A poco meno di sette settimane dall’applicazione effettiva del GDPR, cioè il Regolamento europeo per la Protezione dei Dati Personali UE/2016/679, l’Autorità Garante italiana ha pubblicato le FAQ (Frequently Asked Questions) in ambito privato, rispondendo ai principali quesiti sulla figura del Data Protection Officer (DPO) o, nell’accezione italiana, Responsabile per la protezione dei dati personali (“RPD”). L’obiettivo del Garante italiano è fornire ulteriori indicazioni su tale figura, a integrazione delle Linee Guida sul responsabile per la protezione dei dati adottate dal Gruppo di lavoro art. 29 (“WP29”) il 13 dicembre 2016 ed emendate, infine, il 5 aprile 2017.
Il GDPR pone al centro del nuovo quadro normativo la figura del Data Protection Officer, che, pur non essendo una novità nell’ambito normativo della data protection, diventa uno degli elementi più innovativi introdotti dal Regolamento, e più discussi da addetti ai lavori e non. Il DPO riflette, infatti, l’approccio responsabilizzante che permea il Regolamento europeo, essendo la designazione di tale figura finalizzata a facilitare e supportare il Titolare del trattamento o il Responsabile all’applicazione del Regolamento, favorendo, da un lato, l’osservanza degli obblighi normativi e dall’altro fungendo da punto di contatto tra i soggetti coinvolti nei trattamenti dei dati personali.
Le FAQ del Garante, dopo i primi due quesiti (n° 1 e 2) che ripercorrono il ruolo del Data Protection Officer e i suoi compiti, ai sensi dell’art. 37 del Regolamento, nonché i requisiti che deve possedere il responsabile della protezione dei dati, rispondono ad alcune domande concernenti, invece, l’obbligatorietà della designazione del DPO (FAQ n° 3), la designazione volontaria (FAQ n° 4), la designazione del DPO per un gruppo imprenditoriale (FAQ n° 5), l’affidamento del ruolo a soggetti interni o esterni alla realtà aziendale (FAQ n° 6), la compatibilità del ruolo del DPO con altri incarichi (FAQ n° 7) e, infine, se il ruolo di DPO possa essere ricoperto da una persona fisica o anche da un soggetto differente.
Entrando nel merito dei quesiti sopra riportati, andremo ad analizzare gli orientamenti del Garante italiano che ha ritenuto opportuno, anche a seguito dei dibattiti tra gli addetti ai lavori e non solo, fornire alcune indicazioni più operative, al fine di orientare i Titolari e i Responsabili del trattamento a comprendere nel migliore dei modi se e come ottemperare a tale previsione normativa.
Il Garante, infatti, sottolinea che i Titolari e i Responsabili del trattamento sono tenuti a designare il DPO quando le principali attività degli stessi, l’attività di “core business”, “consistono in trattamenti che richiedono il monitoraggio regolare e sistematico degli interessati su larga scala o in trattamenti su larga scala di categorie particolari di dati personali o di dati relative a condanne penali e a reati”.
A questa previsione, definita normativamente, il Garante aggiunge però un’indicazione precisa delle realtà aziendali che potrebbero ricadere sotto l’obbligatorietà della designazione del DPO, come ad esempio: istituti di credito; imprese assicurative; società di informazioni commerciali; società di revisione contabile; società di recupero crediti; partiti e movimenti politici; società operanti nel settore “utilities” (ossia telecomunicazioni, distribuzione di energia elettrica o gas); imprese di somministrazione di lavoro e ricerca del personale; società operanti nel settore della cura della salute, della prevenzione/diagnostica sanitaria quali ospedali privati, terme, laboratori di analisi mediche e centri di riabilitazione; società di call center; società che erogano servizi televisivi a pagamento.
A ciò deve aggiungersi che non risulta invece obbligatoria la designazione del DPO nei casi che non rientrano tra quelli previsti dal Regolamento, ossia, come indicato dal Garante a titolo esemplificativo, “in relazione a trattamenti effettuati da liberi professionisti operanti in forma individuale (gli avvocati ad esempio), agenti, rappresentanti e mediatori operanti non su larga scala, imprese individuali o familiari; piccole e medie imprese, con riferimento ai trattamenti dei dati personali connessi alla gestione corrente dei rapporti con fornitori e dipendenti”.
In ogni caso, però, il Garante raccomanda ai Titolari e ai Responsabili del trattamento di valutare l’opportunità di designare il DPO, indipendentemente dall’obbligatorietà normativa, sottolineando che i criteri di nomina saranno i medesimi di quelli previsti dal Regolamento.
Ed ancora, le ulteriori indicazioni del Garante italiano in merito alla designazione del DPO riguardano sia la figura che in maniera effettiva dovrà ricoprire il ruolo, sia la compatibilità di questa figura con altri incarichi interni all’azienda, qualora quest’ultima decida di designare DPO un dipendente interno.
Il Garante ribadisce che il ruolo di DPO può essere ricoperto da un dipendente del Titolare o del Responsabile del trattamento, ma anche da un soggetto esterno. Questo purché l’atto di designazione per il dipendente o il contratto di servizi per il soggetto esterno siano redatti in forma scritta e indichino espressamente i compiti attribuiti, le risorse assegnate per il loro svolgimento, nonché ogni altra utile informazione in rapporto al contesto di riferimento. Inoltre, essendo il DPO figura di interconnessione tra i soggetti coinvolti nei trattamenti dei dati personali, i suoi dati di contatto dovranno essere pubblicati dal Titolare o Responsabile del trattamento. E il Garante indica, come best practice, di valutare la necessità o l’opportunità di pubblicare anche il nominativo del DPO, stabilendo se, in base alle specifiche circostanze, possa trattarsi di un’informazione utile o necessaria. Va invece indicato il nominativo del DPO designato dal Titolare o dal Responsabile nella comunicazione al Garante della designazione del DPO, ai sensi dell’art. 37, par. 1, lett. a) e par. 7, del GDPR.
Infine, viene ribadito che il DPO può, all’interno della realtà aziendale, ricoprire ulteriori incarichi, purché ciò non comporti un conflitto di interessi tra il ruolo di responsabile per la protezione dei dati personali e l’attività svolta nell’ambito dell’ulteriore incarico. È per tale ragione che anche il Garante ribadisce l’opportunità di evitare l’assegnazione del ruolo di responsabile della protezione dei dati personali a soggetti con incarichi di alta direzione, come ad esempio il CEO di un’azienda, un direttore generale o un membro del CdA. Così come appare incompatibile designare come DPO soggetti che ricoprono cariche nell’ambito di strutture aventi potere decisionale in ordine alle finalità e alle modalità del trattamento (ad esempio il responsabile delle risorse umane, del marketing, o il responsabile IT).
Rimane pertanto essenziale per il Titolare o il Responsabile del trattamento fare attenzione ai suggerimenti ricavati dalle indicazioni del WP29 e dal Garante italiano, andando a individuare regole interne al fine di evitare, ab origine, i possibili conflitti e la designazione di un soggetto che potrebbe essere in conflitto di interessi per le proprie mansioni assunte all’interno della realtà aziendale.