Conclusioni - Responsabilità penale del Data Protection Officer e tutela transnazionale della p

In attesa che sui temi affrontati intervengano elementi chiarificatori di matrice giurisprudenziale o legislative, in questa sede giova considerare che l'ampiezza delle previsioni normative riferite al Data Protection Officer, contenute nel regolamento, potrebbe rivelarsi terreno ideale sul quale far fiorire orientamenti divergenti, con il rischio concreto di lasciare nell’incertezza coloro che sono chiamati a svolgere questo delicato ruolo.

130_{Regolamento UE n. 679/2016, art. 39 par. 1 lett. a).} 131_{Regolamento UE n. 679/2016, art. 39 par. 2.} 132_{D.lgs. n. 81/2008, art. 33, par.1 lett. a).}

Rebus sic stantibus, è fondamentale mantenersi aggiornati sia sulle evoluzioni legislative che sugli interventi delle istituzioni nazionali ed europee sul tema e sugli apporti dottrinali sul punto.

Ciò detto, si ha motivo di ritenere che, in prospettiva futura, alla luce della valorizzazione delle competenze specialistiche che già sono necessarie nel mondo di oggi, e lo saranno ancor di più nel mondo di domani, appare probabile che le caratteristiche intrinseche della figura del D.P.O., la delicatezza dei suoi compiti e sua la centralità in aziende, enti pubblici e realtà professionali strutturate andrà determinando una sempre maggiore definizione dei doveri e delle responsabilità del ruolo, anche dal punto di vista penalistico.

Allo stato, si ritiene che sulla base del regolamento si possa senz’altro ipotizzare la sussistenza di una posizione di garanzia, consistente non tanto nell’assicurare la compliance della struttura, che certamente fa capo al titolare, quanto nell’obbligo di attivarsi e segnalare ogni situazione che non sia conforme al regolamento, così operando quel ruolo di sorveglianza impostogli dall’ordinamento.

A ciò potrebbe aggiungersi l’ipotesi di un concorso con altri soggetti ex art. 110 c.p. nel caso in cui il D.P.O. sia partecipe dell’intentio criminis comune e muova la sua attività in modo da favorirne la realizzazione; si tratta ad ogni modo di una ipotesi di responsabilità che andrebbe verificata caso per caso.

87 CAPITOLO IV

I PRESUPPOSTI DI LICEITA’ NELLA CIRCOLAZIONE INTERNAZIONALE DEI DATI133

Premessa: Il ruolo del D.P.O. davanti alla sfida della tutela transazionale dei dati - 1. La direttiva 95/46/CE e il trasferimento di dati personali - 2. Il trasferimento dei dati personali e il rapporto con gli USA: dalla sentenza C-362/14 al Privacy Shield - 2.1. Il Safe Harbor - 2.2. Il Datagate e la reazione delle istituzioni europee. - 2.3. L’apporto della Corte di Giustizia - 2.4. L’invalidamento del Safe Harbor: la sentenza C-362-14. - 2.5. Il Privacy Shield. - 3. I principali richiami al trasferimento di dati personali verso Paesi terzi nelle disposizioni introduttive e nel testo del regolamento europeo n. 679/2016. - 3.1. Il Capo V - 3.1.1. Il principio generale - 3.1.2. Il trasferimento in base a una decisione di adeguatezza. - 3.1.3. Il trasferimento soggetto a garanzie adeguate - 3.1.4. Le norme vincolanti di impresa. - 3.1.5 Trasferimento o comunicazione non autorizzati dal diritto dell’Unione. - 3.1.6. Le deroghe in specifiche situazioni - 3.2. La cooperazione internazionale per la protezione dei dati personali.

Premessa: Il ruolo del D.P.O. davanti alla sfida della tutela transazionale dei dati

Ora che si è tratteggiata la disciplina dettata dal nuovo Regolamento Europeo con riguardo al Data Protection Officer, analizzando le peculiarità e le responsabilità di questo ruolo, è necessario inserire la sua figura nel contesto delle odierne problematiche in materia di privacy.

Chi scrive ritiene che il compito del Data Protection Officer non possa essere relegato alla mera ottemperanza di adempimenti legislativi anche perché, come si è già avuto di sottolineare, non è questo lo spirito che anima la nuova normativa e non e in questo modo che si può fare dare efficace attuazione al principio di accountability.

133_{Il presente capitolo riproduce, con le opportune modifiche e aggiornamenti, gran parte del}

contributo dell’autore (Cap.VII: Il trasferimento di dati personali verso paesi terzi e organizzazioni

internazionali) all’opera: Manuale di diritto alla protezione dei dati personali, Maglio M., Tilli, N., Polini M.

Tutto questo va tenuto bene a mente se si considera che la grande sfida per la tutela dei dati personali al giorno di oggi risiede nella dimensione internazionale che tale tutela deve avere e nella predisposizione di strumenti che siano in grado di permettere un controllo effettivo sui dati anche quando questi non si trovano nella diretta disponibilità dell’interessato e delle Autorità del suo Paese.

È scontato dire che ad amplificare le cose in maniera esponenziale è stato lo sviluppo di internet e degli strumenti di comunicazione.

Innumerevoli sono gli ambiti in cui emerge la difficoltà di assicurare una reale osservanza dei diritti e delle prerogative di legge che le normative dell'Unione Europea e dei suoi stati membri garantiscono ai propri cittadini.

D'altronde è proprio nel contesto internazionale che le normative diventano più incerte e diventa più difficile attuale, considerato anche che, come osservato anche nel corso del primo capitolo, la gestione del flusso dei dati a livello internazionale e il controllo sugli stessi hanno importanti ricadute a livello sociale, economico e geopolitico.

È qui allora che viene in gioco ancora una volta il ruolo del Data Protection Officer, che non deve solo indicare, grazie alla sua conoscenza specialistica, quali strumenti siano idonei a garantire la liceità dei trasferimenti, bensì deve anche essere in grado di fornire indicazioni che abbiano un valore “etico”; deve cioè essere capace di valutare le situazioni in cui si trova e stabilire se sia necessario e opportuno trasferire determinati dati al di fuori dei confini europei oppure no e nel fare ciò dovrà bilanciare i diritti degli interessati con le esigenze della ricerca e le legittime aspettative delle aziende.

Si tratta di un compito non facile che richiede non solo competenze tecniche ma anche una notevole maturità umana e professionale.

Prima di entrare nel merito e al fine di comprendere meglio la portata della tematica analizzata, sarà opportuno illustrare quale sia la normativa descritta dal regolamento in tema di trasferimento di dati all'estero.

Chi intende svolgere il ruolo di D.P.O. deve infatti tenere bene a mente le indicazioni che il regolamento fornisce a questo proposito perché, se pure è vero che i mezzi di comunicazione oggi permettono di mettersi in contatto rapidamente con tutto il mondo, è vero anche che le distanze e i confini degli stati, e quindi degli ordinamenti giuridici,

sono una realtà con cui bisogna fare i conti e quindi trasferire dei dati fuori dai confini europei significa comunque perdere la possibilità di un controllo diretto e immediato sugli stessi.

Trasferire i dati è possibile, ma occorre che chi li riceve sia in grado di rispettare standard di tutela elevati, altrimenti perderebbero valore tutti gli sforzi fatti dalle istituzioni dell’unione sul tema della privacy, sia perché gli interessati, cioè i cittadini, si troverebbero a vedersi riconosciuti diritti che poi di fatto non avrebbero la possibilità di esercitare, sia perché quelle forme di criminalità che ambiscono ad appropriarsi dei dati al fine di commettere reati, avrebbero buon gioco a realizzare queste condotte laddove le attenzioni ai diritti e alla sicurezza sono più deboli.

Prescindere dalle vie legali predisposte dal regolamento significherebbe quindi rischiare di incorrere in pensanti ripercussioni a livello sanzionatorio, anche a livello penale come si potrà approfondire in seguito.

Le regole previste dal regolamento per i trasferimenti transnazionali tuttavia non sono certo improvvisate, ma si pongono in continuità con quanto già previsto dalla direttiva n. 46 del 1995.

Nel documento Responsabilità penale del Data Protection Officer e tutela transnazionale della privacy dopo il Regolamento (UE) 2016/679. (pagine 85-89)