Il Regolamento 2016/679 e l’introduzione del Data Protection Officer

171
data protection officer dati sensibili

In una società caratterizzata da una forte globalizzazione e da un’incessante evoluzione tecnologica, la tutela della privacy è un diritto fondamentale messo sempre più in discussione e per questo necessita di adeguati mezzi di tutela. Il regolamento UE 2016/679 prevede una serie di strumenti volti al perseguimento di tale scopo, l’obiettivo di tale normativa è quello di ampliare la tutela della privacy a fattispecie finora non contemplate.

Con la piena efficacia esecutiva del GDPR il prossimo 25 maggio, le aziende dovranno rivedere la propria policy in materia di privacy ed il proprio organigramma, inserendo all’interno dello stesso il Data Protection Officer (DPO).

Tale nuova figura professionale, come espressamente disciplinato dall’art. 39, dovrà svolgere un’attività di consulenza, fornire  pareri in merito alla valutazione d’impatto sulla protezione dei dati e sorvegliarne lo svolgimento ai sensi dell’articolo 35, fornire indicazioni in merito agli obblighi derivanti dal presente regolamento nonché da altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati al Titolare del Trattamento o al Responsabile del Trattamento nonché ai dipendenti che eseguono il trattamento.

Per di più, avrà il compito vigilare sull’osservanza del presente regolamento, di altre disposizioni europee o degli Stati membri relative alla protezione dei dati nonché delle politiche del titolare del trattamento o del responsabile del trattamento in materia di protezione dei dati personali, compresi l’attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo. Inoltre, dovrà cooperare con l’autorità di controllo e fungere da punto di contatto per la stessa per questioni connesse al trattamento, tra cui la consultazione preventiva di cui all’articolo 36 e per consultazioni relativamente a qualunque altra questione.

Il responsabile della protezione dei dati deve essere un professionista con specifiche competenze in campo informatico, giuridico, di valutazione del rischio e di analisi dei processi. Figure simili erano già presenti negli ordinamenti anglosassoni, si pensi ai Chief Privacy Officer (CPO), ai Privacy Officer ed ai Data Security Officer, di fatto l’introduzione del Dpo all’interno di tutte le legislazioni degli Stati membri della Comunità europea va a colmare un “gap” da sempre esistente.

Il Data Protection Officer rappresenta il fiore all’occhiello della riforma voluta dal legislatore europeo, essendo la chiave di volta nel nuovo sistema della privacy; questo perché fungerà sia da controllore che da consigliere, per il trattamento di dati personali (ex dati sensibili) e non. Nonostante con il GDPR siano stati fatti passi da gigante, il Regolamento europeo presenta alcune carenze e contraddizioni. La formulazione dell’art 37 del GDPR, vero cuore normativo della riforma europea, è generica ed imprecisa; per questo non sono mancate numerose critiche.

Orbene, è pacifico che  il titolare del trattamento e il responsabile del trattamento devono designare obbligatoriamente un responsabile della protezione dei dati, quando il trattamento è effettuato da un’autorità pubblica o da un organismo pubblico, eccettuate le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali. I problemi applicativi sorgono, invece, nel caso di aziende private che svolgono quale attività principale il trattamento di dati personali, di cui all’art.9 del predetto regolamento, che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala.

Invero, la normativa fa genericamente riferimento a titolari del trattamento o a responsabili del trattamento che li utilizzano per la loro “attività principale” o su “vasta scala”, senza però chiarire il significato di questi due concetti. Neanche l’intervento interpretativo di un gruppo di esperti in materia e dei garanti nazionali (WP29) è riuscito a fornire i necessari chiarimenti.

Altro punto controverso è il quinto comma dell’art. 37, che non definisce quali siano le qualità  professionali necessarie a rivestire la carica di DPO. Anche in questo caso è stato necessario l’intervento degli esperti in materia, i quali hanno specificato che il Responsabile della Privacy dovrà possedere una comprovata esperienza in materia di protezione dei dati personali sia in ambito nazionale che europeo, prassi ed un’ottima conoscenza del Regolamento 2016/679. Nell’ipotesi, invece, di un ente pubblico o di un organismo pubblico, oltre alle predette conoscenze, il DPO dovrà anche essere esperto di diritto amministrativo.

Superata la problematica dei requisiti professionali di tale figura, diventa necessario chiedersi chi possa ricoprire il ruolo del Data Protection Officer. Il Regolamento europeo stabilisce che il responsabile della protezione dei dati possa essere un dipendente o del titolare del trattamento o del responsabile del trattamento oppure un libero professionista. La possibilità che un dipendente del titolare del trattamento o del responsabile del trattamento possa ricoprire tale carica suscita numerose perplessità in quanto ciò entrerebbe in contrasto con le disposizioni contenute nell’art. 38.

Invero, la posizione subordinata che ricopre un lavoratore dipendente entra in contrasto con quella di autonomia e controllo che necessariamente dovrebbe caratterizzare il DPO. Al fine di preservare tale indipendenza, l’art. 38 prevede che il titolare del trattamento e il responsabile del trattamento debbano assicurarsi che il DPO non riceva alcuna istruzione per quanto riguarda l’esecuzione dei compiti legati a questa funzione. Inoltre, il responsabile della protezione dei dati non può essere rimosso o penalizzato dal titolare del trattamento o dal responsabile del trattamento per l’adempimento di detti compiti.

Il DPO, essendo un soggetto del tutto autonomo all’interno dell’organigramma aziendale, dovrebbe riferire direttamente al vertice gerarchico del titolare del trattamento o del responsabile del trattamento.

Alla luce di quanto fin qui esposto, il recepimento del nuovo impianto normativo dovrà essere accompagnato necessariamente da linee guida fornite dal Garante italiano al fine di garantire il corretto adempimento degli obblighi tanto da parte delle aziende private quanto dal Data Protection Officer.

Mi chiamo Benedetta Greco, nel 2013 mi sono laureata in giurisprudenza, presso l'università Federico secondo di Napoli, con tesi sulla definizione di terrorismo in diritto internazionale (di cui vado molto fiera). Ho collaborato come praticante avvocato abilitato per diversi Studi legali e nel 2016 dopo tre anni di gavetta ho superato con successo l'esame di abilitazione alla professione forense. Le mie esperienze professionali si estendono anche al piano della didattica: nel 2014 ho diretto dei moduli riguardanti la “Legislazione commerciale” e “ Legislazione fiscale” nell'ambito di un corso sui “Requisiti professionali per il commercio” nonché un modulo sui “Riferimenti normativi e legislativi in ambito socio sanitario” rientrante nel corso di studi per l’acquisizione dell’attestato di Operatore socio sanitario.