Data protection officer: ODV per la privacy?
Il nuovo Regolamento Ue in materia di privacy, ormai giunto alle battute finali, introduce e regolamenta una figura chiave all’interno del sistema di compliance di cui tutti gli enti si devono dotare. Inizialmente prevista come obbligatoria, nel testo attualmente in discussione si è optato per la facoltatività della figura anche se è indubbia l’opportunità di una sua nomina in molti contesti, soprattutto se le attività principali dell’ente consistono in trattamenti che richiedono il controllo regolare e sistematico dei dati personali. Nel testo attuale del Regolamento: - l’articolo 35 introduce la figura del responsabile della protezione dei dati; - l’articolo 36 precisa la posizione; - l’articolo 37 stabilisce i principali compiti. Di seguito una sintesi della disciplina. Il DPO andrà scelto in funzione delle qualità professionali e della conoscenza specialistica della privacy.
Si può affermare che si va verso la creazione di una nuova categoria professionale che dovrà disporre di precise e specifiche competenze sia giuridiche che informatiche nell’ambito della protezione dei dati personali.
Se si volesse fare un paragone con figure esistenti, forse il parallelismo più adeguato potrebbe essere con l’Organismo di Vigilanza previsto dal D.Lgs. 231/2001, considerata la preminenza dei compiti di sorveglianza. I principali compiti del DPO, il cui nominativo andrà comunicato all’Autorità di controllo e al pubblico, saranno quelli di: - sensibilizzare e consigliare il Titolare in merito agli obblighi (misure e procedure tecniche e organizzative) derivanti Regolamento; - sorvegliare l’applicazione delle politiche compresa l’attribuzione delle responsabilità, la formazione del personale che partecipa ai trattamenti e l’effettuazione degli audit connessi; - sorvegliare l’applicazione del Regolamento, con particolare riguardo alla protezione fin dalla progettazione, alla protezione di default, alla sicurezza dei dati, alle informazioni dell’interessato ed alle richieste degli stessi per esercitare i diritti riconosciuti; controllare che il Titolare effettui la Valutazione d’impatto sulla protezione dei dati (DPIA) e richieda all’Autorità di Controllo l’autorizzazione preventiva o la consultazione preventiva nei casi previsti; - fungere da punto di contatto per l’Autorità di Controllo per questioni connesse al trattamento e consultarla, se del caso, di propria iniziativa; - informare i rappresentanti del personale (es. rappresentanti sindacali) sui trattamenti che riguardano i dipendenti. Il DPO potrà essere assunto (dipendente) oppure adempiere ai suoi compiti in base a un contratto di servizi (professionista esterno).
Il Titolare del trattamento, a seconda della forma contrattuale, potrà così essere datore di lavoro o committente. In ogni caso, il Titolare dovrà fornire al DPO tutti i mezzi inclusi il personale, i locali, le attrezzature e ogni altra risorsa necessaria per adempiere alle sue funzioni e per mantenere la propria conoscenza professionale. La sua nomina non è legata a requisiti di idoneità generici ma specifici. Per il DPO, è richiesta conoscenza specialistica della normativa e delle pratiche in materia di protezione dei dati. Il livello necessario di conoscenza specialistica è determinato in particolare in base al trattamento di dati effettuato e alla protezione richiesta per i dati personali trattati. L’ente inoltre deve: - assicurare che il DPO sia prontamente e adeguatamente coinvolto in tutte le questioni riguardanti la protezione dei dati personali; - garantire che il DPO adempia alle sue funzioni in piena indipendenza e non riceva alcuna istruzione per quanto riguarda il loro esercizio; - sostenere il DPO nell’esecuzione dei suoi compiti e a tal fine fornirgli collaboratori, locali, attrezzature e ogni altra risorsa necessaria. Questi tre aspetti sono altrettanti limiti del sistema organizzativo privacy attuale di molte aziende, in cui, nei fatti: 1. non vi sono figure aziendali prontamente e adeguatamente coinvolte nelle questioni che hanno risvolti in materia di privacy; 2. non vi sono figure aziendali in grado di adempiere ai compiti privacy in piena indipendenza e autonomia; 3. chi riceve incarichi privacy non è sostenuto adeguatamente.
Non è irrilevante notare come, sotto il profilo sanzionatorio, siano messi sullo stesso piano la mancata designazione del DPO (quando obbligatoria) e il non garantire le condizioni per l’adempimento dei compiti. In chiave prospettica il Regolamento dovrebbe spingere a impostare il sistema di compliance privacy in un’ottica sostanziale, in modo che si riesca a governare effettivamente la materia, a prescindere dagli aspetti formalistici. In quest’ottica, l’approccio verso il quale spinge il legislatore europeo è quello di una definizione e concreta attuazione delle politiche aziendali, della sorveglianza sulla loro attuazione, della verifica dell’efficacia delle politiche aziendali e delle misure da esse previste, della formazione del personale. Già nel 2006, il Presidente del Garante Privacy Francesco Pizzetti, affermava “Vedo con molto favore l’istituzione della figura del Data Protection Officer (DPO) specialmente per le aziende e le corporation medie e grandi. La diffusione di questa figura non potrebbe che aiutare l’azione del Garante e la diffusione stessa della privacy nell’ambito delle strutture di impresa”.