Si discute moltissimo in questi giorni della figura del Data Protection Officer o Responsabile della protezione dei dati personali (in seguito DPO o RPD). Una figura che, come sappiamo, è stata introdotta nel sistema normativo europeo dal GDPR (General Data Protection Regulation – Regolamento UE 2016/679), la cui nomina è stata resa obbligatoria per alcuni Titolari e Responsabili del trattamento ed è, comunque, caldamente consigliata, in termini di buone prassi, in tutti i casi in cui, nell’esercizio delle attività di trattamento, siano ravvisabili concreti rischi per i diritti e le libertà delle persone fisiche (in attuazione del fondamentale principio dell’accountability).
A questa delicata figura e ai compiti alla stessa attribuiti sono già stati dedicati alcuni approfondimenti. Eviterò, quindi, di dilungarmi su ciò che è stato ampiamente trattato (spesso in modo compilativo) sia da altri autori, sia (in modo dettagliato) nelle Linee Guida sui Responsabili della protezione dei dati del Gruppo di lavoro art. 29 in materia di protezione dei dati personali (in seguito citate come Linee Guida RPD).
Ciò che mi interessa, in questa sede, è invece riflettere con attenzione su quanto sia effettivamente diverso il DPO/Responsabile della protezione dei dati personali dal Responsabile del trattamento, così come disciplinato dal nostro Codice per la protezione dei dati personali e, soprattutto, così come è stato recepito nell’esperienza di molte realtà aziendali.
L’obiettivo di questa analisi è quindi quello di valutare, con adeguata ponderazione, in che misura lo stesso Responsabile del trattamento previsto, oggi, dall’art. 28 del GDPR, vada a collimare con l’omologa figura definita e interpretata, fino a questo momento, nel nostro diritto vivente.
In realtà, come già sappiamo, la figura del RPD non costituisce in ambito europeo un’assoluta novità. La direttiva 95/46/CE, nella sua genericità di fonte a efficacia indiretta, prevedeva espressamente le sole figure giuridiche dei Titolari e degli Incaricati, lasciando agli Stati membri ampio margine di manovra, alla luce delle criticità specifiche e del livello di complessità riscontrabile in materia di trattamento dei dati personali nei rispettivi ordinamenti, tenendo anche conto delle prassi di enti pubblici e privati.
Nonostante l’assenza di specifici obblighi posti dalla direttiva 95/46, alcuni Stati europei hanno deciso già da tempo di prevedere espressamente la figura del DPO a presidio delle tipologie più delicate di trattamento dei dati personali. L’Italia, d’altro canto, con il suo Codice per la protezione dei dati personali (contenuto – come sappiamo – nel D. Lgs. 196/2003) ha scelto di affiancare al Titolare del trattamento una figura di Responsabile (interno o esterno) che, per certi versi, sembra discostarsi da quanto è oggi definito (nell’art. 4, par. 1, n. 8) e disciplinato (nell’art. 28) nel GDPR e che racchiude invece molte peculiarità attribuite, dallo stesso Regolamento, al DPO.
Nello specifico il nostro Codice definisce (art. 4, comma 1, lett. g) il Responsabile del trattamento come: la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo preposti dal titolare al trattamento di dati personali. Tale definizione non coincide del tutto con quella di Responsabile del trattamento attualmente contenuta nel GDPR, che invece lo considera la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento: definizione che, peraltro, coincide sostanzialmente con quella di semplice “Incaricato” presente nella direttiva 95/46/CE.
Quello che si può dunque constatare è che nella fluidità adattiva della direttiva 46, ogni Stato ha potuto agire in base alla propria sensibilità interpretativa e secondo modelli più in linea con il proprio ordinamento giuridico; ciò ha favorito inevitabilmente un approccio piuttosto differente da Stato a Stato su alcuni istituti del “diritto alla privacy” e ha inevitabilmente portato il legislatore europeo ad accettare, con il GDPR, un compromesso necessario a favorire una maggiore uniformità normativa e un miglior coordinamento a livello interpretativo.
Proprio in base alla chiave di lettura appena proposta, il Responsabile del trattamento come, in definitiva, disciplinato nelle sue funzioni e responsabilità dall’art. 28 del GDPR, non coincide esattamente con il nostro “Responsabile del trattamento”, definito nell’art. 4 e poi regolato nell’art. 29 del Codice della protezione dei dati personali. Oltretutto, l’astrattezza funzionale degli articoli del Codice ha favorito lo sviluppo di prassi diverse nelle nomine a Responsabili del trattamento, sia orientate verso l’esterno (fornitori di servizi informatici, consulenti, studi professionali etc.) sia verso l’interno (dipendenti con funzioni apicali, dirigenti, etc.) e, benché il Codice precisasse che i compiti affidati al Responsabile dovessero essere analiticamente specificati per iscritto dal Titolare (facendo intendere ad alcuni interpreti che ci fosse sempre la necessità per il Responsabile di dover seguire una sorta di “lista della spesa” dettagliatamente sviluppata e messa in atto dal Titolare), allo stesso modo la sua designazione come figura “preposta” al trattamento dal Titolare ha orientato scelte aziendali più oculate e proattive, tendenti al conferimento di posizioni spesso autonome, consulenziali o anche di auditor in capo a questa importante figura prevista nella nostra normativa.
Nel Codice della protezione dei dati personali, infatti, il Responsabile non agisce solo per conto del titolare, ma è da questi preposto al trattamento, acquisendo quindi la facoltà di sostituirlo nelle scelte, sia all’interno e sia all’esterno dell’organizzazione di riferimento. Del resto, lo stesso Codice precisa che tale figura debba essere individuata tra soggetti che per: esperienza, capacità ed affidabilità, forniscano idonea garanzia del pieno rispetto delle vigenti disposizioni in materia di trattamento, ivi compreso il profilo relativo alla sicurezza. Allo stesso modo sancisce che possono essere designati responsabili più soggetti, anche mediante suddivisione di compiti.
Al Titolare, quindi, è concessa massima autonomia organizzativa nell’affidamento (facoltativo e in forma scritta) dell’incarico in capo a figure di Responsabili adeguate alle specifiche esigenze poste dalle attività di trattamento. Come già ricordato, l’astrattezza della fattispecie del Responsabile del trattamento contenuta nel Codice ha permesso di considerare Responsabili (esterni) del trattamento anche persone giuridiche e, ormai da tempo, la prassi del Garante aveva consentito, entro precisi limiti, anche la subdelega delle relative responsabilità. L’art. 28 del GDPR, a ben vedere, ha ripreso queste figure di Responsabili esterni, mutuando molti concetti dall’esperienza italiana, e dettagliandone (forse in maniera anche troppo particolareggiata), finalità, compiti, responsabilità e modalità di nomina.
Nella attuale figura del DPO, come delineata negli articoli 37-39 del GDPR, non possiamo non riconoscere molti concetti espressi dalle prassi italiane proprio in quei modelli organizzativi che prevedevano (all’interno o all’esterno di organizzazioni complesse) figure di confine, nominate spesso “Responsabili del trattamento”, che assumevano con una certa autonomia, di volta in volta, compiti di assistenza, consulenza, auditing e così via.
Sostanzialmente – come previsto nel nostro Codice per il Responsabile del trattamento – il DPO contenuto nel GDPR deve, secondo l’art. 37 par. 5, essere designato in funzione delle qualità professionali, in particolare della conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati, e della capacità di assolvere i compiti di cui all’articolo 39.
Considerati i numerosi compiti di questo “super consulente privacy” e anche la posizione a esso conferita dall’art. 38 del GDPR, è ovvio che debba esser garantita a questa figura una conoscenza specialistica della materia attraverso percorsi di formazione dedicati e vanno, pertanto, verificate con attenzione quelle proposte di formazione collegate (in modo più o meno indiretto) a processi “certificativi” (più o meno farlocchi), spuntati come funghi nel “mercato della privacy” in quest’ultimo periodo, con inevitabile annessione di mirabolanti promesse di posti di lavoro assicurati come DPO (o figure similari).
Una professionalità così delicata non si può improvvisare, né si possono mercificare le sue competenze.
Il DPO va, infatti, considerato come un manager del cambiamento digitale (che è il presupposto su cui è fondato l’intero GDPR) che deve acquisire conoscenze multidisciplinari per poter garantire in piena autonomia l’assistenza necessaria ai Titolari e/o Responsabili del trattamento nella costruzione di adeguati modelli organizzativi che siano, a loro volta, animati dai principi fondamentali della privacy by default e della privacy by design, nell’ambito dell’accountability che permea tutta l’attuale normativa europea.
Per poter assicurare tutto questo è d’obbligo possedere solidissime basi di conoscenza ed esperienza e su questo occorre che ci sia massimo rigore da parte di tutti, nell’interesse del Sistema Paese. Del resto le stesse Linee Guida sul DPO si soffermano molto (pagg. 11-12) nell’illustrare i dettagli delle conoscenze specialistiche, delle qualità professionali e della capacità di assolvere i propri compiti, indicate come presupposti necessari nel già citato art. 37 par. 5 e nel considerando 97 del GDPR.
Proviamo a soffermarci infine su un punto molto delicato della nomina del DPO: il requisito dell’autonomia e indipendenza nell’esercizio delle sue funzioni. L’art. 37 par. 6 del GDPR precisa che il Responsabile della protezione dei dati può essere sia un dipendente del Titolare del trattamento (o del Responsabile del trattamento) e sia assolvere i suoi compiti in base a un contratto di servizi. Quindi, come precisato nel considerando 97, tali Responsabili della protezione dei dati, dipendenti o meno del Titolare del trattamento, dovrebbero poter adempiere alle funzioni e ai compiti loro incombenti in maniera indipendente. In particolare, il par. 3 dell’art. 38 del GDPR stabilisce che il Titolare del trattamento e il Responsabile del trattamento si assicurano che il Responsabile della protezione dei dati non riceva alcuna istruzione per quanto riguarda l’esecuzione di tali compiti. Il Responsabile della protezione dei dati inoltre non può essere rimosso o penalizzato dal Titolare del trattamento o dal Responsabile del trattamento per l’adempimento dei propri compiti. Il Responsabile della protezione dei dati infine deve riferire direttamente al vertice gerarchico del Titolare del trattamento o del Responsabile del trattamento.
Assicurare piena autonomia nell’esercizio di compiti complessi, all’interno di un modello organizzativo che in parte sembra ricalcare quanto previsto in Italia dal D. Lgs. 231/2002[13] (dedicato – lo ricordiamo – alla responsabilità amministrativa degli enti) e che avvicina il DPO per molti aspetti all’ODV, non appare affatto ovvio nell’ambito di un rapporto di lavoro dipendente. Non si può non riflettere su questo.
Appare quanto meno più naturale attendersi, soprattutto in organizzazioni più complesse, lo sviluppo di modelli più strutturati a presidio della privacy e che prevedano dei Team, magari indirizzati e governati da figure parificabili ai “vecchi” Responsabili del trattamento (interni) come previsti dal Codice (e che si spera siano preservati in quell’opera di rivisitazione che il Codice subirà inevitabilmente), i quali potranno/dovranno periodicamente confrontarsi e saranno guidati da DPO esterni competenti e attenti (spesso strutturati a loro volta in team multidisciplinari).
Articolo di Andrea Lisi – Avvocato, Presidente ANORC Professioni; Direttore Master Unitelma La Sapienza “I professionisti della digitalizzazione e della privacy”