IL DATA PROTECTION OFFICER NELLE LINEE GUIDA DEL WP 29

E’ iniziata l’opera di interpretazione e meglio definizione dei contenuti del Regolamento 2016/679 sulla protezione dei dati, svolto dal Gruppo dei Garanti Ue (WP 29).

Lo scorso 13 dicembre, infatti, sono stati approvati tre importanti documenti con indicazioni e raccomandazioni su alcune delle novità del Regolamento, in vista della sua applicazione da parte degli Stati membri a partire dal maggio 2018.

Tra le Linee Guida adottate, una in particolare riguarda il "responsabile per la protezione dei dati" (Data Protection Officer – DPO), importate nuova figura che entra nei “sistemi di gestione del dato” di enti pubblici e privati.

Gli elementi poco chiari nel Regolamento sono stabilire “quando” esiste l’obbligo di nomina del DPO e sulla natura e competenze dello stesso.

1. Quando deve essere nominato

Partiamo dal testo del Regolamento, l’art. 37 prevede che esiste l’obbligo del DPO quando:

“a) il trattamento è effettuato da un'autorità pubblica o da un organismo pubblico, eccettuate le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali, oppure

b) il “core business” del titolare del trattamento o del responsabile del trattamento consistono in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala, oppure

c) le attività principali del titolare del trattamento o del responsabile del trattamento consistono nel trattamento, su larga scala, di categorie particolari di dati di cui all'articolo 9 (dati sensibili) o di dati relativi a condanne penali e a reati di cui all'articolo 10.”

Le Linee Guida si soffermano a definire alcuni aspetti molto interessanti.

Il primo aspetto è cosa si intende per “core business” del titolare o del responsabile del trattamento. Si considera facente parte del “core business” del titolare o del responsabile: un’operazione necessaria per raggiungere lo scopo, appunto, del titolare o responsabile.

Si pensi ad un Ospedale: il core business è sicuramente provvedere alla cura delle persone, e il trattamento dei loro dati è un aspetto imprescindibile.

Il secondo punto interessante riguarda l’interpretazione dei concetto di “larga scala” in quanto il Regolamento non fornisce una definizione chiara e nonostante le indicazioni del considerando 91 è difficile dare una definizione univoca.

Più precisamente, le linee guida chiariscono che non è possibile dare un numero preciso sia per quanto riguarda la quantità di dati elaborati o il numero di persone interessate, applicabile in tutte le situazioni. Ciò non esclude la possibilità, tuttavia, che nel corso del tempo, possa svilupparsi una pratica standard, per specificare in termini oggettivi e quantitativi ciò che costituisce il trattamento su larga scala di alcuni tipi di attività.

In ogni caso, il WP29 raccomanda alcuni elementi da prendere in considerazione per determinare se il trattamento è effettuato o meno su larga scala:

• il numero di persone interessate - sia come un numero specifico o come percentuale della popolazione in questione;

• il volume di dati e / o la gamma di differenti elementi di dati in elaborazione;

• la durata, o la permanenza dell'attività di elaborazione dei dati;

• l'estensione geografica dell'attività di trasformazione.

A parere di chi scrive, qualche riferimento numerico avrebbe consentito di avere qualche certezza in più nella scelta di nominare o meno il DPO. Tuttavia qualche utile spunto è ritrovabile nei casi che secondo le Linee Guida non rientrano nella nozione di “larga scala”. In particolare non rientrano nella nozione di larga scala il trattamento dei dati dei pazienti da parte di un singolo medico o un dati personali relativi a condanne penali e reati da parte di un singolo avvocato.

Le linee guida specificano che anche la nozione di monitoraggio regolare e sistematico delle persone interessate non è definita nel Regolamento, ma il concetto di monitorare il comportamento delle persone interessate è menzionato nel considerando 24 e comprende in modo chiaro tutte le forme di monitoraggio e profilatura su internet, anche ai fini della pubblicità comportamentale.

2. I requisiti del DPO

Il responsabile della protezione dei dati è designato in funzione delle qualità professionali, in particolare della conoscenza specialistica della normativa e delle pratiche in materia di protezione dei dati, e della capacità di adempiere ai propri compiti. Tale figura, di alto livello professionale, può essere un dipendente del titolare del trattamento o del responsabile del trattamento oppure adempiere ai suoi compiti in base a un contratto di servizi e quindi può essere un libero professionista.

Le linee guida chiariscono che il livello di competenza richiesto non è strettamente definito nel Regolamento, ma deve essere commisurato alla sensibilità, alla complessità ed alla quantità di dati dei processi organizzativi.

Inoltre, anche se l’art. 37 del Regolamento non specifica le qualità professionali che dovrebbero essere considerate quando si designa un DPO, è chiaro che il responsabile della protezione dei dati debba avere esperienza sulla legislazione relativa alla protezione dei dati personali sia nazionale che europea, sulle prassi e possedere una conoscenza approfondita del Regolamento. Per il WP29 risulta utile che le autorità di controllo promuovano una formazione adeguata e regolare per il DPO.

Indubbiamente è utile anche che il DPO abbia la conoscenza del settore di business delle imprese e dell'organizzazione del titolare, comprensione sui processi di trattamento dei dati e sulle operazioni effettuate, nonché sui sistemi informativi, sulle esigenze di sicurezza dei dati e sulla protezione dei dati del titolare.

Nel caso, poi, di un ente pubblico o di un organismo, il DPO dovrebbe anche avere una buona conoscenza delle regole e delle procedure dell'organizzazione amministrativa.

Le linee guida chiariscono anche che la capacità di soddisfare i compiti del DPO deve essere interpretata con riferimento alle sue qualità personali e di conoscenza, ma anche con riferimento alla sua posizione all'interno dell'organizzazione.

3. I compiti del DPO

L’art. 39 del Regolamento chiarisce quali sono i compiti del responsabile della protezione dei dati, ovvero:

a) informare e fornire consulenza al titolare del trattamento o al responsabile del trattamento nonché ai dipendenti che eseguono il trattamento in merito agli obblighi derivanti dal regolamento nonché da altre disposizioni dell'Unione o degli Stati membri relative alla protezione dei dati;

b) sorvegliare l'osservanza del regolamento, di altre disposizioni dell'Unione o degli Stati membri relative alla protezione dei dati nonché delle politiche del titolare del trattamento o del responsabile del trattamento in materia di protezione dei dati personali, compresi l'attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo;

c) fornire, se richiesto, un parere in merito alla valutazione d'impatto sulla protezione dei dati e sorvegliarne lo svolgimento ai sensi dell'articolo 35;

d) cooperare con l'autorità di controllo;

e) fungere da punto di contatto per l'autorità di controllo per questioni connesse al trattamento, tra cui la consultazione preventiva di cui all'articolo 36, ed effettuare, se del caso, consultazioni relativamente a qualunque altra questione.

Il DPO dovrà svolgere un ruolo fondamentale nella promozione di una cultura della protezione dei dati all'interno dell'organizzazione e deve aiutare ad implementare gli elementi essenziali del Regolamento, come ad esempio i principi di trattamento dei dati, diritti degli interessati, la protezione dei dati fin dalla progettazione e per default, la registrazione delle attività, la sicurezza dei trattamenti, la notifica e la comunicazione propria del data breach.

Tali considerazioni ci fanno capire che il DPO o responsabile della protezione dei dati rappresenta una figura chiave e principalmente di alto livello nell’ambito del trattamento automatizzato dei dati personali. Deve essere un professionista dotato anche di qualità manageriali ed organizzative in grado di suggerire al titolare o responsabile opportuni cambiamenti di carattere tecnico-organizzativo.

Il responsabile della protezione dei dati deve essere prontamente e adeguatamente coinvolto in tutte le questioni riguardanti la protezione dei dati personali sia dal titolare del trattamento che dal responsabile del trattamento e gli interessati possono contattare il responsabile della protezione dei dati per tutte le questioni relative al trattamento dei loro dati personali e all'esercizio dei loro diritti derivanti dal Regolamento.

* * *

Indubbiamente le Linee Guida sono un primo passo importante per chiarire la figura del Data Protection Officer, ma ancora le “zone d’ombra” sono molte.

In Italia la figura è relativamente nuova. Il Garante in normative specifiche di settore, come il Dossier Sanitario, ne aveva suggerito l’individuazione, ma sempre come scelta non obbligatoria. Con il Regolamento UE, tutti i titolari dovranno cercare di capire se ricadono nell’obbligo di nomina, mentre molti titolari, obbligati a individuare un Data Protection Officer, dovranno prevederne la figura nella propria organizzazione.

Quindi ben vengano linee guida che chiariscono questo nuovo ruolo, ma di interesse è anche la giurisprudenza di Paesi, come la Germania in cui il DPO è una figura già nota.   Il Garante per la privacy bavarese ha, recentemente, multato una società che aveva designato il proprio IT manager come data protection officer, e questo nonostante la normativa prevedesse la possibilità di nominare sia un dipendente che un professionista esterno. La contestazione sollevata dall'Autorità bavarese si basa sul Federal Data Protection Act, ma riprende il principio dell'articolo 38 del nuovo Regolamento Europeo sul conflitto di interessi: la posizione del data protection officer richiede che il titolare del trattamento “si assicura che tali compiti e funzioni non diano adito a un conflitto d'interessi”. Per l’Autorità, nonostante sia consentito al DPO di svolgere anche altre mansioni, queste non devono però risultare incompatibili con la stessa posizione di data protection officer, che in casi come quello preso in esame dal Garante tedesco avrebbe dovuto in pratica controllare se stesso, verificando se le proprie attività di IT manager erano conformi alla normativa in materia di protezione di dati personali, e una forma di auto-monitoraggio contrasta con l'assenza di conflitti d'interessi e l'indipendenza richiesti al soggetto che svolge questo ruolo.