Il 13 dicembre 2016 il Gruppo di lavoro ex art. 29 – ente europeo istituito dalla Direttiva 95/46/CE che, fino all’applicazione del Regolamento, si occupa, tra l’altro, di fornire interpretazioni della normativa inerente al trattamento dei dati personali – ha pubblicato le linee guida in merito alla figura del Data Protection Officer (DPO) o responsabile della protezione dei dati.
La normativa discussa è collocata agli artt. 37 e ss. del nuovo Regolamento UE n. 679/2016 del 27 aprile 2016 “relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati”.
La designazione di un responsabile della protezione dei dati è resa obbligatoria per le autorità e gli organismi pubblici (salvo limitate eccezioni) e per tutti gli altri soggetti le cui attività principali consistano in trattamenti effettuati su larga scala che richiedono il monitoraggio regolare e sistematico degli interessati ovvero l’analisi di dati sensibili o giudiziari.
Quanto ai soggetti non pubblici per i quali è previsto l’obbligo di designazione occorre interrogarsi su alcune nozioni, al fine di individuare quali siano i soggetti interessati dalla disciplina relativa ai DPO.
In primo luogo, il Gruppo di lavoro si premura di specificare che per “attività principali” (“core activities”) non debbano intendersi solamente quelle oggetto dell’attività d’impresa, rilevando anche i trattamenti di dati che risultino fondamentali per poter fornire l’attività principale. Per un ospedale, ad esempio, l’obiettivo è quello di curare i pazienti ma ciò non sarebbe possibile senza effettuare il trattamento dei dati sanitari degli stessi e per questo motivo si rivela necessaria la nomina di un Data Privacy Officer.
Le linee guida si interessano, inoltre, di altre nozioni. In particolare quella di “larga scala”, per cui devono essere considerati fattori come il numero degli interessati, il volume dei dati e la durata del trattamento e quella di “monitoraggio regolare e sistematico” per cui deve essere preso in considerazione il periodo di tempo in cui viene effettuato il trattamento, l’inserimento di tale attività all’interno di una più estesa strategia aziendale ed altri elementi che dovranno essere valutati nei casi concreti.
Il WP29 si occupa poi di delineare funzioni, mansioni del DPO e competenze necessarie per il loro assolvimento, oltre che la sua posizione a livello organizzativo.
I compiti del responsabile della protezione dei dati personali sono elencati all’articolo 39 del nuovo Regolamento 679/2016. Egli deve occuparsi di verificare il rispetto della disciplina posta a tutela della protezione dei dati personali, di fornire all’impresa le informazioni richieste inerenti agli obblighi derivanti dalla normativa e di fare da punto di contatto per il Garante della privacy per questioni connesse al trattamento.
Dal punto di vista organizzativo il Data Privacy Officer può essere una risorsa interna oppure un consulente esterno. Secondo il Gruppo la scelta deve essere presa tenendo conto sia dell’entità e della pericolosità per gli interessati del trattamento dei dati effettuato che della possibilità del DPO di svolgere efficacemente i propri compiti. È quindi possibile che si renda necessaria la presenza di più figure di questo tipo o che una singola figura possa avere mansioni aggiuntive rispetto a quelle previste dall’articolo 39.
Inoltre, egli deve essere in condizione di poter agire in autonomia senza le influenze del titolare e del responsabile del trattamento che devono limitarsi a fornirgli le risorse e le conoscenze necessarie per assolvere ai propri compiti.
Dovendo conoscere a fondo il complesso delle attività aziendali che presuppongono il trattamento dei dati personali, si presume che il responsabile della protezione dei dati sia una figura dirigenziale che lavori a stretto contatto sia con il titolare del trattamento che con i responsabili dei vari dipartimenti interessati dal trattamento di dati.
Proprio per via dell’autonomia che caratterizza questa figura professionale, risulta necessario, secondo l’art. 38 co. 6, che il titolare o il responsabile del trattamento si assicurino che i compiti e le funzioni attribuite al responsabile della protezione dei dati non diano luogo a conflitti di interessi.
Analizzando la disciplina tenendo conto dell’intero regolamento si nota come la figura del Data Privacy Officer sia adibita principalmente a garantire un elevato grado di fiducia degli interessati nei confronti delle imprese che svolgono attività di trattamento dei dati personali. Oltre a costituire il punto di riferimento sia per il Garante della privacy che per gli interessati, infatti, deve avere “una conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati”.
Se si considera anche l’attività di formazione nei confronti dei dipendenti si può notare come il Regolamento n. 679/2016 sia incentrato su un concetto di privacy by design che non è più inerente esclusivamente al ciclo produttivo degli strumenti attraverso i quali si raccolgono i dati personali ma che influenza anche l’organizzazione aziendale dall’interno a partire dalla gestione delle risorse umane.
In conclusione è possibile affermare che la nuova figura del Data Privacy Officer prevista del Regolamento europeo che sarà applicato a partire dal 25 maggio 2018 ha l’obiettivo di garantire un utilizzo corretto dei dati personali in modi diversi dal sistema di informativa e consenso che da più parti è ormai considerata poco efficace.
Proprio considerando la ratio dell’intera disciplina il gruppo di lavoro ex art. 29 consiglia alle imprese che non sono obbligate dalla normativa all’assunzione di un responsabile per il trattamento dei dati personali di prendere comunque in considerazione tale eventualità.
In un mercato, quello dei dati personali, ove la fiducia ricopre un elemento centrale nel rapporto tra titolari del trattamento e interessati, la sicurezza che offre uno specialista adibito a controllare le attività sulle informazioni può aiutare lo sviluppo di beni e servizi per cui è necessario l’utilizzo di dati personali.
Studente di Giurisprudenza
Università degli Studi di Milano
Scarica il PDF 
