Il regolamento UE n. 2016/679, meglio conosciuto come GDPR, ha portato con sé molteplici novità tra cui l’introduzione del DPO – Data Protection Officer, ossia un punto di raccordo tra il titolare e il responsabile da un lato e l’Autorità Garante dall’altro. Si tratta di una vera e propria figura professionale che, oltre a conoscere la normativa di settore, deve anche possedere qualità manageriali e una buona conoscenza delle nuove tecnologie. Vediamo di fare un po’ di chiarezza su questo ruolo.
Il DPO può essere un dipendente del titolare del trattamento o del responsabile del trattamento oppure può svolgere i suoi compiti sulla base di un contratto di servizi ed essere pertanto un libero professionista. Questo ultimo aspetto sarà difficilmente praticabile nel caso delle pubbliche amministrazioni vista la cronica mancanza di fondi; molto più plausibile in questo caso sarà una nomina tra le proprie risorse interne. Al contrario, ma per altri motivi, nel settore privato sarà più probabile il ricorso a una figura esterna: molte aziende risultano molto esposte dal punto di vista privacy per l’attività svolta e di conseguenza per i dati trattati (per esempio aziende del settore bancario, sanitario, ecc.) e dovrebbero pertanto investire nel campo della protezione dei dati assicurandosi la consulenza di professionisti competenti con contratti che prevedano un impegno di almeno 4 anni rinnovabili.
I compiti del DPO
Secondo l’art. 39, paragrafo 1, lettera b) del GDPR, il DPO ha il compito di sorvegliare sull’osservanza del Regolamento stesso. Il titolare o il responsabile del trattamento dovrebbe essere “assistito [dal DPO] nel controllo del rispetto a livello interno del presente regolamento”. Nel fare ciò, il DPO deve occuparsi della raccolta di informazioni per individuare i trattamenti svolti, dell’analisi e della verifica dei trattamenti in termini di loro conformità e dell’attivazione di informazione, consulenza e indirizzo nei confronti di titolare o responsabile. Va precisato che il controllo del rispetto del Regolamento non significa che il DPO sia personalmente responsabile in caso di inosservanza. Nel Regolamento viene difatti precisato che spetta al titolare “mettere in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al presente regolamento” (art. 24, paragrafo 1).
Sempre all’art. 39, paragrafo 1, lettere d) ed e), il DPO deve “cooperare con l’autorità di controllo” e “fungere da punto di contatto per l’autorità di controllo per questioni connesse al trattamento, tra cui la consultazione preventiva di cui all’articolo 36, ed effettuare, se del caso, consultazioni relativamente a ogni altra questione”. Le linee guida aiutano a comprendere come tali compitini spettino al DPO quale punto di contatto per facilitare l’accesso, da parte dell’autorità di controllo, ai documenti e alle informazioni necessarie per l’adempimento dei compiti espetti o connessi all’esercizio dei poteri di indagine, correttivi, autorizzativi e consultivi di cui all’art. 58 del Regolamento.
Al secondo paragrafo, l’art. 39 afferma che il DPO deve “considerare debitamente i rischi inerenti al trattamento, tenuto conto della natura, dell’ambito di applicazione, del contesto e delle finalità del medesimo”. Si tratta di una disposizione generica basata su criteri di buon senso: il DPO deve definire un ordine di priorità nell’attività svolta e concentrarsi sulle questioni che presentano maggiori rischi in termini di protezione dei dati.
La valutazione d’impatto
All’art. 35 del Regolamento si parla di valutazione d’impatto sulla protezione dei dati (DPIA secondo l’acronimo inglese), operazione a carico del titolare del trattamento quando il trattamento stesso può presentare un rischio elevato per i diritti e le libertà delle persone fisiche. Il titolare del trattamento dovrà condurre, ove necessario, una valutazione d’impatto sulla protezione dei dati. In questo contesto il DPO svolge un ruolo di assistenza al titolare.
Per rimanere in tema di DPIA, l’art. 39 affida al DPO il compito di “fornire, se richiesto, un parere in merito alla valutazione di impatto sulla protezione dei dati e sorvegliarne lo svolgimento”. A scanso d’equivoci viene specificato che il titolare si consulti con il DPO sulle seguenti tematiche: se condurre o meno una DPIA; quale metodologia adottare nel condurre una DPIA; se condurre la DPIA con le risorse interne oppure esternalizzandola; quali salvaguardie applicare per attenuare i rischi per i diritti e gli interessi delle persone interessate; se la DPIA sia stata condotta correttamente o meno e se le conclusioni raggiunte siano conformi al Regolamento.
Attività “extra”
All’articolo 30 del Regolamento è previsto che ogni titolare del trattamento e il suo eventuale rappresentante debbano tenere un registro delle attività di trattamento svolte sotto la propria responsabilità – analoga disposizione valida anche il responsabile del trattamento. Titolare o responsabile del trattamento devono quindi “tenere un registro delle attività di trattamento svolte sotto la propria responsabilità” ovvero “un registro di tutte le categorie di trattamento svolte per conto di un titolare del trattamento”.
Non si tratta quindi di un compito a carico del DPO, anche se nella realtà spesso sono gli stessi DPO a realizzare l’inventario dei trattamenti e tenere un loro registro sulla base delle informazioni fornite dai vari uffici che trattano dati personali. Si tratta di un aspetto del Regolamento non chiarissimo posto che l’art. 39 al primo paragrafo descrive un elenco non esaustivo dei compiti affidati al DPO. Tale registro va considerato uno degli strumenti che consentono al DPO di adempiere agli obblighi di sorveglianza del rispetto del regolamento, informazione e consulenza nei riguardi del titolare o del responsabile.