La figura del Data Protection Officer

Al fine di attuare il principio di responsabilità, la riforma prevede altresì l’obbligo di nominare un “responsabile della protezione dei dati”, che, tuttavia, non rappresenta un vincolo generale per tutti coloro che trattano dati personali.

L’art. 37, par. 1 del regolamento prevede che <<Il titolare del trattamento e il responsabile del trattamento design[i]no sistematicamente un responsabile della protezione dei dati ogniqualvolta:

a) il trattamento è effettuato da un'autorità pubblica o da un organismo pubblico, eccettuate le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali;

b) le attività principali del titolare del trattamento o del responsabile del trattamento consistono in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala; oppure

152

c) le attività principali del titolare del trattamento o del responsabile del trattamento consistono nel trattamento, su larga scala, di categorie particolari di dati personali di cui all'articolo 9 o di dati relativi a condanne penali e a reati di cui all'articolo 10>>.

I presupposti, appena richiamati, assumono comunque un carattere minimale. Al di fuori di queste ipotesi, si ammette che il titolare e il responsabile del trattamento scelgano spontaneamente di procedere alla nomina di un responsabile della protezione dei dati e nel contempo si riconosce agli Stati la possibilità di estendere l’obbligo di nomina a ulteriori fattispecie (art. 37, par. 4).

Per agevolare la pratica attuazione di tale adempimento, il regolamento consente l’individuazione di un unico responsabile della protezione dei dati nell’ambito di un gruppo di imprese, purché questi sia facilmente raggiungibile da ciascuno stabilimento e, analogamente, prefigura la possibilità di una designazione unitaria da parte di più autorità pubbliche o organismi pubblici, tenuto conto della loro struttura organizzativa e dimensione (art. 37, parr. 2 e 3). Non è necessario che il responsabile della protezione dei dati sia un lavoratore alle dipendenze del titolare o del responsabile del trattamento. Potrà essere investito di tale ruolo anche un soggetto estraneo all’organizzazione di chi effettua il trattamento e legato a quest’ultimo da un contratto di servizi (art. 37, par. 6). La previsione di quest’alternativa dovrebbe venire incontro alle piccole e medie imprese, generalmente prive di personale qualificato, consentendo loro di avvalersi di esperti esterni295.

Semmai, è essenziale che la designazione tenga conto <<delle qualità professionali, in particolare della conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati, e della capacità di assolvere i compiti di cui all’articolo 39>> (art. 37, par. 5).

295

Bridget TREACY, “Formalising the role of the DPO - the practical consequences”, Privacy & Data Protection, 2012, Vol. 12, N. 3, p. 4.

153

Il regolamento, quindi, richiede il possesso di un'adeguata preparazione sulla normativa e sulle pratiche di gestione dei dati personali. Ne consegue che soltanto un soggetto con un’elevata professionalità e consolidata esperienza nel settore risponderebbe al profilo296.

Lo statuto giuridico della nuova figura si desume dagli artt. 38 e 39. Anzitutto il titolare e il responsabile del trattamento sono espressamente tenuti a coinvolgere nei processi decisionali il responsabile della protezione dei dati e a fornirgli tutte le risorse necessarie, affinché possa continuamente aggiornarsi e adempiere adeguatamente le proprie funzioni. In considerazione della delicatezza del ruolo svolto dal responsabile della protezione dei dati, si precisa che egli è vincolato dalle norme sul segreto professionale, in base al diritto dell’Unione o degli Stati membri.

Qualora a tale soggetto vengano affidati compiti ulteriori, il titolare o il responsabile del trattamento devono predisporre meccanismi volti a prevenire possibili conflitti d’interessi.

Per garantire il requisito dell’indipendenza, viene assegnata a questa figura una posizione peculiare nel contesto dell’organizzazione, nell’ambito della quale viene effettuato il trattamento. <<Il titolare del trattamento e il responsabile del trattamento si [devono] assicura[re] che il responsabile della protezione dei dati non riceva alcuna istruzione per quanto riguarda l'esecuzione di tali compiti. Il responsabile della protezione dei dati non è rimosso o penalizzato dal titolare del trattamento o dal responsabile del trattamento per l'adempimento dei propri compiti. Il responsabile della protezione dei

296

Il dettato del regolamento risulta piuttosto indeterminato e non offre una guida precisa per valutare le competenze di potenziali candidati alla posizione di Data

Protection Officer. Sulla proposta di sviluppare una procedura di certificazione

omogenea a livello europeo, per attestare l’adeguatezza delle conoscenze specialistiche, si veda Eric LACHAUD, “Should the DPO be certified?”,

154

dati riferisce direttamente al vertice gerarchico del titolare del trattamento o del responsabile del trattamento>> (art. 38, par. 3). L’art. 39 del regolamento, in particolare, individua i compiti minimali che devono essere affidati al responsabile della protezione dei dati. Egli ha innanzitutto competenze di natura consultiva, dovendo informare e consigliare sulle questioni attinenti alla protezione dei dati personali ed elaborare, su richiesta del titolare del trattamento, un parere in merito alla valutazione d'impatto sulla protezione dei dati. Il responsabile della protezione dei dati assume altresì la funzione di vigilare sull’osservanza della normativa e di sorvegliare gli adempimenti relativi alla valutazione d’impatto.

Infine tale soggetto rappresenta il tramite, attraverso il quale gli interessati possono relazionarsi con il titolare o il responsabile del trattamento297: le istanze e doglianze degli interessati saranno indirizzate in prima battuta nei confronti del responsabile della protezione dei dati. Quest’ultimo funge anche da interlocutore diretto nei confronti dell’autorità di controllo, specie nell’ambito della consultazione preventiva di cui all’art. 36.

Proprio in vista di questa forte proiezione verso l’esterno delle competenze del responsabile della protezione dei dati, l’art. 37, par. 7 impone ai titolari e ai responsabili del trattamento l’onere di rendere note al pubblico e di comunicare all’autorità di supervisione le coordinate di contatto del Data Protection Officer.

In realtà, tale figura non rappresenta una novità assoluta nel panorama normativo europeo. L’art. 24 del regolamento (CE) n. 45/2001 prevedeva a carico delle istituzioni e degli organismi comunitari l’obbligo di nominare almeno un responsabile della protezione dei dati con il compito fondamentale di garantire la conformità alle

297

155

norme del regolamento e cooperare con il Garante Europeo della protezione dei dati298.

Il nuovo regolamento ricalca in larga misura questa previsione e ne estende la portata alle amministrazioni e agli enti pubblici nazionali, eccetto le autorità giurisdizionali, nonché al settore privato, sia pure con i limiti sopra esposti.

L’esistenza di questo controllore interno dovrebbe rappresentare un ulteriore stimolo a uniformarsi alle regole in tema di protezione dei dati personali e contribuire a diffondere una maggiore sensibilità per il tema, promuovendo una specifica formazione del personale coinvolto nel trattamento dei dati.

5.5. La nuova disciplina relativa alle violazioni dei dati personali