla designazione di un DPO.

Allo stesso tempo, per poter esercitare un’attività in via principale, qualsiasi impresa svolge tutta una serie di operazioni di supporto, dal pagamento delle retribuzioni del personale all’utilizzo di strumenti informatici.

Pur essendo necessarie o essenziali alla vita dell’impresa, esse vanno considerate accessorie e non sono quindi annoverabili nella definizione di “attività principali”, benche abbiano ad oggetto in via immediata il trattamento di dati personali, quali quelli dei dipendenti, dei clienti e dei fornitori negli esempi anzidetti.

6.2 Il monitoraggio regolare e sistematico

Il concetto di monitoraggio è menzionato dal considerando 24, il quale fa particolare riferimento al tracciamento in internet dell’attività delle persone e alle connesse tecniche di elaborazione dei dati, le quali consentono, ad esempio, la profilazione della persona fisica, l’analisi e la previsione delle sue preferenze, comportamenti e opinioni personali (si veda in proposito Cookies: Nuovi adempimenti in materia di Privacy).

Trattasi di uno dei possibili ambiti di monitoraggio del comportamento degli interessati, che funge quindi da esempio ma che può, allo stesso tempo, aiutare l’interprete a comprendere la ratio sottesa alla relativa disciplina.

Si può quindi sostenere, per fare un altro esempio, che si abbia attività di monitoraggio regolare e sistematico anche nell’osservare le modalità di acquisto dei clienti di un supermercato e nell’elaborare i relativi risultati.

Per regolarità del monitoraggio, deve intendersi che l’attività si svolge in modo costante o ad intervalli periodici.

Per sistematicità, infine, ci si riferisce ad un monitoraggio organizzato o metodico, nell’ambito di un progetto di raccolta dei dati e svolto nell’ambito di una particolare strategia.

Riportandosi agli esempi precedenti, la strategia può essere individuata nel miglioramento delle tecniche di vendita, anche mediante l’individuazione di modalità con cui indurre il consumatore ad effettuare determinate scelte rispetto ad altre.

Altri esempi possono essere forniti da attività di marketing, profilazione e scoring per finalità di valutazione del rischio creditizio o assicurativo, oppure da programmi di fidelizzazione o di pubblicità c.d. comportamentale, che cioè usa le informazioni raccolte dal comportamento del consumatore.

6.3 Il trattamento su larga scala

Infine, per aversi designazione obbligatoria del DPO, il trattamento di dati personali deve avvenire su “larga scala”.

Anche sotto questo profilo soccorre uno dei considerando, il n. 91, secondo cui i trattamenti su larga scala “mirano al trattamento di una notevole quantità di dati personali a livello regionale, nazionale o sovranazionale e che potrebbero incidere su un vasto numero di interessati e che potenzialmente presentano un rischio elevato ... nonchè ad altri trattamenti che presentano un rischio elevato per i diritti e le libertà degli interessati, specialmente qualora tali trattamenti rendano più difficoltoso, per gli interessati, l’esercizio dei propri diritti”.

Lo stesso considerando prevede altresì che “Il trattamento di dati personali non dovrebbe essere considerato un trattamento su larga scala qualora riguardi dati personali di pazienti o clienti da parte di un singolo medico, operatore sanitario o avvocato”.

Gli ambiti così delineati consentono di individuare una serie di criteri utili a stabilire se un trattamento sia o meno effettuato su larga scala.

In particolare occorrerà tener conto:

a) del numero di soggetti interessati dal trattamento, in termini assoluti ovvero espressi in percentuale della popolazione di riferimento;

b) il volume dei dati e/o le diverse tipologie di dati oggetto di trattamento;

c) la durata, ovvero la persistenza, dell’attività di trattamento;

d) la portata geografica dell’attività di trattamento.

Alcuni esempi di trattamento su larga scala sono stati individuati nelle seguenti attività:

  • trattamento di dati di geolocalizzazione raccolti in tempo reale per finalità statistiche;

  • trattamento di dati relativi alla clientela da parte di una compagnia assicurativa o di un istituto bancario;

  • trattamento di dati personali da parte di un motore di ricerca per finalità di pubblicità;

  • trattamento di dati da parte di fornitori di servizi telefonici o telematici.

7. LA NOMINA DA PARTE DI UN GRUPPO IMPRENDITORIALE

Anche in un’ottica di risparmio dei costi che può comportare la nomina di una figura professionale specificamente deputata alla protezione dei dati personali, l’art. 37 del GDPR prevede la possibilità che più imprese facenti parte di un gruppo imprenditoriale nominino un unico DPO, a condizione che questi sia “facilmente raggiungibile da ciascuno stabilimento”.

Per gruppo imprenditoriale si intende un gruppo costituito da un’impresa controllante e dalle imprese controllate. Così come recita il considerando n. 37, “l’impresa controllante dovrebbe essere quella che può esercitare un’influenza dominante sulle controllate in forza, ad esempio, della proprietà, della partecipazione finanziaria o delle norme societarie o del potere di fare applicare le norme in materia di protezione dei dati personali“.

In tal caso i titolari e i responsabili del trattamento devono previamente assicurarsi che la designazione di un unico DPO permetta a tutti i membri del gruppo imprenditoriale di adempiere in modo efficiente agli obblighi imposti dal regolamento.

In tal senso è bene verificare se il DPO sia supportato da un team di collaboratori, i quali devono essere muniti delle medesime qualità professionali richieste dal regolamento.

Il considerando 97 precisa che il livello di conoscenza specialistica dovrebbe essere determinato in particolare in considerazione dei trattamenti effettuati ed in funzione della protezione richiesta per la specifica tipologia di dati oggetto di trattamento.

E’ quindi importante che la scelta del DPO ricada su soggetti la cui struttura organizzativa sia commisurata alle dimensioni del gruppo imprenditoriale, agli specifici trattamenti ed alla tipologia di dati trattati.