E’ oramai noto che il 24 maggio è entrato il vigore il regolamento europeo per la protezione dei dati personali (Regolamento 2016/679/UE), la sua disciplina prevede la diretta applicabilità in tutti gli Stati Membri dell’Unione europea. I tempi per adeguarsi sono estremamente brevi, a partire dal 25 maggio 2018, infatti, il regolamento sarà interamente applicabile in ogni sua parte inclusa quella relativa alle pesanti sanzioni in esso previste.
Le disciplina normativa introduce nuovi principi e adempimenti, tra questi merita particolare attenzione il c.d. principio di accountability o di responsabilizzazione, in virtù di tale principio tutti i titolari e i responsabili del trattamento dovranno preventivamente gestire la propria organizzazione in modo da garantire in ogni fase del trattamento la piena conformità al trattamento e raccogliere prove documentali per dimostrarla. Tra gli adempimenti di più ampio impatto sul mercato vi è certamente la designazione del responsabile della protezione dei dati personali ovvero Data Protection Officer (c.d. DPO).
Le recenti linee guida pubblicate lo scorso 16 dicembre dal Gruppo europeo dei Garanti ex art. 29, resteranno in consultazione pubblica fino alla fine di gennaio 2017. Si conferma, inoltre, che nella disciplina estremamente succinta prevista dal legislatore comunitario il Dpo è un supervisore indipendente, il quale sarà designato obbligatoriamente, dai soggetti apicali di tutte le pubbliche amministrazioni e nello specifico è previsto l’obbligo nel caso in cui “il trattamento è effettuato da un’autorità pubblica o da un organismo pubblico, eccettuate le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali”.
Ora, un primo nodo da sciogliere per l’interprete è certamente l’ambito soggettivo di questa norma, le linee guida indicano che le nozioni di “autorità pubblica ” e di “organismo pubblico” devono riferirsi al diritto interno dello Stato Membro sebbene si dovrà fare riferimento anche alle indicazioni europee per garantire un’interpretazione uniforme a livello europeo.
Particolari problemi interpretativi si pongono con riguardo agli organismi di diritto pubblico, a tal riguardo si dovrà fare riferimento alla direttiva 2003/98/UE sul riutilizzo dell’informazione nel settore pubblico (come modificata dalla direttiva 2013/37/UE.
In concreto occorrerà comprendere se l’organismo soddisfi o meno anche il criterio della maggioranza “pubblica” ai fini della direzione o della vigilanza come prescritto dalla direttiva, in caso affermativo quando l’organizzazione è assimilabile ad un organismo di diritto pubblico, questa dovrà designare obbligatoriamente un DPO.
Peraltro verso, il Data Protection Officer anche in ambito privato giocherà un ruolo fondamentale, un ruolo certamente pervasivo dovendo essere coinvolto tempestivamente su ogni questione a lui inerente per garantire una protezione dei dati effettiva dei cittadini e al contempo tutelare il titolare e il responsabile del trattamento, dovendo supervisionare tutte le attività di attribuzioni dei ruoli e responsabilità, piani di sensibilizzazione, di formazione nonché le attività di controllo (p.e. adeguatezza dei piani di audit interno).
In ambito privato, l’articolo 37 co. 1 lett. b) del regolamento europeo prevede l’obbligo di designare il DPO quando le attività principali del titolare e del responsabile richiedono su larga scala un monitoraggio regolare e sistematico, rientrano per esempio in tale presupposto gli operatori di telecomunicazione, gli operatori che effettuano profilazione per finalità di marketing comportamentale oppure erogare per premi assicurativi, localizzazione tramite app, monitoraggio sullo stato di salute tramite dispositivi indossabili e interconnessi (c.d. wearable devices), programmi di fedeltà.
Il DPO in ambito privato è obbligatorio anche per tutte le organizzazione che trattano come attività principale dati sensibili (o meglio categorie di dati particolari secondo la classificazione del regolamento) oppure dati giudiziari su larga scala, rientrano in tale previsione gli ospedali, le assicurazioni e gli istituti di credito.
Purtroppo, vi è da rilevare che da una parte il concetto di larga scala continua ad essere ancora molto indeterminato con il rischio di comportare forti incertezze sul piano giuridico e quindi sul mercato, l’auspicio è che la consultazione pubblica spinga verso maggiori precisazioni, dall’altra occorrerebbe qualche ulteriore indicazione o criterio anche con riguardo all’ambito pubblico in riferimento agli organismi di diritto pubblico.
Più nel merito, i complessi compiti affidati al Dpo sono previsti solo a livello minimale dal regolamento potendo quindi il titolare e il responsabile affidarne altri compiti, nello specifico il DPO dovrà: 1) informare e fornire consulenza a titolare e al responsabile del trattamento nonché ai dipendenti degli obblighi derivanti dal regolamento; 2) sorvegliare l’osservanza del regolamento, nonché delle altre disposizioni europee o di diritto interno in materia di protezione dati ; 3) sorvegliare sulle attribuzioni delle responsabilità, sulle attività di sensibilizzazione, formazione e attività di controllo; 4) fornire pareri e sorvegliare alla redazione della Data protection impact assessment (c.d. Dpia); 5) fungere da punto di contatto e collaborare con l’Autorità Garante per la protezione dei dati personali; 6) controllare che le violazioni dei dati personali siano documentate, notificate e comunicate (c.d. Data Breach Notification Management).
Il DPO può essere un dipendente dell’azienda oppure esterno in forza di un contratto di servizi.
Infine, in termini più pratici si conferma che per poter definire i requisiti professionali necessari per ricoprire il ruolo del DPO, vi è una gradualità di abilità, esperienza e conoscenza che è in funzione della sensibilità o meno dei dati trattati, della loro mole e della complessità organizzativa del titolare del trattamento, per esempio se il ruolo della DPO dovesse riguardare un Comune o un ente pubblico potrebbe essere sufficiente una conoscenza tecnica piuttosto minimale, diverso è il discorso se l’impresa fosse invece un operatore telco o un operatore di e-commerce. La dimensione e la complessità dell’organizzazione inciderà, inoltre, sulla specifica scelta tra il DPO singolo, il DPO Team, il DPO interno ed esterno.
*avvocato, presidente del Centro europeo per la Privacy, titolare dello studio Di Resta Lawyers
