Le istituzioni europee prevedono un’importante sviluppo del mercato unico digitale, sviluppo soprattutto tecnologico, anche con l’adozione diffusa di nuovi modelli come per esempio il cloud computing, che non potrà non tenere conto della protezione dei dati personali soprattutto imponendo il rispetto dei requisiti di protezione dei dati personali sin dalla progettazione (data protection by design) ed affrontando questioni internazionali spinose del mondo globalizzato e senza frontiere geografiche tipiche del mondo digitale e di internet.
Per fornire risposte all’evoluzione tecnologica e alla transnazionalità delle questioni giuridiche poste da questa società dell’informazione, la Commissione europea nel 2012 ha pubblicato una proposta di regolamento europeo sulla protezione dei dati personali, più volte emendata sia dalla Parlamento europeo che dal Consiglio dei Ministri dell’Eu.
Il testo normativo del nuovo regolamento ha trovato finalmente un accordo nel trilogo istituzionale lo scorso 15 dicembre, ora è necessaria soltanto l’approvazione finale, vengono così delineati i contorni della nuova figura di Responsabile per protezione dei dati personali ovvero Data Protection Officer (DPO).
Il DPO è un supervisore indipendente che sarà designato da soggetti apicali sia dalle pubbliche amministrazioni che in ambito privato. Sarà pertanto obbligatorio nelle pubbliche amministrazione e negli enti pubblici, in ambito privato sarà obbligatorio in alcune circostanze quando per esempio tenuto conto dell’ambito applicativo, della natura e delle finalità, il trattamento riguarderà un monitoraggio regolare e sistematico dei dati personali dell’interessato su larga scala, oppure se l’attività principale del titolare implicherà un trattamento su larga scala di dati sensibili oppure giudiziari.
A seconda del contesto in cui dovrà operare si troverà ad affrontare questioni giuridiche e tecniche-informatiche più o meno complesse, qualora il titolare del trattamento non operi solo in Italia dovrà essere in grado di gestire questioni transnazionali sia all’interno dell’Unione Europea (rectius Spazio Economico Europeo, che come noto include oltre agli Stati Membri dell’EU anche il Liechtenstein, l’Islanda e la Norvegia) sia fuori dalla stessa.
Passando all’analisi del ruolo di Data Protection Officer, lo stesso viene disciplinato molto più in dettaglio nella proposta del nuovo regolamento rispetto al responsabile ex art. 29 del nostro Codice della Privacy, se ne riportano schematicamente i principali elementi soggettivi in riferimento alla designazione:
Requisiti negativi
· Assenza di un conflitto di interessi con altre funzioni a lui affidate
· Non ingerenza nell’esercizio delle sue funzioni da parte del responsabile o incaricato
· Nessuna «istruzione per quanto riguarda il loro esercizio»
· Non deve essere penalizzato per l’esercizio delle sue funzioni
Requisiti positivi
· Indipendenza
· Autonomia di risorse : deve avere tutti i mezzi necessari per adempiere le proprie funzioni e compiti di cui all’art. 37 e per mantenere la propria conoscenza professionale.
L’elenco sopra illustrato, come già accennato, mostra un elemento cruciale che differenzia un DPO da un responsabile ex art. 29, mentre il primo deve essere indipendente e autonomo, invece il secondo deve agire seguendo solo e soltanto le istruzioni del titolare del trattamento, pertanto, un vincolo che impedisce di godere di ampia indipendenza, tipica del ruolo del DPO.
Si può a questo punto passare ad analizzare alcuni dei complessi compiti affidati al DPO che si possono elencare come segue: 1) sorvegliare sulla corretta applicazione della normativa sulla protezione dei dati europeo ed italiana, nonché l’osservanza del politiche interne dell’ente, anche compiendo attività di verifica, azioni formative ed informative; 2) fornire pareri e sorvegliare alla corretta esecuzione di una Data protection impact analysis (c.d. Dpia); 3) fungere da contact point e collaborare con l’Autorità Garante per la protezione dei dati personali anche nell’ambito delle verifiche preliminari.
Quanto emerge da questo succinto elenco è che il DPO è un supervisor indipendente nella versione inglese si parla infatti del verbo “to monitor” per indicare alcuni dei principali compiti dello stesso dovendo verificare secondo un principio di accountability, che vi sia non solo la consapevolezza dei rischi connessi al trattamento dei dati ma soprattutto che il titolare sia in grado di documentare i controlli effettuati. Sotto il profilo dello status del DPO, affinchè vi sia una effettiva indipendenza dovrà molto probabilmente occupare una posizione dirigenziale o manageriale, soprattutto per garantire la non ingerenza nelle proprie attività da parte del titolare e dovrà essere dotato di tutti i mezzi necessari per adempiere i propri compiti, sebbene non è esplicito nel testo del regolamento, dovrà anche essere dotato di una propria linea di budget. Il DPO potrà anche essere interno all’azienda oppure esterno in forza di un contratto di servizi, in quest’ultimo caso con una durata di quattro anni.
Le aziende italiane e le pubbliche amministrazioni dovranno pertanto affrontare diverse problematiche, in particolare, in termini molto generali e tenendo conto dei costi dell’investimento, le realtà di dimensioni più contenute e meno strutturate potranno molto probabilmente ricorrere a figure di “External Data Protection Officer”, mentre altre realtà più strutturate e che abbiano già al loro interno funzioni come per esempio l’internal auditing e organismi di vigilanza 231, potrebbero orientarsi molto probabilmente per designare al loro interno il Data Protection Officer.
Peraltro verso, un aspetto troppo spesso trascurato nell’attuale dibattito è che la designazione del DPO è già prevista come obbligatoria da oltre dieci anni nelle istituzioni dell’Unione Europea (regolamento 45/2001). Analogamente, da alcuni anni in diversi Stati Membri – in base all’art. 18 della Direttiva 95/46/Ce – il DPO è obbligatorio (Germania, Grecia, Ungheria, Slovacchia), in altri come in Francia, è invece previsto un DPO ma come una figura facoltativa.
Infine, si ritiene che in Italia su questo importante ruolo professionale dovrebbe essere fornita una maggiore offerta formativa di qualità soprattutto da parte delle università. In tale contesto, un buon esempio di qualità formativa è rappresentato dal master istituito presso il Dipartimento di giurisprudenza dell’Università Roma Tre che avrà inizio a gennaio 2016 con il titolo di “Il responsabile per la protezione dei dati personali: Data Protection Officer e Privacy Expert”, master patrocinato del Garante per la protezione dei dati personali e che prevede il coinvolgimento di esperti del settore che ricoprono ruoli di primaria importanza non solo in Italia ma anche nelle istituzioni europee.
