I compiti del DPO alla luce del Regolamento UE n. 2016/679 e delle relative linee guida

Il ruolo del DPO (Data Protection Officer), così come disciplinato dal Regolamento UE sulla protezione dei dati personali n. 2016/679 e dalle linee guida del WG 29 del 16 dicembre 2016 successivamente emendate il 5 aprile 2017, è davvero molto delicato poiché funge da punto di raccordo fra il titolare ed il responsabile da un lato e l’Autorità Garante dall’altro. E’ una figura professionale di livello elevato che non solo deve conoscere in modo approfondito la normativa di settore, ma deve anche possedere delle qualità manageriali ed una buona conoscenza delle nuove tecnologie. E’ evidente che per svolgere la sua funzione di consulenza ha necessità di avere una buona competenza di carattere generale sui diversi aspetti sia di carattere normativo che organizzativo.

Tale figura può essere un dipendente del titolare del trattamento o del responsabile del trattamento oppure adempiere ai suoi compiti in base a un contratto di servizi e quindi può essere un libero professionista. Quest’ultimo aspetto per la verità risulta poco conciliabile con le pubbliche amministrazioni per le quali è previsto proprio l’obbligo della nomina del DPO. Difatti la cronica mancanza di fondi renderà davvero difficile per gli enti pubblici esternalizzare la figura del DPO, di conseguenza appare evidente che in un ambito pubblicistico sarà necessario rivolgersi a proprie risorse interne presumibilmente di rango elevato (dirigenti o funzionari) solo previa specifica formazione, davvero indispensabile in tale settore.

Altra situazione sarà nel settore privatistico, dove nel rispetto del principio di accountability molte aziende particolarmente esposte dal punto di vista privacy per l’attività svolta ed i dati trattati (basti pensare ad aziende che operano nel mondo bancario, sanitario o delle telecomunicazioni) dovrebbero investire in modo appropriato e consapevole nel campo della protezione dei dati personali assicurandosi la consulenza di professionisti competenti e degni di fiducia con contratti che prevedano un impegno di almeno 4 anni rinnovabili.

Ma quali sono i compiti del DPO?

Alla luce anche di quanto chiarito dalle summenzionate linee guida i principali compiti del DPO sono i seguenti:

Vigilare sull’osservanza del Regolamento

L’art. 39, paragrafo 1, lettera b), del Regolamento UE n. 2016/679 affida al DPO, fra gli altri, il compito di sorvegliare l’osservanza dello stesso Regolamento.

Nel considerando 97 si specifica che il titolare o il responsabile del trattamento dovrebbe essere “assistito [dal DPO] nel controllo del rispetto a livello interno del presente regolamento”.

Fanno parte di questi compiti di controllo svolti dal DPO, in particolare:

  • la raccolta di informazioni per individuare i trattamenti svolti;
  • l’analisi e la verifica dei trattamenti in termini di loro conformità, e
  • l’attività di informazione, consulenza e indirizzo nei confronti di titolare o responsabile.

Il controllo del rispetto del Regolamento non significa che il DPO sia personalmente responsabile in caso di inosservanza.

Il Regolamento chiarisce che spetta al titolare, e non al DPO, “mettere in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al presente regolamento” (art. 24, paragrafo 1).

Il rispetto delle norme in materia di protezione dei dati fa parte della responsabilità d’impresa del titolare del trattamento, non del DPO.

Il ruolo del DPO nella valutazione d’impatto sulla protezione dei dati

L’art. 35 del Regolamento parla di valutazione d’impatto sulla protezione dei dati che deve essere effettuata dal titolare del trattamento quando un tipo di trattamento, allorché prevede in particolare l’uso di nuove tecnologie, considerati la natura, l’oggetto, il contesto e le finalità del trattamento, può presentare un rischio elevato per i diritti e le libertà delle persone fisiche.

In base all’art. 35, paragrafo 1, spetta al titolare del trattamento, e non al DPO, condurre, ove necessario, una valutazione di impatto sulla protezione dei dati (DPIA, nell’acronimo inglese). Tuttavia, il DPO svolge un ruolo fondamentale e di grande utilità assistendo il titolare nello svolgimento di tale DPIA.

In ossequio al principio di “protezione dei dati fin dalla fase di progettazione” (o data protection by design), l’art. 35, secondo paragrafo, prevede in modo specifico che il titolare “si consulta” con il DPO quando svolge una DPIA.

A sua volta, l’art. 39, primo paragrafo, lettera c) affida al DPO il compito di “fornire, se richiesto, un parere in merito alla valutazione di impatto sulla protezione dei dati e sorvegliarne lo svolgimento”.

Il WP29 raccomanda che il titolare si consulti con il DPO, fra l’altro, sulle seguenti tematiche:

  • se condurre o meno una DPIA;
  • quale metodologia adottare nel condurre una DPIA;
  • se condurre la DPIA con le risorse interne ovvero esternalizzandola;
  • quali salvaguardie applicare, comprese misure tecniche e organizzative, per attenuare i rischi per i diritti e gli interessi delle persone interessate;
  • se la DPIA sia stata condotta correttamente o meno, e se le conclusioni raggiunte (procedere o meno con il trattamento, e quali salvaguardie applicare) siano conformi al Regolamento.

Cooperazione con l’autorità di controllo e funzione di punto di contatto

In base all’art. 39, paragrafo 1, lettere d) ed e) del Regolamento, il DPO deve “cooperare con l’autorità di controllo” e “fungere da punto di contatto per l’autorità di controllo per questioni connesse al trattamento, tra cui la consultazione preventiva di cui all’articolo 36, ed effettuare, se del caso, consultazioni relativamente a ogni altra questione”.

Le linee guida chiariscono che questi compiti attengono al ruolo di “facilitatore” attribuito al DPO nel senso che lo stesso funge da punto di contatto per facilitare l’accesso, da parte dell’autorità di controllo, ai documenti e alle informazioni necessarie per l’adempimento dei compiti ispettivi o connessi all’esercizio dei poteri di indagine, correttivi, autorizzativi e consultivi di cui all’art. 58 del Regolamento.

Approccio basato sul rischio

In base all’art. 39, secondo paragrafo, il DPO deve “considerare debitamente i rischi inerenti al trattamento, tenuto conto della natura, dell’ambito di applicazione, del contesto e delle finalità del medesimo”.

Si tratta di una disposizione di portata generale e ispirata a criteri di buon senso, verosimilmente applicabile sotto molti riguardi all’attività quotidiana del DPO.

In sostanza, si chiede al DPO di definire un ordine di priorità nell’attività svolta e di concentrarsi sulle questioni che presentino maggiori rischi in termini di protezione dei dati.

Seppure ciò non significhi che il DPO debba trascurare di sorvegliare il grado di conformità di altri trattamenti associati a un livello di rischio comparativamente inferiore, di fatto la disposizione segnala l’opportunità di dedicare attenzione prioritaria agli ambiti che presentino rischi più elevati.

Il ruolo del DPO nella tenuta del Registro delle attività di trattamento

Come noto l’art. 30 del Regolamento prevede che ogni titolare del trattamento e il suo eventuale rappresentante tengono un registro delle attività di trattamento svolte sotto la propria responsabilità e lo stesso discorso vale anche per il responsabile del trattamento.

Di conseguenza la stessa disposizione, primo e secondo paragrafo, prevede che sia il titolare o il responsabile del trattamento, e non il DPO, a “tenere un registro delle attività di trattamento svolte sotto la propria responsabilità” ovvero “un registro di tutte le categorie di trattamento svolte per conto di un titolare del trattamento”.

Nella realtà, sono spesso i DPO a realizzare l’inventario dei trattamenti e tenere un registro di tali trattamenti sulla base delle informazioni fornite loro dai vari uffici o unità che trattano dati personali.

È una prassi consolidata e fondata sulle disposizioni di numerose leggi nazionali nonché sulla normativa in materia di protezione dati applicabile alle istituzioni e agli organismi dell’UE.

In effetti l’art. 39, primo paragrafo, contiene un elenco non esaustivo dei compiti affidati al DPO. Pertanto, niente vieta al titolare o al responsabile del trattamento di affidare al DPO il compito di tenere il registro delle attività di trattamento sotto la responsabilità del titolare stesso.

Tale registro va considerato uno degli strumenti che consentono al DPO di adempiere agli obblighi di sorveglianza del rispetto del regolamento, informazione e consulenza nei riguardi del titolare o del responsabile.

A sura di: Michele Iaselli 

Profilo Autore

Michele Iaselli è avvocato, docente a contratto di informatica giuridica alla LUISS – facoltà di giurisprudenza, collaboratore della cattedra di logica ed informatica giuridica presso l’Università degli Studi di Napoli Federico II. E’ specializzato presso l'Università degli Studi di Napoli Federico II in "Tecniche e Metodologie informatiche giuridiche".
Inoltre è Presidente dell’Associazione Nazionale per la Difesa della Privacy e Vicedirigente del Ministero della Difesa.
Relatore di numerosi convegni, ha pubblicato diverse monografie e contribuito ad opere collettanee in materia di privacy, informatica giuridica e diritto dell’informatica con le principali case editrici.

Condividi sui Social Network:

Articoli simili