La nomina del DPO per aziende private ed enti pubblici: le Faq del Garante Italiano
Un excursus sui i chiarimenti resi del Garante per la Protezione dei Dati Personali riguardo l'istituzione, in ambito pubblico e privato, della nuova figura del Data Protection Officer.
Le Faq per il settore privato
Il 26 marzo scorso sono state pubblicate sul sito del Garante le nuove Faq relative alla figura del Responsabile per la Protezione dei Dati (RDP, o, secondo l'acronimo inglese ormai invalso, DPO) nel settore privato.
Intento del Garante è rispondere in materia semplice e diretta a quelli che sono i dubbi più comuni dell'utente, nel valutare la necessità di designazione di tale nuova figura, la cui individuazione è un adempimento che, per ciò che concerne il settore privato, non si configura sempre come obbligatorio, ma certamente è sempre caldeggiato.
Circa un anno fa ci eravamo soffermati (vedi qui l'approfondimento) sulle novità di questa nuova figura, alla luce delle Linee guida emesse dal Gruppo europeo di lavoro (WP 29).
Dalle Faq pubblicate, emerge oggi il tentativo dell'Ufficio del Garante di rendere più accessibile e comprensibile la natura della nuova figura, con cui gli enti pubblici e privati devono ormai in tutta fretta prendere confidenza, trovandoci in prossimità del 25 maggio 2018, data ultima entro la quale l'individuazione di tale figura sarà ormai non più procrastinabile.
Effettuata la nomina, il titolare deve anche darne formale comunicazione al Garante.
Il DPO è una figura che deve essere designata dal titolare o dal responsabile del trattamento per assolvere a funzioni di supporto e controllo, nonché consultive, formative e informative, relativamente all'applicazione del Regolamento Ue 2016/679 - di seguito solo GDPR. Coopera con l'Autorità Garante e, nel contempo, è il punto di contatto per tutte le questioni connesse al trattamento dei dati personali, anche nei confronti degli interessati.
Non esistono specifiche attestazioni formali per diventare DPO, né è possibile l'iscrizione in appositi albi: tale precisazione si è resa doverosa perché si sono diffuse negli ultimi mesi, nel panorama commerciale, numerose proposte di corsi di formazione che offrono, a conclusione dell'iter formativo, una certificazione della "qualifica" di DPO. Cosa che, per come ancora una volta a chiare lettere ribadito, non risponde propriamente a verità. Il Garante ha chiarito che tali certificazioni possono al più rappresentare, al pari di altri titoli, uno strumento ai fini della verifica del possesso di un livello minimo di conoscenza della disciplina, ma non implicano alcuna "abilitazione", né equivalgono ad una certificazione all'assunzione del ruolo di DPO, né sono idonee a sostituire il giudizio, rimesso al titolare, nella valutazione dei requisiti necessari per la scelta del DPO.
Quel che è certo, è che il DPO deve possedere un'approfondita conoscenza della normativa e delle prassi in materia di privacy, nonché delle norme e delle procedure amministrative che caratterizzano lo specifico settore di riferimento. Deve essere in grado di offrire, con il grado di professionalità adeguato alla complessità del compito da svolgere, la consulenza necessaria per progettare, verificare e mantenere un sistema organizzato di gestione dei dati personali, offrendo un solido e adeguato supporto al titolare, per l'osservanza della nuova normativa che impone l'adozione di un complesso di misure (anche di sicurezza) e garanzie adeguate al contesto in cui è chiamato a operare.
Il DPO deve essere, inoltre, una figura capace di agire in piena indipendenza e autonomia, senza ricevere istruzioni da alcuno, e con il potere di riferire direttamente ai vertici aziendali. Deve disporre di tutte le risorse (personale, locali, attrezzature, ecc.) necessarie per l'espletamento dei propri compiti. Sulle perplessità già sollevate in merito alla concreta possibilità di attuazione di tutti i suddetti principi di indipendenza ed autonomia di un soggetto che viene nominato dal Titolare, ma che deve interfacciarsi, secondo i casi, anche direttamente con l'Ufficio del Garante, già si è detto (vedasi, ancora, focus su Linee Guida del WP29).
Sono obbligatoriamente tenuti alla designazione del DPO il titolare e il responsabile del trattamento le cui principali attività consistono in trattamenti che richiedono il monitoraggio regolare e sistematico degli interessati su larga scala; o in trattamenti su larga scala di categorie particolari di dati personali (dati personali che rivelino l'origine razziale o etnica, le opinioni politiche, le convinzioni filosofiche o religiose, o l'appartenenza sindacale, oltre al trattamento di dati genetici, dati biometrici al fine dell'identificazione univoca di una persona fisica, e di dati relativi alla salute, alla vita sessuale o all'orientamento sessuale di una persona fisica) o di dati relative a condanne penali e a reati.
Il concetto di 'larga scala'. In base all'articolo 37, paragrafo 1, lettere b) e c) del RGPD, occorre che il trattamento di dati personali avvenga su 'larga scala' per far scattare l'obbligo di nomina di un RPD. E' chiaro che il concetto di 'larga scala', del tutto generico e privo di riferimento numerico o comunque oggettivo, mostra il fianco a dubbi, dissidi ed interpretazioni. Tali trattamenti devono intendersi come quelli che mirano al trattamento di una notevole quantità di dati personali a livello regionale, nazionale o sovranazionale e che potrebbero incidere su un vasto numero di interessati e che potenzialmente presentano un rischio elevato.
Si deve, in ogni caso, tener conto dei seguenti fattori al fine di stabilire se un trattamento sia effettuato su larga scala: il numero di soggetti interessati dal trattamento, in termini assoluti ovvero espressi in percentuale della popolazione di riferimento; il volume dei dati e/o le diverse tipologie di dati oggetto di trattamento; la durata, ovvero la persistenza, dell'attività di trattamento; la portata geografica dell'attività di trattamento.
Il 'monitoraggio regolare e sistematico'. Rientrano poi, nel concetto di "Monitoraggio regolare e sistematico" senza dubbio tutte le forme di tracciamento e profilazione su Internet anche per finalità di pubblicità comportamentale. E' stato, infatti, chiarito che per stabilire se un'attività di trattamento sia assimilabile al controllo del comportamento dell'interessato, è opportuno verificare se le persone fisiche sono tracciate su internet, compreso l'eventuale ricorso successivo a tecniche di trattamento dei dati personali che consistono nella profilazione della persona fisica, in particolare per adottare decisioni che la riguardano o analizzarne o prevederne le preferenze, i comportamenti e le posizioni personali. Tuttavia, occorre evidenziare che il tracciamento on line è solo uno dei possibili casi di monitoraggio.
L'aggettivo "regolare" ha almeno uno dei seguenti significati: che avviene in modo continuo ovvero a intervalli definiti per un arco di tempo definito; ricorrente o ripetuto a intervalli costanti; che avviene in modo costante o a intervalli periodici. L'aggettivo "sistematico" ha almeno uno dei seguenti significati: che avviene per sistema; predeterminato, organizzato o metodico; che ha luogo nell'ambito di un progetto complessivo di raccolta di dati; svolto nell'ambito di una strategia.
A titolo esemplificativo e non esaustivo, sono state individuate le seguenti categorie di soggetti certamente tenuti alla nomina di un DPO: istituti di credito; imprese assicurative; sistemi di informazione creditizia; società finanziarie; società di informazioni commerciali; società di revisione contabile; società di recupero crediti; istituti di vigilanza; partiti e movimenti politici; sindacati; caf e patronati; società operanti nel settore delle "utilities" (telecomunicazioni, distribuzione di energia elettrica o gas); imprese di somministrazione di lavoro e ricerca del personale; società operanti nel settore della cura della salute, della prevenzione/diagnostica sanitaria quali ospedali privati, terme, laboratori di analisi mediche e centri di riabilitazione; società di call center; società che forniscono servizi informatici; società che erogano servizi televisivi a pagamento.
In tutti gli altri casi, la designazione del responsabile del trattamento non è obbligatoria. Ad esempio, in relazione a trattamenti effettuati da liberi professionisti operanti in forma individuale; agenti, rappresentanti e mediatori operanti non su larga scala; imprese individuali o familiari; piccole e medie imprese, con riferimento ai trattamenti dei dati personali connessi alla gestione corrente dei rapporti con fornitori e dipendenti.
In ogni caso, la designazione di tale figura rimane una pratica fortemente raccomandata, in ossequio al principio di accountability che permea l'intero GDPR, e che sarà sicuramente positivamente considerata, quale misura di responsabilizzazione da parte del titolare e del responsabile, e sempre che tale nomina non sia meramente formale, ma risponda ai criteri e principi già richiamati per il caso di nomina obbligatoria.
E' altresì possibile, per come chiarito dalle stesse Faq, che un gruppo imprenditoriale possa designare un unico responsabile della protezione dei dati personali, purché sia facilmente raggiungibile da ciascuno stabilimento ed in grado di comunicare in modo efficace con gli interessati e di collaborare con le autorità di controllo.
Il ruolo di responsabile della protezione dei dati personali può essere ricoperto da un dipendente del titolare o del responsabile, che non si trovi in conflitto di interessi e che conosca la realtà operativa in cui avvengono i trattamenti; l'incarico può essere anche affidato a soggetti esterni, a condizione che garantiscano l'effettivo assolvimento dei compiti fissati dal GDPR.
Il responsabile della protezione dei dati scelto all'interno andrà nominato mediante specifico atto di designazione, mentre quello scelto all'esterno, che dovrà avere le medesime prerogative e tutele di quello interno, dovrà operare in base a un contratto di servizi. L'atto di nomina dovrà, in entrambi i casi, essere redatto per iscritto. Il titolare o il responsabile dovranno, in tale atto, indicare espressamente i compiti attribuiti, le risorse assegnate per il loro svolgimento, nonché ogni altra utile informazione in rapporto al contesto di riferimento.
Il DPO, interno o esterno che sia, dovrà ricevere supporto adeguato in termini di risorse finanziarie, infrastrutturali e, ove opportuno, di personale.
Occorre, a questo punto, precisare un concetto fondamentale: la nomina del DPO è in molti casi un obbligo di legge, in altri casi una misura di compliance. In ogni caso, essa non è una misura utile a sollevare il titolare dalle proprie responsabilità. Ed infatti, i titolari o i responsabili del trattamento che abbiano provveduto alla nomina del DPO, rimangono comunque pienamente responsabili dell'osservanza della normativa e devono essere in grado di dimostrare le misure e procedure poste in essere per la sua piena attuazione.
Effettuata la nomina, il nominativo del DPO ed i relativi dati di contatto vanno comunicati all'Autorità di controllo. Il Garante ha predisposto una specifica procedura da utilizzare, che sarà pronta a breve: raccomanda sulla sua pagina, alla data in cui si scrive, di attendere che sia pronta la procedura telematica prima di procedere alla comunicazione.
Il soggetto individuato come DPO può ricoprire anche altri incarichi all'interno della struttura aziendale, a condizione che non sia in conflitto di interessi. Proprio per questo motivo, il Garante ha precisato che sarebbe preferibile evitare di assegnare il ruolo di DPO a soggetti con incarichi di alta direzione (amministratore delegato, membro del consiglio di amministrazione, direttore generale, etc.), ovvero nell'ambito di strutture aventi potere decisionale in ordine alle finalità e alle modalità del trattamento (direzione risorse umane, direzione marketing, direzione finanziaria, responsabile IT, etc.).
Nelle strutture organizzative di medie e grandi dimensioni, il responsabile della protezione dei dati personali, da individuarsi comunque in una persona fisica nel caso sia un dipendente, potrà essere supportato anche da un apposito ufficio dotato delle competenze necessarie ai fini dell'assolvimento dei propri compiti.
Qualora il responsabile della protezione dei dati personali sia individuato in un soggetto esterno, quest'ultimo potrà essere anche una persona giuridica. In ogni caso, è opportuno procedere a una chiara ripartizione di competenze, individuando una sola persona fisica quale punto di contatto con gli interessati ed il Garante.
Le Faq per il settore pubblico
Le Faq in materia di DPO pubblicate di recente per il settore privato vanno ad aggiungersi a quelle pubblicate ormai diversi mesi or sono per il settore pubblico (consultabili qui), particolarmente impattato dalla nuova previsione del GDPR.
Sono tenuti obbligatoriamente alla designazione di un DPO tutte le autorità pubbliche o organismi pubblici che effettuino trattamenti di dati personali, con l'unica eccezione delle autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali. Quindi, a solo titolo di esempio, sono tenute alla nomina di un DPO: le amministrazioni dello Stato, anche con ordinamento autonomo, gli enti pubblici non economici nazionali, regionali e locali, le Regioni e gli enti locali, le università, le Camere di commercio, industria, artigianato e agricoltura, le aziende del Servizio sanitario nazionale, le autorità indipendenti, etc.
Il Garante, a fronte del silenzio del GDPR, che non chiarisce quale qualifica debba rivestire il soggetto da individuare come DPO, ha chiarito che questa figura - ferma sempre la possibilità di nominare un soggetto esterno - se scelta all'interno della struttura dell'ente, deve essere individuata tra dirigenti o funzionari di elevata professionalità, in modo che possa svolgere i propri compiti con adeguate garanzie di indipendenza e autonomia e possa comunque riferire direttamente ai vertici dell'ente.
È però opportuno valutare se il complesso dei compiti assegnati al DPO - aventi, si ricorda, sia rilevanza interna (consulenza, pareri, sorveglianza sul rispetto delle disposizioni), sia esterna (cooperazione con l'autorità di controllo e contatto con gli interessati in relazione all'esercizio dei propri diritti) - siano (o meno) compatibili con le mansioni ordinariamente affidate ai dipendenti con qualifica non dirigenziale, in quanto occorre assicurare che il DPO non riceva alcuna istruzione per quanto riguarda l'esecuzione di tali compiti e che possa adempiere ai propri compiti e funzioni in maniera indipendente. Il DPO non deve ricevere istruzioni sull'approccio da seguire nel caso specifico: quali siano i risultati attesi, come condurre gli accertamenti su un reclamo, se consultare o meno l'autorità di controllo. Né deve ricevere istruzioni sull'interpretazione da dare a una specifica questione attinente alla normativa in materia di protezione dei dati. Egli riferisce direttamente al vertice gerarchico, con un rapporto diretto.
Appare dunque preferibile, secondo i chiarimenti forniti dal Garante, che l'incarico sia conferito a un dirigente ovvero a un funzionario di alta professionalità, che possa svolgere le proprie funzioni in autonomia e indipendenza, e che sia in diretto contatto e collaborazione con il vertice dell'organizzazione.
Nell'atto di designazione devono risultare almeno succintamente indicate anche le motivazioni che hanno indotto l'ente a individuare, nella persona fisica selezionata, il DPO, al fine di consentire la verifica del rispetto dei requisiti previsti dal GDPR, anche mediante rinvio agli esiti delle procedure di selezione interna o esterna effettuata. La specificazione dei criteri utilizzati nella valutazione compiuta dall'ente nella scelta di tale figura, oltre a essere indice di trasparenza e di buona amministrazione, costituisce anche elemento di valutazione del rispetto del principio di accountability.
Quanto alle ulteriori funzioni che possono essere affidate, in linea di principio è ragionevole pensare che negli enti pubblici di grandi dimensioni, con trattamenti di dati personali di particolare complessità e sensibilità, non vengano assegnate al DPO ulteriori responsabilità (si pensi, ad esempio, alle amministrazioni centrali, alle agenzie, agli istituti previdenziali, nonché alle regioni e alle aziende sanitarie). In tale quadro, ad esempio, avuto riguardo, caso per caso, alla specifica struttura organizzativa, alla dimensione e alle attività del singolo titolare o responsabile, l'attribuzione delle funzioni di DPO al responsabile per la prevenzione della corruzione e per la trasparenza, considerata la molteplicità degli adempimenti che incombono su tale figura, potrebbe rischiare di creare un cumulo di impegni tali da incidere negativamente sullo svolgimento dei compiti attribuiti al DPO.
Rispetto all'assenza di conflitto di interessi, occorre inoltre valutare se le eventuali ulteriori funzioni assegnate non comportino la definizione di finalità e modalità del trattamento dei dati. Ciò significa che, a grandi linee, in ambito pubblico, oltre ai ruoli manageriali di vertice, possono sussistere situazioni di conflitto di interesse rispetto a figure apicali investite di capacità decisionali in ordine alle finalità e ai mezzi del trattamento di dati personali posto in essere dall'ente, ivi compreso, ad esempio, il responsabile dei Sistemi informativi (chiamato ad individuare le misure di sicurezza necessarie), ovvero quello dell'Ufficio di statistica (deputato a definire le caratteristiche e le metodologie del trattamento dei dati personali utilizzati a fini statistici).
L'individuazione del soggetto adatto rimane, dunque, per enti pubblici e privati, un passaggio molto delicato. Tuttavia, la novità normativa non può essere trascurata, né posticipata: è giunto il momento di affrontare, con la giusta consapevolezza, la decisione circa l'individuazione di tale soggetto. Ed occorre non dimenticare che particolare attenzione va rivolta anche ai criteri utilizzati per tale scelta: anch'essi sono parametri che possono essere oggetto di valutazione per la verifica di una piena compliance normativa al GDPR.