Il Data Protection Officer nella fenomenologia dei soggetti attivi del trattamento

Tra le misure di nuova portata che il legislatore europeo ha introdotto al fine di attuare e concretizzare il principio di accountability, ve n’è una che assume una rilevanza più pregnante delle altre: si tratta dell’introduzione del Data Protection Officer (conosciuto anche con l’acronimo anglofono DPO), tradotto in Italia con il termine Responsabile della Protezione dei Dati Personali (RPD).

Il DPO è una figura professionale di carattere innovativo, dotata di caratteristiche e funzioni peculiari, che allarga il novero dei soggetti attivi del trattamento, andando ad affiancarsi agli altri principali attori già noti, vale a dire il titolare, gli eventuali contitolari, il responsabile, e gli incaricati. Tuttavia, l’utilizzo del termine “affiancamento” alle figure soggettive indicate non deve dar luogo a fraintendimenti, soprattutto in riferimento alle funzioni ed al ruolo che il DPO assume.

Facendo riferimento all’intero quadro soggettivo del sistema del trattamento dei dati personali, infatti, possiamo immaginare un cerchio diviso in tre aree: in una prima andranno a collocarsi il titolare (con gli eventuali altri contitolari), ed il responsabile; in una seconda, i soggetti passivi, vale a dire gli interessati; da ultimo, nella terza, l’Autorità pubblica di controllo (in Italia rappresentata dal Garante per la protezione dei dati personali).

Ebbene, nel tentativo di una collocazione sistematica, si ritiene che il DPO non dovrebbe essere inserito direttamente nell’area alla quale afferisce il titolare, né in nessuna delle altre: piuttosto, appare opportuno ipotizzare una quarta area, posta centralmente, che inferisce con ciascuna delle tre aree circostanti: egli, infatti, si presenta come “figura di raccordo” sia tra i soggetti attivi del trattamento e gli interessati, sia tra i primi e l’Autorità Garante244.

96

Data la funzione di “catalizzatore” per l'insieme dei processi indispensabili per garantire un'adeguata attuazione dei requisiti del GDPR245, il suo ruolo viene in rilievo, in modalità trasversale, sotto un duplice profilo di interesse: da un lato, la nomina del DPO rappresenta di per sé l’attuazione di una misura di garanzia di natura organizzativa da parte del titolare246, e dall’altro lato, l’operato del DPO funge da garante e promotore della compliance del titolare nei confronti dei terzi, siano essi gli interessati o l’Autorità di controllo247.

Emerge così il doppio significato da attribuire a tale funzione: se da un lato, infatti, il DPO viene nominato dal titolare nell’ambito della propria organizzazione per non incorrere in eventuali sanzioni o in responsabilità per il caso di mancata nomina, e dunque per dimostrarsi accountable (e questo sembrerebbe il significato principale della figura, secondo il tenore letterale delle norme), dall’altro, in virtù della sua funzione di collaboratore del titolare, il DPO ne garantisce la conformità dell’operato ai princìpi del GDPR. In particolare, proprio con riferimento alla tutela dei dati personali degli interessati, la presenza del DPO nell’azienda o nell’ente dovrebbe essere considerata quale ulteriore ed idonea garanzia circa la predisposizione, a livello organizzativo e strutturale, di adeguate ed idonee misure di sicurezza rispetto alle attività di trattamento poste in essere.

Come si avrà modo di evidenziare, secondo alcuni studiosi, proprio in ragione di tale seconda funzione, il DPO potrebbe essere assimilato alle autorità regolatorie indipendenti: da una tale equiparazione deriverebbe che l’interesse protetto da tale figura non debba considerarsi solo quello privato del titolare, come sembrerebbe emergere dal dato testuale, ma anche quello di natura generale, cioè di carattere superindividuale alla liceità del trattamento ed alla correttezza dei rapporti giuridici.

245 _{R. MARTINEZ, El delegado de protecciòn de datos, in A. RALLO LOMBARTE (a cura di),}

Tratado de protecciòn de datos: actualizado con la Ley Organicà 3/2018, de 5 de diciembre, de proteccion de datos personales y garantìa de los derechos digitales, Tirant lo Blanch, 2019, p.

433.

246 _{C. SOLINAS, La nuova figura del responsabile della protezione dei dati, in V. CUFFARO – R.}

D’ORAZIO – V. RICCIUTO (a cura di), I dati personali nel diritto europeo, op. cit., p. 882.

247 _{N. BRUTTI, Le figure soggettive delineate dal GDPR: la novità del Data Protection Officer, in}

E. TOSI (a cura di), Privacy Digitale. Riservatezza e protezione dei dati personali tra GDPR e

97

A tal riguardo, sebbene necessario punto di partenza non possa che essere il dato testuale, non appare da escludere, sia in considerazione delle ragioni che hanno caratterizzato l’evoluzione della disciplina in merito, sia in considerazione dell’obbligo di cooperazione con l’Autorità pubblica (che la legge indica espressamente tra i compiti propri del DPO), una possibile rivisitazione del ruolo in esame, seguendo peraltro itinerari interpretativi già sperimentati in passato rispetto ad altri organi e funzioni di controllo, originariamente concepiti a servizio dell’interesse privato e che nel tempo sono state re-interpretate con l’affidamento di mansioni di stampo pubblicistico248.

Prima di ripercorrere l’excursus che ha interessato tale figura nelle esperienze precedenti al GDPR, occorre fare una doverosa premessa. Sebbene, prima facie, la definizione italiana di “responsabile della protezione dei dati personali” possa ingenerare confusione nell’interprete nazionale dal punto di vista terminologico, poiché la stessa potrebbe essere confusa con quella di “responsabile del trattamento di dati personali” (prevista dall’art. 4 comma 1, lett. g) del D. Lgs. 196/2003), e nonostante, in passato, alcuni compiti che la nuova normativa attribuisce oggi al DPO siano stati svolti proprio dal responsabile del trattamento, in verità si tratta di figure profondamente diverse249. Nello specifico, il DPO,

248 _{A titolo esemplificativo, si può citare il collegio sindacale, nato come organo di controllo del}

consiglio di amministrazione per conto dell’assemblea, al quale sono state assegnate, soprattutto dalla legislazione speciale, compiti di garanzia verso il mercato e le autorità regolatorie.

249 _{L’ Autorità Garante per la Protezione dei Dati Personali nel 2015, ha pubblicato una relazione}

ove definisce la traduzione italiana del termine una scelta “un pò infelice”. Nella stessa Relazione si legge che al DPO “saranno affidati compiti sostanziali, per assicurare il rispetto della

normativa in materia di privacy da parte della società o ente nell’ambito del quale viene designato. Sarà affidato a questo nuovo soggetto, dotato di una specifica professionalità nel settore della protezione dei dati personali, il ruolo di “presidio avanzato” del rispetto dei principi e degli adempimenti in materia nonché di interlocutore ed elemento di connessione tra il titolare

del trattamento e l’Autorità”. La Relazione è reperibile all’indirizzo

https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/5204513. Cfr.,

con riferimento al confronto tra le due figure, G. M. RICCIO, Data Protection Officer e altre

figure, in S. SICA – V. D’ANTONIO – G. M. RICCIO, La nuova disciplina europea della privacy, CEDAM, 2016, ove viene dato atto di due differenze principali. La prima, e più rilevante,

risiede nella configurazione stessa del ruolo del DPO, il quale si caratterizza per essere una figura di alta professionalità che agisce in qualità di “supervisore” autonomo e indipendente dell’attività del Titolare del trattamento dei dati, e ciò a prescindere dalla sua collocazione nell’organigramma dell’ente: la legge, infatti, prevede che possa essere nominato DPO sia un soggetto esterno all’amministrazione o azienda, sia un lavoratore già alle dipendenze del Titolare del trattamento. Al contrario, il Responsabile del trattamento, si caratterizza per essere un dipendente del Titolare, agendo per suo conto e sottostando alle decisioni strategiche di esclusiva competenza di quest’ultimo, le quali spesso, peraltro, vengono adottate a seguito di un confronto proprio con il DPO. La seconda distinzione intercorrente tra i due organi risiede nella disciplina inerente la loro

98

sebbene agisca in qualità di soggetto designato dal titolare (sia che adempia le sue funzioni in virtù di un contratto di servizi, e dunque da esterno rispetto alla realtà del titolare, sia che le svolga in ragione di un atto di designazione, se già suo dipendente) non è tenuto, contrariamente al responsabile, ad adempiere ad obblighi etero-imposti dal titolare, essendo assicurata allo stesso la piena autonomia e indipendenza rispetto a quest’ultimo. Sul punto, infatti, appare opportuno sottolineare come il DPO, in ragione della sua qualificata professionalità, ha come compito principale quello di supportare nonché controllare l’attività del titolare, ed anche quella del responsabile del trattamento, nell’assolvimento degli obblighi loro imposti ex lege, non dovendo sottostare alle loro direttive.