Indica un intervallo di date:
  • Dal Al
©credits

Data Protection Officer: chi scegliere e quando sceglierlo

Una delle novità di maggiore rilievo del Regolamento generale in materia di protezione dei dati personali è costituita dall’introduzione della figura del data protection officer ovvero del responsabile della protezione dei dati, per ricorrere all’espressione adoperata nella versione italiana. Espressione che, tuttavia, rischia di ingenerare confusione, almeno sul piano terminologico, con il responsabile del trattamento: tuttavia, sebbene alcune delle funzioni che il Regolamento demanda al DPO siano state, in passato, svolte da alcuni responsabili del trattamento, si tratta di due figure distinte.

Il DPO era già stato introdotto, come obbligatorio, in alcuni ordinamenti europei, tra cui la Germania, l’Austria e la Repubblica Ceca; in altri ordinamenti, come la Francia, la nomina di tale soggetto è invece facoltativa.

Il responsabile della protezione dei dati, così disegnato dal legislatore comunitario, sembra presentare numerose analogie con il datenschutzbeauftragter introdotto nell’ordinamento tedesco con il Bundesdatenschutzgesetz del 2003. Il diritto tedesco, al pari dell’originaria formulazione dell’art. 37 del Regolamento, àncora l’obbligo di nomina del datenschutzbeauftragter (DSB) alla presenza di un numero minimo di dipendenti preposti a mansioni che implicano il trattamento di dati personali.

Similmente alla legge tedesca, che prevede che il DSB possa avere accesso a tutte le informazioni relative ai trattamenti, l’art. 38, par. 1 del Regolamento, stabilisce che il DPO sia “tempestivamente e adeguatamente coinvolto in tutte le questioni riguardanti la protezione dei dati personali”. Altra analogia è rappresentata dal divieto di penalizzare il DPO per il suo ruolo – disposizione questa fondamentale nel caso in cui lo stesso sia anche dipendente della società – ovvero, per ricorrere alle parole del Regolamento, che possa essere “rimosso o penalizzato dal titolare del trattamento o dal responsabile del trattamento per l’adempimento dei propri compiti”. Per la medesima ragione, il Regolamento ha imitato la legge tedesca anche nell’assegnare al DPO il diritto di relazionare “direttamente al vertice gerarchico del titolare del trattamento o del responsabile del trattamento”, evitando rapporti diretti con altri soggetti, le cui responsabilità potrebbero rilevare in caso di trattamenti illeciti o di mancato rispetto delle disposizioni in materia di sicurezza.

A ben vedere, però, al di là di tali analogie, più che le singole disposizioni normative, sembra essere circolata l’idea di fondo del modello tedesco, basato su di un approccio di corporate self-monitoring (e di self-responsibility), nel quale sono le società a farsi carico di un adeguamento e di un controllo capillare nella gestione dei dati personali. Come nel modello tedesco, anche quello europeo detta un complesso uniforme di regole, ma poi si rimette alla self-governance delle imprese che, spinte da un quadro sanzionatorio molto rigoroso, hanno l’interesse a far rispettare minuziosamente la disciplina applicabile.

Replicare il modello tedesco, tuttavia, presenta un inconveniente, causato dall’indeterminatezza dei compiti richiesti direttamente sui DPO o sul titolare o il responsabile del trattamento, soggetti al controllo del DPO stesso. L’esperienza germanica, se comparata con quella di altri ordinamenti, come la Spagna, in cui le mansioni del DPO sono analiticamente elencati dalla legge, mostra un aumento dei costi transattivi, in termini di tempo e di incertezza derivante dalla vaghezza e discrezionalità delle soluzioni da adottare.

La nomina di un DPO è obbligatoria in tre casi:

  1. a) amministrazioni ed organismi pubblici, con esclusione delle autorità giurisdizionali quando esercitano le loro funzioni;
  2. b) laddove le attività principali di titolare o responsabile consistano in trattamenti che, per la loro natura, il loro oggetto o, ancora, per le loro finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala;
  3. c) laddove le attività principali di titolare o responsabile consistano in trattamenti, su larga scala, di dati sensibili (inclusi i dati relativi allo stato di salute o alla vita sessuale), di dati genetici, di dati giudiziari e di dati biometrici.

L’obbligo è imposto, in altri termini, solo per le grandi società (o, per essere più precisi, per le società che trattano una mole significativa di dati personali o di dati rientranti nel c.d. “nocciolo duro” della privacy). La mancata estensione a tutte le società, infatti, risponde all’esigenza, da un lato, di non “volgarizzare” questa qualifica, che dovrebbe competere esclusivamente a professionisti che vantano una radicata esperienza nel settore, e, dall’altro (e soprattutto), dalla necessità di non gravare le imprese con costi eccessivi.

Sebbene il Regolamento – al pari, per quanto è dato sapere, delle legislazioni nazionali europee che hanno già introdotto l’obbligo – nulla stabilisca al riguardo, sembra potersi ritenere che il DPO debba essere un giurista. In tal senso, milita il par. 5 dell’art. 39, che prevede che il DPO debba essere “designato in funzione delle qualità professionali, in particolare della conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati, e della capacità di assolvere i compiti” a lui assegnati dal Regolamento e di cui si tratterà a breve.

L’art. 37 tende, inoltre, ad accentrare i compiti di tale figura e, in linea con lo spirito generale del Regolamento, che mira ad individuare un punto nodale per le grandi imprese che trattano dati personali, ammette che un gruppo imprenditoriale possa nominare un unico DPO, a condizione che lo stesso sia facilmente raggiungibile da ciascuno stabilimento.

Analogamente, più enti pubblici possono designare un solo responsabile per la protezione, tenuto conto della loro struttura organizzativa e dimensione.

In caso di nomina del DPO – che, ai sensi del comma 6 dell’art. 37, può essere un dipendente o un soggetto esterno – è necessario che i suoi dati di contatto siano resi pubblici, ai fini di un eventuale contatto diretto da parte dei soggetti interessati, e comunicati al Garante nazionale.

La scelta se nominare un soggetto interno o esterno è rimessa al titolare del trattamento: chi scrive, tuttavia, è dell’avviso che, soprattutto gli enti pubblici e le medie e grandi imprese, dovrebbero preferire un soggetto esterno attesa la difficoltà di reperire, all’interno del proprio organigramma, professionisti dotati dei requisiti di esperienza e professionalità richiesti dalla normativa comunitaria.