Il ruolo svolto dal DPO è uno dei temi più discussi nell’ambito della protezione dati e anche dopo l’entrata in vigore del GDPR, noto come “Codice in materia di protezione dei dati personali” e il suo ingresso nel nostro Ordinamento, resta comunque un tema da discutere. Oggi è arrivato il tempo di discutere sull’integrazione di questa figura all’interno del lavoro svolto dagli enti che l’hanno nominata e sulle difficoltà che ne caratterizzano lo svolgimento delle varie funzioni.
Questo argomento delicato e molto interessante è stato affrontato al tavolo di lavoro dello “State of Privacy” 2023, una riunione che ha coinvolto gli stati generali della protezione dei dati personali organizzati dall’Autorità Garante, presso il museo etrusco di Villa Giulia a Roma.
Data Protection Officer (DPO): chi è?
Il DPO è il Responsabile della Protezione dei dati, una figura nuova introdotta dal GDPR. La principale mansione di questa figura è quella di supportare il titolare e il responsabile del trattamento nel rispetto del GDPR. In particolare, deve garantire che i dati siano conservati in conformità di quanto previsto dal Regolamento e che siano tenuti al sicuro, gestendone eventuali rischi e imponendo misure di sicurezza in linea con quanto previsto dal GDPR. Alla luce di quanto previsto dal codice civile, si tratterebbe di una figura sia tecnica che legale, un consulente esperto in più campi.
Partendo da una specifica del Garante per la protezione dei dati, si ribadisce che il DPO debba essere in possesso della conoscenza approfondita della normativa e della privacy. Il Garante ha anche stabilito che il DPO deve conoscere approfonditamente le norme, le procedure relative al settore di riferimento.
Ecco perché, per la nomina a DPO vengono privilegiati tutti quei soggetti che dimostrano di essere in possesso di conoscenze approfondite in più ambiti, che lo rendano adeguato nello svolgimento di un compito complesso. Il conseguimento di master ed esperienze di studio specifiche sono delle esperienze aggiuntive utili che rendono questa figura non alla portata di tutti.
Il ruolo del DPO
Il contesto in cui può essere inserito il DPO, dal privato al pubblico, in gruppi oppure enti di piccole, medie e grandi dimensioni rende molto complesso il tentativo di voler identificare problemi ed esigenze ma soprattutto possibili soluzioni. Il tema del conflitto di interessi è tra quelli che non ancora oggi non sembra trovare una soluzione adeguata.
Il DPO fatica, purtroppo, a lavorare in piena indipendenza rispetto al suo titolare nonché responsabile del trattamento. Al contrario, spesso si trova a ricoprire incarichi che spetterebbero a loro nonostante una caratteristica fondamentale del suo ruolo l’obbligherebbe a mantenersi estraneo alle decisioni che riguardano modalità e finalità del trattamento.
Entrare nel merito delle modalità e finalità del trattamento è compito che spetta ad altri, e su queste scelte il DPO dovrebbe limitarsi ad esprimere pareri di non conformità. In caso contrario, trovandosi allo stesso tempo nella posizione di chi prende le decisioni e di chi ne deve valutare la legittimità, il suo controllo potrebbe risultare a priori viziato da un possibile conflitto di interessi. Queste sono le principali considerazioni che spingono a considerare poco opportune le funzioni del DPO.
Chi può svolgere il ruolo di DPO?
La normativa specifica anche che il ruolo del DPO non rappresenta quello di tutelare gli interessi del titolare del trattamento. Al contrario, il DPO deve tutelare i dati personali, quindi, i diritti degli interessati. Ne consegue la necessità che il DPO possa svolgere la propria mansione in piena autonomia e indipendenza, in assenza di conflitto di interesse. Ciò fa sì che coloro che si trovano ai vertici di un’azienda o di un ente, non possano ricoprire il ruolo di DPO.
La normativa permette di nominare DPO uno dei dipendenti dell’azienda ma non c’è alcun obbligo che imponga un DPO interno. Il servizio di protezione dati può essere esterno, nominando tramite contratto un fornitore esterno del servizio. Questo fornitore può essere un libero professionista oppure un’azienda. Nel caso in cui il responsabile della protezione dati fosse nominato esternamente all’azienda, diventa necessario nominare anche il responsabile del trattamento.
Quali sono gli obblighi del titolare?
Il titolare del trattamento possiede vari obblighi che gli vengono imposti dalla normativa, rispetto al DPO. Nello specifico, il titolare del trattamento deve fornire risorse tecniche, umane e finanziarie necessarie per lo svolgimento, in autonomia dei propri compiti. Inoltre, il titolare deve:
- supportare il DPO nell’esecuzione dei propri compiti;
- consentire l’accesso ai dati e alle operazioni di trattamento degli stessi;
- assicurare l’accesso del DPO ai vertici aziendali;
- non fornire istruzioni al DPO;
- non penalizzare e/o licenziare il DPO se ha eseguito correttamente le sue mansioni a tutela dei dati, qualora dovessero entrare in conflitto con gli interessi dell’azienda.
Quando è obbligatoria la nomina del DPO?
La nomina del DPO sembra essere obbligatoria:
- per l’autorità pubblica: il GDPR parla di obbligo per pubbliche amministrazioni ed enti pubblici. Ciò vuol dire che la nomina del DPO è importante per gli organismi privati incaricati di svolgere funzioni pubbliche o di esercitare pubblici poteri. Il Garante ha ampliato la lista specificando che devono nominare un DPO anche gli organismi amministrativi, le autorità locali e regionali, la Camera di Commercio e altri organismi;
- in tutti i casi in cui l’attività principale del titolare e del responsabile richiedono controllo regolare su larga scala. Fanno parte di coloro che hanno l’obbligo della nomina di un DPO anche gli ospedali, il cui fine è quello di curare i pazienti, ma per farlo il trattamento di dati personali è fondamentale.
Quando si parla di trattamento su larga scala, il codice civile, invita a prendere in considerazione: il numero di interessati coinvolti, la quantità e la tipologia di dati trattati, la durata del trattamento e la portata geografica del trattamento.
Quando si parla, invece, di dati sensibili si intendono tutti quelli che riguardano la salute, l’orientamento sessuale, la situazione giuridica di un individuo, ma anche i dati biometrici e quelli genetici. Fanno parte trattamento anche tutte le forme di monitoraggio e profilazione in Internet.
Alla luce di quanto analizzato, si potrebbe dire che il DPO sia una figura che riguardi solamente le grandi aziende ma nell’era digitale in cui viviamo non è così, in quanto ci sono delle piccole aziende che trattano i dati di centinaia o migliaia di persone. Si pensi ad esempio a un call center, ma anche a colo che utilizzano un impianto di videosorveglianza.
