La fatidica data del 25 maggio è arrivata e tutto si è consumato. Mai come in questo caso, per chi si occupa di privacy e protezione dati personali, lo scorrere del tempo è stato un fausto evento, da molti guardato davvero con estrema simpatia. Il clamore che l’entrata in vigore del Regolamento europeo n. 679/2016 in materia di libera circolazione e protezione dei dati personali (Gdpr) ha portato con sé, ha davvero pochi altri eguali. La nuova normativa europea sulla privacy, è stata approvata, pubblicata ed è entrata in vigore tra aprile e maggio 2016, tuttavia, trattandosi di un complesso regolamento comunitario, la sua piena applicazione è stata posticipata al 25 maggio 2018, riconoscendo cosi agli Stati membri ben due anni di tempo per poter armonizzare i diversi e rispettivi ordinamenti giuridici alle novità poste dal Gdpr.
Tempo che molti Paesi dell’Unione hanno sprecato, essendo in tanti arrivati al dies a quo senza una norma nazionale di armonizzazione, che per quanto riguarda l’Italia è fortunatamente in dirittura di arrivo tra Parlamento e Governo. Certamente il Gdpr essendo un regolamento e non una direttiva trova applicazione anche nell’inerzia dei legislatori nazionali, tuttavia la materia è troppo complessa, impattante e trasversalmente presente ovunque da richiedere, dunque, alcune declinazioni in chiave nazionale, senza contare l’importanza di riconciliare venti anni di fondamentale giurisprudenza del Garante alla luce dei nuovi principi del Gdpr.
Tra le tante novità portate in dote proprio dal Gdpr, rispetto al precedente assetto normativo basato sulla direttiva 95/46 (trasposta in Italia con il noto d.lgs. n. 196/2003), vi è la figura del responsabile per la protezione dei dati personali, conosciuto anche con il nome inglese di Data Protection Officer o semplicemente Dpo.
Una figura che assume una posizione rilevante in materia di protezione dei dati personali in qualsiasi organizzazione, sia in azienda che nelle pubbliche amministrazioni, con il costante compito di innalzare i livelli di consapevolezza e di allineamento alla legge da parte di tutti i soggetti che trattano dati personali.
Il Gdpr, nella sua quarta sezione (artt. 37-39), disegna in modo chiaro e puntuale le qualità, il raggio d’azione e le dinamiche aziendali associate al Dpo. Tuttavia ciò non è bastato, in questi mesi, a fare chiarezza proprio sugli elementi fondamentali e cruciali della nomina del Dpo, a partire dalla sua obbligatorietà, passando per la sua collocazione in organigramma, fino ad arrivare alla declinazione puntuale di poteri, obblighi e diritti, senza contare l’ormai annosa questione circa la scelta tra Dpo interno o esterno. Proviamo dunque a toccare brevemente tali questioni.
Se, da un lato, la nomina del Dpo è estremamente rilevante, d’altro canto non tutti i soggetti che trattano dati personali sono obbligati a nominarlo. L’art. 37 del Gdpr, a tal proposito, individua i tre casi in cui la nomina è obbligatoria: quando il trattamento è svolto
- da un’autorità pubblica o da un organismo pubblico, in riferimento all’attività principale
- da un titolare o responsabile che svolge trattamenti tali da richiedere un monitoraggio regolare e sistematico di interessati su larga scala, oppure
- da un titolare o responsabile che svolge trattamenti, sempre su larga scala, di dati personali annoverabili nella categoria di “dati particolari” (ex art. 9 Gdpr – tra cui possiamo ricomprendere i dati sensibili, come quelli sulle condizioni di salute o sull’orientamento sessuale) o dati giudiziari, relativi a condanne penali e reati.
Gli ultimi due casi rendono evidente la ragione dell’importanza della nomina del Dpo – da un lato, il core business consistente nel porre in essere trattamenti di dati personali che per la loro natura, per le loro finalità e per il loro ambito di applicazione richiedono un monitoraggio regolare e sistematico dei dati degli interessati (es. società del mondo bancario e finanziario, della grande distribuzione, soprattutto se svolgono attività di marketing e profilazione, operatori telefonici, ecc.) e, dall’altro, i trattamenti di categorie particolari dati personali (ex art. 9 Gdpr) o dati personali riguardo condanne penali e reati (ex. art. 10 Gdpr), in entrambi i casi su larga scala.
Tutti coloro che sono al di fuori dei casi menzionati poc’anzi – salvo ulteriori specifiche previsioni provenienti da leggi nazionali o dell’Ue – possono volontariamente provvedere alla nomina di un Dpo dovendo, in tal caso, sottostare senza alcuna deroga alle relative disposizioni del Gdpr. Peraltro, a tal riguardo, si segnala l’esortazione dello Edpb – European Data Protection Board, organismo di nuova costituzione che ha preso il posto del Gruppo europeo dei Garanti Privacy, nel senso di prevedere la nomina del Dpo quanto più possibile, trasformando in best practice ciò che invece è un obbligo solo al ricorrere di determinate condizioni.
Con riferimento ai requisiti soggettivi, il Gdpr è intransigente: il Dpo deve essere designato “in funzione delle qualità professionali, in particolare della conoscenza specialistica della normativa e della prassi in materia di protezione dei dati” (v. art. 37(5) Gdpr) e con le capacità di assolvere i compiti a questo assegnati dallo stesso Regolamento (art. 39 Gdpr). Parrebbe evidente, quindi, che il profilo professionale idoneo a tal ruolo si incontri in un punto mediano tra le funzioni Legal, IT e Compliance.
Dove recuperare queste professionalità sul mercato oppure in che modo acquisirle per chi fosse interessato e volesse intraprendere da zero questa carriera, sono tra le questioni più dibattute in assoluto, in questi mesi. E’ chiaro che non esiste una scuola di formazione o un corso di laurea per Dpo, né è previsto un albo professionale. Formazione ed esperienza si acquisiscono sul campo, lavorando quotidianamente in house o come consulenti esterni per società e pubbliche amministrazioni nel vasto mondo della c.d. privacy. Piccole e grandi organizzazioni, nazionali ed internazionali (come Federprivacy e Fondazione Basso o come la Iapp, International Association of Privacy Professionals) da anni offrono formazione continua di eccellente qualità, ma niente può sostituire l’esperienza acquisita giorno dopo giorno.
Le dinamiche aziendali associate al Dpo riflettono il carattere autonomo della figura in esame: in nessun caso può essere soggetto ad un’intermediazione tra sé e i vertici aziendali, in quanto dovrà riferire del suo operato direttamente a questi. Di rilevante importanza, inoltre, è la garanzia (ex art. 38(3) Gdpr) di non poter essere sollevato dall’incarico per cause imputabili allo svolgimento del suo ruolo (esempi tipici sono i conflitti tra il Dpo e l’Ad circa l’opportunità nel porre in essere determinati trattamenti). Il Dpo gode di una sorta di immunità nell’esercizio delle sue funzioni. Cosi come la sua responsabilità, salvo i casi di dolo e colpa, non può eccedere il valore del contratto di nomina. Non dimentichiamo che la responsabilità giuridica derivante dal trattamento di dati è sempre da ricondurre in capo al titolare.
Il diretto rapporto tra il Dpo e i vertici aziendali è il riflesso della posizione assegnata al primo da parte del Gdpr: questo deve essere coinvolto a 360 gradi in ogni singola questione relativa alla protezione dei dati, ma deve restare terzo rispetto alle dinamiche di business e non deve ricevere alcuna istruzione circa la sua attività di controllo.
Da ultimo, il Dpo deve essere fornito di tutte le risorse necessarie, sia in termini di budget che di capitale umano, al fine di poter assolvere i propri compiti.
Punto saliente, molto spesso dibattuto, è quello del potenziale conflitto d’interesse in cui potrebbe trovarsi il Dpo: il soggetto individuato non è tenuto a svolgere esclusivamente tale funzione, ben potendo ricoprire altri ruoli aziendali. Tuttavia, il Gdpr pone un freno nei riguardi di determinati ruoli in grado di influenzare l’individuazione delle finalità e delle modalità di trattamento.
Come detto il Dpo deve riportare direttamente ai vertici aziendali (l’amministratore delegato, il country manager, il direttore generale, a seconda del modello di corporate governance adottato) e deve essere posizionato (laddove si optasse per il Dpo interno) o in una funzione di staff, autonoma e a diretto riporto dei vertici, ovvero potrà essere “ospitato” in una già esistente funzione “di controllo”, come ad esempio la funzione legale, internal audit o compliance, in tal caso prestando attenzione a tenere separati i compiti e gli adempimenti che il Dpo verrebbe a svolgere, in ragione di tale specifico ruolo, da quelli che invece potrebbe trovarsi a svolgere nell’esecuzione di altri compiti derivanti dalla sua appartenenza ad esempio al dipartimento legale o internal audit. Giammai, invece, il Dpo potrà risiedere presso una funzione di business, andando in tal caso a violare il divieto di non cadere in palese conflitto di interessi con le prerogative del titolare del trattamento.
I compiti del Dpo sono indicati con formule generali dall’art. 39 del Gdpr, venendo meglio definiti nel loro contenuto minimo dalle Linee Guida dell’Edpb. In particolare, il Dpo deve:
- Monitorare la compliance con il Gdpr, identificando le attività di trattamento, analizzando e verificando il livello di compliance, fornendo raccomandazioni al titolare (o al responsabile);
- Assistere, se richiesto, il titolare (o il responsabile) nello svolgimento della Valutazione di Impatto sulla Protezione dei Dati Personali ex art. 35 del Gdpr (ad es. sulla necessità di effettuarla, sulla metodologia da applicare, su quali garanzie applicare per minimizzare il rischio, ecc.);
- Cooperare con il Garante e fungere da punto di contatto per tutte le questioni riguardanti la protezione dei dati personali.
Da ciò chiaramente deriva la natura ibrida del Dpo che è al tempo stesso funzione di controllo e consulenza. Il Dpo può svolgere le sue funzioni sulla base di modelli organizzativi differenti, così da permettere alle organizzazioni che decidono di dotarsene, o che siano obbligate a farlo, il massimo livello di flessibilità, pur all’interno del perimetro tracciato dal Regolamento.
I modelli organizzativi devono anche tenere conto delle dimensioni dell’azienda, del suo core business, dei volumi di dati trattati (il criterio della c.d. larga scala). In particolare, le indicazioni delle Autorità garanti e la prassi stanno convergendo verso una duplice distinzione di modelli alternativi:
- Dpo interno. Si tratta di un dipendente apicale del titolare (o del responsabile), posizionato in modo tale da evitare conflitti di interesse, supportato da risorse adeguate, da un budget e in grado di svolgere autonomamente le proprie funzioni;
- Dpo in outsourcing. Si tratta di una società, uno studio legale o un consulente esterno che svolge le funzioni di DPO sulla base di un contratto di servizi concluso con l’organizzazione supportato da risorse adeguate, da un budget e in grado di svolgere autonomamente le proprie funzioni, ma in stretto contatto con l’azienda.
Di fatto, al netto dell’autonomia circa il suo operato e della disponibilità di un budget e di uno staff adeguato, optare per un Dpo interno – quindi dipendente della società – sarebbe l’optimum. Tuttavia, non è sempre questa una scelta facile per diverse ragioni. Come detto, il Gdpr non esonera in nessun modo, dagli obblighi di nomina, società medio-piccole e, quindi, con disponibilità di personale e di risorse limitate rispetto a multinazionali o aziende leader di settore. Pertanto, come poter affrontare la questione senza stravolgere i modelli organizzativi ed incidere significativamente sulle già precarie voci di costo per la compliance a cui una azienda deve far fronte? Il Gdpr, a tal proposito, è intervenuto aprendo la strada all’outsourcing riguardo i servizi di Dpo, offrendo alle imprese e alle p.a. la possibilità di rivolgersi a fornitori specializzati di servizi al fine di individuare, senza particolari gravosità organizzative ed economiche, un responsabile per la protezione dei dati.
Certo, in tali casi, è necessario un doppio livello di attenzione: non solo occorre individuare il miglior professionista possibile e contrattualizzarlo in maniera congrua affinchè dedichi la giusta attenzione alle esigenze della società, ma occorrerà fare in modo che il Dpo non resti del tutto fuori dal loop informativo e decisionale della società. In altri termini, il titolare deve accertarsi che il Dpo sia realmente messo nelle condizioni di poter svolgere le sue funzioni.
Il Dpo, qualunque sia l’opzione scelta, se interno o esterno, è, in definitiva, una carta vincente nelle mani delle imprese: riconoscerne il valore e saperla usare con intelligenza può portare grandi risultati e grandi prospettive per le stesse. Non è una mera funzione aziendale tra le altre, ma è la chiave di volta del business del presente e del futuro.
