Scopri i Master e Corsi che potrebbero Interessarti
Il ruolo del Data Protection Officer nel nuovo contesto europeo
L'anno in corso costituisce una punto fondamentale nel disciplinare il trattamento dei dati personali all'interno dell'Unione Europea dal momento che, a seguito di un processo di intensa negoziazione in seno alle istituzioni europee, lo scorso 27 aprile è stato emanato il Regolamento Europeo n. 2016/679 in materia di protezione dei dati personali.
Il Regolamento diverrà vincolante per tutti gli Stati Membri dell'Unione Europea dal 25 maggio 2018. L'emanazione di tale Regolamento, che sostituirà la Direttiva 95/46/CE nonché qualsiasi atto di diritto interno che ha recepito la Direttiva, ha comportato una serie di novità nel panorama del "Diritto delle Privacy" tra le quali spicca indubbiamente la figura del Responsabile della protezione dei dati - Data Protection Officer (DPO).
Il Data Protection Officer
Tale ruolo, di chiaro stampo anglosassone, è stato mutuato da giurisdizioni che, tradizionalmente, necessitavano di un punto di riferimento in materia di tutela dei dati personali all'interno delle aziende al fine di colmare alcune lacune e/o rafforzare la protezione dei dati personali all'interno del paese.
Il Responsabile della Protezione dei dati assumerà la veste di controllore e consigliere, all'interno di specifiche realtà aziendali, nei confronti di tutte le figure coinvolte nel trattamento dei dati personali assumendo, quindi una funzione strategica e nevralgica nel rendere l'azienda compliant alla normativa sulla protezione dei dati personali.
Risulta utile chiarire preliminarmente che il legislatore europeo nel definire la figura del Data Protection Officer ha ritenuto opportuno individuare le specifiche realtà per le quali la nomina di tale figura è obbligatoria. A tal proposito, saranno tenuti a nominare un DPO:
- Ciascuna autorità pubblica o un organismo pubblico, ad eccezione delle autorità giurisdizionali quando esercitano le proprie funzioni giurisdizionali;
- Le entità giuridiche che svolgono attività che implicano trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala;
- Le entità giuridiche che trattano, su larga scala, categorie particolari di dati personali come meglio identificati all'interno dell'articolo 9 del Regolamento (e.g. dati sensibili, genetici e biometrici) o dati relativi a condanne penali e a reati di cui all'articolo 10 del Regolamento.
Alla luce di questa generica elencazione si può sostenere che lo spettro di entità obbligate a nominare un DPO si prospetta assai più ampio. Si tenga presente che un gruppo di imprese, anche multinazionali, o soggetti pubblici possono nominare un unico DPO che svolga la propria attività trasversalmente su tutte le entità coinvolte. La ratio di questa disposizione è quella di abbattere le barriere che potrebbero impedire l'inserimento di un DPO nelle azienda a causa degli eventuali costi che le stesse saranno tenute a sostenere.
Requisiti e Caratteristiche di un DPO
Andando ad illustrare le caratteristiche ed i requisiti del DPO, bisogna effettuare una ripartizione in due categorie di requisiti distinti: formali e sostanziali. Un requisito formale è dato dalla modalità di nomina del DPO; a tal riguardo l'articolo 37 del Regolamento statuisce che egli debba essere nominato dal titolare o dal responsabile del trattamento dei dati. Tale impostazione è stata recepita anche dal Garante con un’apposita scheda informativa. La ratio di tale disposizione sembrerebbe essere quella di fare in modo che il DPO si collochi in una posizione di vertice all'interno dell'organigramma aziendale, alla stregua di un vero e proprio Project Manager Officer con il compito di monitorare costantemente tutte le attività di trattamento condotte dal titolare e/o dai responsabile del trattamento.
Requisiti sostanziali del DPO si riscontrano nell'essenzialità di una adeguata conoscenza della normativa sulla privacy e delle prassi di gestione di tutte le operazioni di trattamento dei dati personali.
Il requisito dell'adeguatezza dipende necessariamente dal grado di complessità dell'incarico che dovrà essere affrontato da un potenziale DPO. Pertanto, nella scelta del DPO ideale, sarebbe opportuno che ciascun titolare del trattamento prescindesse dal requisito dell'adeguatezza in astratto ed adottasse, invece, quello dell'adeguatezza in concreto commisurando l'effettiva esperienza del potenziale DPO in relazione alla complessità della struttura aziendale e delle questioni che potrebbero emergere in concreto.
Da un punto di vista dinamico, l'Autorità Garante per la Protezione dei Dati Personali nell'illustrare la figura del DPO ha precisato che questo debba necessariamente adempiere alle sue funzioni in piena indipendenza ed in assenza di conflitti di interesse. A tal riguardo sarà opportuno che ciascuna azienda obbligata e/o intenzionata a nominare un DPO predisponga appositi “chinese walls” nei confronti di quest'ultimo e strutturi l'investitura di tale soggetto in modo che, una volta nominato, debba rendere conto solo ed esclusivamente al titolare e/o responsabile del trattamento ed alle autorità pubbliche e non anche a soggetti che abbiano sponsorizzato la propria investitura all'interno della struttura aziendale (c.d. effetto Canterbury).
Con riferimento alla specifica operatività del DPO, l'Autorità Garante per la Protezione dei Dati Personali ha altresì precisato che per lo svolgimento del proprio incarico il DPO dovrà beneficiare di risorse umane e finanziarie necessarie all'adempimento dei suoi compiti così come messe a sua disposizione dal titolare e/o dal responsabile della protezione dei dati.
Sulla base di tali elementi emerge chiaramente come il DPO sia di fatto un nuovo punto di riferimento all'interno della compliance aziendale e che, in virtù del notevole grado di competenza richiesta e della delicatezza del compito da svolgere, il ruolo possa essere anche ricoperto da un soggetto esterno alla struttura, tramite un contratto di outsourcing.
Le attività che il DPO dovrà svolgere
Trattando in conclusione i compiti che il DPO sarà tenuto a svolgere, essi sono di seguito sommariamente indicati riportando le indicazioni dell'Autorità Garante per la Protezione dei Dati Personali:
- Informare e consigliare il titolare o il responsabile del trattamento, nonché i dipendenti, in merito agli obblighi derivanti dal Regolamento europeo e da altre disposizioni dell'Unione o degli Stati Membri relative alla protezione dei dati (Ruolo informativo);
- Verificare l'attuazione e l'applicazione del Regolamento, delle altre disposizioni dell'Unione o degli Stati Membri relative alla protezione dei dati nonché delle politiche del titolare o del responsabile del trattamento in materia di protezione dei dati personali, inclusi l'attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale coinvolto nelle operazioni di trattamento, e gli audit relativi (Ruolo di implementazione);
- Fornire, se richiesto, pareri in merito alla valutazione d'impatto sulla protezione dei dati e sorvegliare i relativi adempimenti (Ruolo consultivo);
- Fungere da punto di contatto per gli interessati in merito a qualunque problematica connessa al trattamento dei loro dati o all'esercizio dei loro diritti (Centro di ricezione dei flussi informativi);
- Fungere da punto di contatto per l'Autorità Garante per la Protezione dei Dati Personali oppure, eventualmente, consultare quest'ultima di propria iniziativa (Centro di trasmissione dei flussi informativi).
In conclusione, la figura del DPO, sebbene molto ben definita in teoria, dovrà, nel prossimo futuro, ritagliarsi una nicchia all'interno di ciascuna realtà aziendale, e dovrà modularsi in virtù dei singoli contesti produttivi. A tal riguardo gli interventi dell'Autorità Garante per la Protezione dei Dati Personali svolgeranno un ruolo cruciale e potranno decretare il successo o meno di questa nuova ed determinante figura professionale.
Scopri i Master e Corsi che potrebbero Interessarti
by
Giurista d'Impresa
