Nell’articolo Il DPO- Data Protection Officer nel GDPR: quando è obbligatorio abbiamo esaminato le ipotesi di obbligatorietà del DPO. Vediamo ora quali sono i compiti del Data protection officer, che esperienze e conoscenze deve possedere, la sua possibile collocazione organizzativa, le sue eventuali responsabilità e le sanzioni per gli enti e le aziende in caso di mancata nomina o di mancato rispetto dei requisiti normativi.
Quali sono i compiti del Data protection officer
Il Responsabile della protezione dei dati è un soggetto con un ruolo misto di consulenza e controllo: deve verificare l’applicazione del GDPR, facilitarne l’osservanza e minimizzare il rischio di violazioni, informare e consigliare le P.A. e le imprese, fungere da interfaccia fra i diversi soggetti coinvolti (autorità di controllo, interessati e diverse business unit aziendali).
Come precisato dal Gruppo di Lavoro articolo 29 in materia di protezione dei dati personali (di seguito, WP29), nelle «Linee Guida sui responsabili della protezione dei dati (RPD)» (in inglese, «Guidelines on Data Protection Officers – DPOs»), i compiti del Data protection officer sono:
- informare e consigliare le organizzazioni ed i loro dipendenti sui loro obblighi derivanti dal GDPR e dalla normativa nazionale;
- sorvegliare l’osservanza del GDPR e delle policies interne in materia di data protection, compresi l’attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale e i relativi audit.
- fornire se richiesto un parere sulla valutazione d’impatto del trattamento sulla protezione dei dati [1] e sorvegliarne lo svolgimento;
- cooperare con le autorità di controllo e fungere da loro punto di contatto per facilitare l’accesso, da parte di queste, ai documenti ed alle informazioni necessarie per lo svolgimento dei compiti del Data protection officer, nonché ai fini dell’esercizio dei poteri di indagine, correttivi, autorizzativi e consultivi alle stesse attribuite dal GDPR.
Competenze ed esperienze richieste dal GDPR
Data l’importanza del suo ruolo, enti pubblici e aziende non potranno limitarsi ad attribuire il ruolo di DPO ad uno qualunque dei loro impiegati. La scelta di tale figura, secondo il WP29, dovrà essere effettuata con particolare attenzione (tenendo adeguatamente conto delle specifiche problematiche in materia di protezione dei dati proprie di ciascuna organizzazione), verificando il possesso di competenze ed esperienze specifiche (ed, in particolare, di una “conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati”), nonché, nel caso delle pubbliche amministrazioni, di una conoscenza approfondita delle norme e procedure amministrative applicabili. Secondo il WP29 è anche utile “la conoscenza dello specifico settore di attività e della struttura organizzativa dell’azienda o dall’organizzazione in cui opera; inoltre, dovrà avere buona familiarità con le operazioni di trattamento svolte, nonché con i sistemi informativi e le esigenze di sicurezza e protezione dati manifestate dall’azienda”.
Come precisato dal Garante Privacy, la selezione prescinde da attestati formali o dall’iscrizione ad appositi albi professionali, ma dovrà essere effettuata dalle aziende e dagli enti valutando autonomamente il possesso dei requisiti necessari per svolgere i compiti assegnati. La normativa, infatti, non prevede l’istituzione di un albo dei “Responsabili della protezione dei dati” che possa attestare i requisiti e le caratteristiche di conoscenza, abilità e competenza di chi vi è iscritto. Eventuali certificazioni “rilasciate anche all’esisto della partecipazione ad attività formative e al controllo dell’adempimento”, ribadisce l’Autorità nelle Nuove Faq sul Responsabile della Protezione dei dati (RPD) in ambito pubblico, pur “rappresentando, al pari di altri titoli, un valido strumento ai fini della verifica del possesso di un livello minimo di conoscenza della disciplina, tuttavia non equivalgono, di per sé, a una “abilitazione” allo svolgimento del ruolo del RPD né, allo stato, sono idonee a sostituire il giudizio rimesso alle PP.AA. nella valutazione dei requisiti necessari al RPD per svolgere i compiti previsti dall’art. 39 del RGPD [2]”.
Ulteriori Requisiti del DPO
Competenze ed esperienze specifiche non sono comunque sufficienti. Sono previsti ulteriori requisiti normativi relativi alla “posizione” di tale figura e, in generale, ai compiti del Data protection officer.
Il DPO deve riferire direttamente al vertice gerarchico in modo che quest’ultimo possa venire a conoscenza delle indicazioni e delle raccomandazioni dal primo fornite nell’esercizio delle sue funzioni di informazione e consulenza. A tal proposito, il Garante suggerisce, ove la struttura organizzativa lo consenta e tenendo conto della complessità dei trattamenti, di designare un dirigente ovvero a un funzionario di alta professionalità (cfr. FAQ 4).
Il Responsabile per la protezione dei dati deve anche disporre di risorse (finanziarie, umane e di infrastrutture) adeguate per assolvere tali compiti e per mantenere la propria conoscenza specialistica
Secondo il Garante, ne discende che, in relazione alla complessità (amministrativa e tecnologica) dei trattamenti e dell’organizzazione, occorrerà valutare attentamente se una sola persona possa essere sufficiente a svolgere il complesso dei compiti affidati al RPD. Come riportato anche nelle Linee guida sul DPO del WP29, «in linea di principio, quanto più aumentano complessità e/o sensibilità dei trattamenti, tanto maggiori devono essere le risorse messe a disposizione del RPD. La funzione “protezione dati” deve poter operare con efficienza e contare su risorse sufficienti in proporzione al trattamento svolto».
I compiti del Data protection officer devono essere eseguiti in piena autonomia e indipendenza: il Dpo non può ricevere istruzioni in relazione all’esecuzione dei compiti attribuitigli (quali siano i risultati attesi, come condurre gli accertamenti su un reclamo, se consultare o meno l’autorità di controllo), né sull’interpretazione da dare a una specifica questione attinente alla normativa in materia di protezione dei dati.
Assenza di conflitto di interessi
Essendogli attribuiti poteri di controllo solitamente affidati alle autorità, fondamentale è anche l’assenza di conflitto di interessi. Ciò significa che, nel caso di nomina interna, la persona individuata quale DPO non deve rivestire un ruolo all’interno dell’organizzazione che gli consenta di determinare finalità e modalità del trattamento.
Il WP29 specifica che, anche se tratta di un elemento da tenere in considerazione caso per caso guardando alla specifica struttura organizzativa, a grandi linee, possono sussistere situazioni di conflitto non solo relativamente a ruoli manageriali di vertice (amministratore delegato, responsabile operativo, CFO, direttore sanitario, direttore marketing, responsabile delle risorse umane, etc.), ma anche rispetto a posizioni gerarchicamente inferiori se queste ultime comportano la determinazione di finalità o mezzi del trattamento. Da notare che in Germania, in cui tale figura esiste già da diversi anni, il 20 ottobre 2016, il Garante per la privacy bavarese ha sanzionato una società che aveva designato il proprio IT manager come Data Protection Officer, in quanto i relativi compiti sono verosimilmente incompatibili con quelli propri del DPO, che finirebbe in pratica per controllare sé stesso, verificando se le proprie attività di IT manager siano conformi alla normativa in materia di data protection.
Al fine di fornire un ausilio pratico alle aziende nell’individuare un proprio dipendente come DPO, si riportano di seguito possibili scenari legati alla collocazione organizzativa interna del DPO comprensivi di valutazioni di massima sulla «percorribilità» di ciascuna soluzione.
La creazione di una funzione ad hoc di “DPO” in staff al CdA è conforme al requisito normativo secondo cui il DPO deve riferire direttamente «al vertice gerarchico» del titolare o del responsabile. Anche un DPO inserito in funzioni di controllo preesistenti in staff al vertice (sia pure meno preferibile della prima) sembra in ogni caso rispondere ai requisiti normativi, in quanto i compiti di tali funzioni non dovrebbero essere incompatibili con i tipici compiti del Data protection officer. Inoltre, il DPO è tipicamente una funzione (anche) di controllo (come abbiamo visto, uno dei compiti a lui affidati è quello di sorvegliare l’osservanza del GDPR).
La scelta per essere ottimale deve in ogni caso ricadere su un soggetto in possesso delle qualità professionali richieste (ed in particolare della conoscenza specialistica di normativa e prassi in materia di protezione dei dati).
Tipicamente funzioni quali quella degli Affari Legali svolgono un ruolo di consulenza, mentre le decisioni finali in materia di modalità e finalità del trattamento sono di regola assunte da altre funzioni. Se tale funzione svolgesse però attività quali la redazione e l’aggiornamento della documentazione privacy tali attività potrebbero porsi in conflitto di interessi con il ruolo di DPO.
È possibile (anche se non automatico, data la specificità della materia) che la funzione Affari Legali, più di altre funzioni, sia dotata delle qualità professionali richieste ed in particolare della conoscenza specialistica di normativa e prassi in materia di protezione dei dati.
Essendo una figura di controllo e di consulenza, il DPO non deve assumere decisioni. Come sopra indicato, non possono essere designati quali DPO persone che rivestono, all’interno dell’organizzazione, ruoli che consentano loro di determinare finalità e modalità del trattamento.
È inoltre difficile (anche se non impossibile) che soggetti come quelli sopra indicati (con la probabile eccezione dello Chief Information Officer (CIO) o ICT Security Manager), siano dotati delle qualità professionali richieste ed in particolare della conoscenza specialistica di normativa e prassi in materia di protezione dei dati.
Per quanto concerne in particolare l’ambito pubblico, il nostro Garante (cfr. Faq 7) ha precisato che, oltre ai ruoli manageriali di vertice, possono sussistere situazioni di conflitto di interesse rispetto a figure apicali dell’amministrazione investite di capacità decisionali in ordine alle finalità e ai mezzi del trattamento posto in essere dall’ente pubblico, come il responsabile dei Sistemi informativi (chiamato ad individuare le misure di sicurezza necessarie) ovvero il responsabile dell’Ufficio di statistica (deputato a definire le caratteristiche e le metodologie del trattamento dei dati personali utilizzati a fini statistici).
Altri eventuali funzioni e compiti del Data Protection officer
Se non in conflitto di interessi, al DPO possono essere dunque assegnati altri compiti e funzioni, purché, a seconda della natura dei trattamenti e delle attività e dimensioni della struttura, le eventuali ulteriori incombenze attribuite non sottraggano al DPO il tempo necessario per adempiere alle proprie responsabilità.
In linea di principio, precisa il Garante nella FAQ 7, è quindi ragionevole che negli enti pubblici di grandi dimensioni, con trattamenti di dati personali di particolare complessità e sensibilità (come le amministrazioni centrali, gli istituti previdenziali, le regioni e le asl) non vengano assegnate al RPD ulteriori responsabilità. Anche gli esperti individuati dalle aziende ospedaliere, in considerazione della delicatezza dei trattamenti di dati effettuati (come quelli sulla salute o quelli genetici), oltre che preferibilmente vantare una specifica esperienza al riguardo, dovrebbero assicurare un impegno pressoché esclusivo nella gestione di quelli che sono identificati quali i compiti del Data protection officer.
In tale quadro, ad esempio, secondo l’Autorità nazionale, l’attribuzione delle funzioni di DPO al responsabile per la prevenzione della corruzione e per la trasparenza, considerata la molteplicità degli adempimenti che incombono su tale figura, potrebbe rischiare di creare un cumulo di impegni tali da incidere negativamente sull’effettività dello svolgimento dei compiti che il GDPR attribuisce al RPD.
La valutazione sulla capacità della persona individuata quale DPO di adempiere in modo efficiente alle proprie tali funzioni, deve essere effettuata anche dagli enti o gli organismi di piccole dimensioni che vogliano designare congiuntamente, come consentito, un unico Data Protection Officer.
DPO interno o esterno
In mancanza di competenze specialistiche all’interno della singola struttura, le aziende o gli enti potranno in ogni caso avvalersi di soggetti esterni (persone fisiche o giuridiche, come una società di consulenza specializzata) in forza di un contratto di servizi in modo che i compiti del Data protection officer siano comunque svolti.
Se la funzione di DPO è svolta da un fornitore esterno di servizi, i relativi compiti potranno essere assolti efficacemente da un team che associ le competenze e le capacità individuali di ciascun componente, purché operante sotto l’autorità di un contatto principale designato e “responsabile” per il singolo cliente. Il nostro Garante a tale riguardo precisa, nella Faq 4, che nel contratto di servizi deve essere individuato in maniera inequivocabile il soggetto che opererà come DPO, riportandone espressamente le generalità, i compiti e le funzioni, fermo restando che ogni membro del team deve soddisfare i requisiti di cui al GDPR.
La valutazione se designare quale DPO un soggetto interno alla propria organizzazione oppure di avvalersi di un soggetto esterno dipende da una serie di fattori, quali ad esempio, le caratteristiche, dimensioni e complessità dell’azienda o dell’ente, i costi di ciascuna delle due soluzioni, la necessità di una presenza full time o meno, la disponibilità di una risorsa interna con un profilo adeguato o la possibilità di reperire una risorsa adeguata da assumere.
Sempre al fine di aiutare le imprese e gli enti nella scelta se optare per un DPO interno o piuttosto avvalersi di un fornitore esterno, di seguito si riporta una tabella che analizza in maniera schematica gli elementi a favore e contro di entrambe le soluzioni. Si tratta, ovviamente, solo di considerazioni di massima che non valgono comunque in assoluto e che potrebbero variare a seconda dello specifico contesto.
Designazione del DPO
In entrambi i casi è comunque necessaria una formale “designazione”.
Nel caso in cui la scelta ricada su una professionalità interna all’ente, occorre formalizzare un apposito atto di designazione a “Responsabile per la protezione dei dati”.
In caso, invece, di ricorso a soggetti esterni all’ente, la designazione deve costituire parte integrante dell’apposito contratto di servizi.
Si segnala che per agevolare gli enti pubblici, il Garante ha predisposto uno schema di atto di designazione riportato in allegato alle Faq sopra menzionate.
Coinvolgimento del DPO
Costituendo il fulcro del nuovo sistema di governance in tema di data protection, l’RPD deve essere tempestivamente coinvolto in tutte le questioni che riguardano la protezione dei dati personali.
Di conseguenza, secondo il WP29, le organizzazioni, oltre a dover consultare il DPO quando effettuano una DPIA (si veda sopra, nota 1), dovrebbero garantire:
- che il DPO sia invitato a partecipare su base regolare alle riunioni del management di alto e medio livello;
- la presenza del DPO (che deve disporre tempestivamente di tutte le necessarie informazioni in modo da poter rendere una consulenza idonea) ogniqualvolta debbano essere assunte decisioni che impattano sulla protezione dei dati;
- che il parere del DPO riceva sempre la dovuta considerazione, documentando, in caso di disaccordi, le motivazioni che hanno portato a condotte difformi da quelle raccomandate dal DPO;
- che il DPO sia consultato tempestivamente qualora si verifichi una violazione dei dati o un altro incidente.
Divieto di penalizzazioni
Al fine di rafforzare l’autonomia del DPO e ad assicurarne l’indipendenza nell’adempimento degli stessi compiti del Data protection officer, è previsto che lo stesso non possa essere “rimosso o penalizzato per l’adempimento dei propri compiti”.
Il divieto di penalizzazioni si applica solo con riguardo a quelle penalizzazioni derivanti dallo svolgimento delle proprie attività intese come compiti del Data protection officer (come la mancata o ritardata promozione, il blocco delle progressioni di carriera, la mancata concessione di incentivi rispetto ad altri dipendenti). Il DPO non può essere rimosso dall’incarico per aver raccomandato di effettuare la DPIA (ritenendo che un determinato trattamento comporti un rischio elevato) al Titolare che non concordi con la sua valutazione.
Resta inteso che è possibile legittimamente interrompere il rapporto con l’RPD per motivazioni diverse dallo svolgimento dei compiti che gli sono propri, come in caso di furto, molestie sessuali o di altro genere, o altre analoghe e gravi violazioni deontologiche.
Pubblicazione e comunicazione dei dati di contatto del DPO
I dati di contatto del DPO devono essere indicati nell’Informativa privacy fornita agli interessati, nonché pubblicati e comunicati alle pertinenti autorità di controllo [3].
Queste disposizioni mirano a garantire che tanto gli interessati (all’interno o all’esterno dell’ente o dell’azienda), quanto le autorità di controllo possano contattare il RPD in modo facile e diretto senza doversi rivolgere a un’altra struttura e che i dipendenti possono presentare reclami in totale riservatezza.
Sanzioni in caso di mancata nomina del DPO
Per le pubbliche amministrazioni e le aziende obbligate a farlo non nominare il DPO non è un’opzione percorribile. A prescindere dalla circostanza che scegliere una figura preparata ed affidabile consente di supportare gli enti pubblici e le imprese nell’ambito del mercato digitale unico europeo, non si può non considerare che la sua mancata designazione nei casi di obbligatorietà (come pure il mancato rispetto dei requisiti normativi relativi alla sua posizione e ai compiti del Data protection officer stessi) può comportare l’applicazione di una sanzione amministrativa fino a 10 milioni di euro (o, per le imprese, se superiore, al 2% del fatturato mondiale totale annuo dell’esercizio precedente dell’impresa).
Il WP29 raccomanda, pertanto, alle organizzazioni, a meno che non sia evidente che non siano tenute a nominare un DPO, a documentare le valutazioni effettuate internamente per stabilire se una tale figura debba o meno essere designata, così da poter dimostrare che l’analisi ha preso in esame correttamente i fattori pertinenti. Tale analisi fa parte della documentazione da produrre in base al principio di accountability: potrebbe essere richiesta dall’autorità di controllo e dovrebbe essere aggiornata ove necessario, come nel caso in cui vengano intraprese nuove attività o forniti nuovi servizi che potrebbero ricadere nel novero dei casi di obbligatorietà elencati all’art. 37, par. 1 (descritti nel precedente articolo).
Responsabilità del DPO
L’individuazione della persona adatta a svolgere il ruolo e i compiti del Data protection officer non consente però ad imprese e enti pubblici di “dormire sonni tranquilli”. Il DPO, infatti, è una figura di controllo e di consulenza priva di responsabilità esecutive: esprime solo pareri, ma le decisioni (anche eventualmente in contrasto con il suo parere) e le conseguenti responsabilità sono assunte dall’ente o dall’azienda titolare del trattamento. Come precisato chiaramente dal WP29, il Responsabile della protezione dei dati non risponde personalmente in caso di inosservanza del GPDR: “Data protection compliance is a corporate responsibility of the data controller, not of DPO”.
[1] La valutazione (preliminare) d’impatto del trattamento sulla protezione dei dati (anche nota con l’acronimo “DPIA”) deve essere effettuata nei casi in cui il trattamento, soprattutto se effettuato mediante nuove tecnologie, considerati la natura, l’oggetto, il contesto e le finalità del trattamento, presenti un rischio elevato per i diritti e le libertà delle persone fisiche. Sostituisce l’istituto del «Prior checking» di cui all’art. 17 del Codice Privacy.
Spetta al Titolare, e non al DPO, condurre, ove necessario, una valutazione di impatto. Tuttavia, il DPO svolge un ruolo fondamentale e di grande utilità assistendo il titolare nello svolgimento della stessa.
[2] Acronimo italiano per Regolamento Generale per la protezione dei dati
[3] Secondo il WP29, i dati di contatto del DPO dovrebbero comprendere tutte le informazioni che consentono agli interessati e all’autorità di controllo di raggiungerlo facilmente stesso: recapito postale, numero telefonico dedicato e/o indirizzo dedicato di posta elettronica. Se opportuno, per facilitare la comunicazione con il pubblico, si potrebbero indicare anche canali ulteriori: una hotline dedicata, un modulo specifico per contattare il DPO pubblicato on line.