Le funzioni del Data Protection Officer

L’articolo 39 del GDPR contiene un elenco dei compiti tipici di cui deve farsi carico il DPO, che, con indicazione volutamente generica, deve occuparsi “almeno” dei seguenti compiti:

a) informare e fornire consulenza al Titolare o il Responsabile del trattamento, nonché ai dipendenti dell’organizzazione di appartenenza che eseguono il trattamento, in merito agli obblighi derivanti dal Regolamento europeo e da altre disposizioni dell'Unione o degli Stati membri relative alla protezione dei dati (tale necessità si spiega in particolar modo per i casi in cui il Titolare ponga in essere trattamenti transfrontalieri di dati);

b) verificare l’attuazione e l’applicazione del Regolamento, delle altre disposizioni dell'Unione o degli Stati membri relative alla protezione dei dati nonché delle politiche del Titolare o del Responsabile del trattamento in materia di protezione dei dati personali, comprese l’attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale coinvolto nelle operazioni di trattamento e alle connesse attività di controllo (i c.d. audit);

c) fornire, se richiesto, pareri in merito alla valutazione d'impatto sulla protezione dei dati e sorvegliarne il corretto svolgimento ai sensi dell’art. 35 GDPR;

166

e) fungere da punto di contatto per l’Autorità di controllo in merito a qualunque problematica connessa al trattamento dei dati o all’esercizio dei diritti da parte degli interessati al trattamento (in sostanza, garantire agli interessati la possibilità di esercitare i propri diritti rivolgendosi ad un soggetto competente senza la necessità di dover ricorrere al Garante per la protezione dei dati).

È interessante porre l’attenzione sulla formulazione della parte introduttiva della norma: dall’avverbio “almeno” utilizzato dal legislatore prima di procedere all’elencazione dei compiti è possibile dedurre che il DPO, oltre ai compiti indicati nelle lettere da a) ad e), possa svolgere anche ulteriori compiti assegnati dal titolare o dal responsabile del trattamento, che devono risultare dalla lettera di incarico ovvero dal contratto di servizi cui fa riferimento l’art. 37 GDPR. Naturalmente, è necessario che i compiti ultronei siano compatibili con quelli elencati dall’art. 39 e, in particolare, non siano tali da determinare situazioni di conflitto d’interessi o compromettere l’indipendenza del DPO, per le ragioni già esposte in precedenza. Infatti, anche rispetto a tali ulteriori funzioni, trova applicazione l’art. 38 par. 3, ove viene stabilito che il titolare ed il responsabile non devono dare alcuna istruzione al DPO per quanto concerne l’esecuzione degli stessi.

Dal disposto dell’art. 39 del Regolamento emerge, con evidenza, non soltanto la molteplicità di compiti cui il DPO è tenuto ad adempiere, che peraltro non si esauriscono in quelli elencati dal legislatore europeo, ben potendo esserne individuati ulteriori, ma altresì emerge la varietà degli stessi, i quali, per sistematicità, possono essere ricondotti a tre categorie principali357.

In virtù delle sue funzioni consultive, il DPO dovrà offrire assistenza al titolare e al responsabile, e tale assistenza dovrà avere non solo carattere giuridico, ma altresì tecnico, al fine di consentire a questi ultimi di svolgere un trattamento conforme ai princìpi normativi. Da ciò ne deriva che il DPO sarà tenuto ad adempiere, da un lato, a tutti gli obblighi informativi di carattere legale in merito alla normativa nazionale e sovranazionale di protezione dei dati personali che trova applicazione nella realtà di riferimento, e, dall’altro, che questi dovrà svolgere una vera e propria attività di carattere proattivo, vale a dire di

167

collaborazione attiva con il titolare e il responsabile, ai fini dell’individuazione dei rischi e delle misure di sicurezza idonee ed adeguate a limitare gli stessi. In tali attività di consulenza rientra altresì l’obbligo di fornire, quando richiesto, un parere (consultivo non vincolante) con riferimento alla valutazione d’impatto sulla protezione dei dati, che è un obbligo di particolare rilievo, per le ragioni che andranno analizzate nel prosieguo.

Con riferimento, invece, alle funzioni di vigilanza e controllo, queste mirano a garantire che il DPO sorvegli in maniera concreta l’osservanza delle norme da parte del titolare, specie con riferimento alle politiche che questi scelga di adottare all’interno della propria organizzazione. L’attività di sorveglianza si estende, peraltro, non solo all’operato del titolare, ma anche a quello dei dipendenti dell’organizzazione, e richiede, in tal senso, che le mansioni di tutti i soggetti che a vario titolo intervengono o sono coinvolti nel trattamento vengano individuate con sufficiente precisione e vengano rese note al DPO, se non siano state direttamente assegnate da lui.

Tale funzione di sorveglianza è particolarmente importante soprattutto nell’ambito dello svolgimento della valutazione d’impatto, che deve essere supervisionata dal DPO: quest’ultimo, infatti, anche nel caso in cui non venga richiesto un parere, potrà in ogni caso rilasciarlo; tale potere deriva proprio dall’obbligo di sorveglianza di cui sopra, rientrando espressamente negli obblighi del DPO indicare al titolare quale sia la condotta migliore da porre in essere nel caso in cui questi non stia operando in modo conforme al GDPR.

Da ultimo, vi è la funzione di cooperazione con l’Autorità, che sarà oggetto di più ampia considerazione nel prosieguo della trattazione, poiché la stessa sembra avere una incidenza di non poco rilievo sulla natura del ruolo in esame, confermandone il carattere, che si sostiene essere “ibrido”.

La molteplicità e varietà dei compiti affidati a questa figura determina la difficoltà di individuare una categoria professionale specifica, tra quelle appartenenti al sistema dei controlli interni tipici delle società e degli enti pubblici nell’ambito del nostro ordinamento nazionale, entro cui poter ricondurre la stessa. Il DPO, infatti, inserendosi all’interno del complessivo sistema dei controlli interni proprio non soltanto delle società private ma, ulteriormente, degli enti appartenenti al settore

168

pubblico358_{, e pur presentando delle similitudini con altre figure già note nel} nostro ordinamento, specie nell’ambito del diritto societario359, non può essere assimilato in tutto e per tutto a nessuna di queste, presentando delle peculiarità sue proprie.

In particolare, sebbene le funzioni di consulenza e vigilanza lo rendano per certi versi assimilabile alla nota figura dell’Organismo di Vigilanza, istituito ai sensi del D. Lgs. 231/2001, con cui condivide i medesimi paradigmi strutturali, tuttavia, la posizione di garanzia che questi sembra rivestire nei confronti degli interessati, essendo la sua presenza prevista come obbligatoria in tutti quei casi in cui il loro diritto alla protezione dei dati personali sia esposto a rischi di particolare rilievo (al contrario dell’OdV che, come si vedrà, non è obbligatorio né viene istituito per tutelare interessi terzi, quanto per far andare esente l’ente da eventuali

358 _{Il sistema dei controlli interni in ambito societario è uno dei settori più attenzionati da parte del}

legislatore negli ultimi anni. Questi ha ridefinito le regole che ne determinano il funzionamento, facendo dell’approccio risk based il perno della disciplina normativa. La gestione dei rischi aziendali (o risk management) costituisce, infatti, uno strumento fondamentale e strategico della

governance aziendale e societaria, nei suoi molteplici aspetti gestionali, organizzativi e strategici.

Il sistema di controllo interno si articola generalmente su tre livelli. Riprendendo le definizioni del Codice di Autodisciplina di Borsa Italiana, al più basso di tali livelli si pongono i controlli c.d. “di linea”, che vengono effettuati dal responsabile delle strutture operative interessate, oppure incorporati all’interno delle varie procedure aziendali o svolti nell’ambito dell’attività di back-

office; ad un grado superiore si trovano i controlli di “secondo livello”, tendenzialmente indiretti,

poiché basati sui flussi informativi generati dall’operatività a livello inferiore: essi sono affidati a funzioni interne, gerarchicamente sovraordinate, che devono verificare il livello di compliance, cioè di conformità alle procedure e alle normative interne ed esterne in materia, effettuando un’attività di risk management in senso proprio, cioè di gestione del rischio, idonea non solo a prevenire la commissione di violazioni o il prodursi di eventi avversi, ma anche a fornire opportune indicazioni di indirizzo strategico. Al terzo livello, infine, si colloca, in posizione indipendente all’interno dell’organigramma aziendale e in collegamento immediato con gli organi di vertice a cui riporta direttamente, la funzione c.d. di internal audit, che si occupa della revisione generale della struttura e della funzionalità dei controlli interni, nonché dell’individuazione di andamenti anomali, violazioni delle procedure e della regolamentazione, svolgendo così un’attività di prevenzione generale dei rischi e altresì una funzione di consulenza in materia. Al vertice dei sistemi di controllo endosocietari si colloca, poi, in posizione di supremazia, il collegio sindacale, organo istituzionalmente deputato a verificare la diligenza e la conformità alla disciplina legislativa e statutaria dell’operato degli amministratori. V. BANCA D’ITALIA, circolare n. 229/1999, Istruzioni di vigilanza per le banche, Tit. IV, Cap. 11, Sez. II. Cfr. G. GASPARRI, I

controlli interni nelle società quotate. Gli assetti della disciplina italiana e i problemi aperti, in Quaderni giuridici, 4 settembre 2013.

Ed è proprio nell’ambito di questo scenario che si colloca il DPO, che ha come scopo l’assorbimento di uno specifico tipo di rischio, vale a dire quello che il trattamento sia svolto nel rispetto dei princìpi sanciti ex lege.

359 _{Si pensi, a titolo esemplificativo, al Responsabile del Servizio di Prevenzione e Protezione}

Aziendale (anche noto come RSPP), figura emblematica nel sistema di gestione della sicurezza del lavoro previsto dal D. Lgs. 9 aprile 2008, n. 81 (c.d. Testo Unico sulla Salute e Sicurezza sul Lavoro), designato dal datore di lavoro al fine di gestire e coordinare le attività del Servizio di Prevenzione e Protezione dai rischi negli ambienti aziendali (SSP).

169

responsabilità), nonché l’obbligo di cooperazione nei confronti dell’Autorità previsto ex lege, richiedono un’indagine più approfondita, al fine di meglio cogliere non solo il portato di tali caratteristiche, ma anche gli eventuali riflessi in punto di natura del ruolo e di responsabilità dello stesso.

Soprattutto, anche allorquando si volesse sostenere il rilievo meramente endo- societario di tale figura nell’ambito dell’azienda o ente in cui essa opera, ritenendo che il principale interesse che la stessa è tenuta a tutelare sia quello del titolare ad essere accountable rispetto alla legge, in tal modo garantendo di riflesso anche la tutela del diritto alla protezione dei dati degli interessati, l’obbligo di cooperazione sancito dall’art. 39, lett. d) lascia comunque spazio a interrogativi di non facile risoluzione. Tale obbligo, infatti, interpretato nel senso che meglio si approfondirà, sembra poter richiamare, seppur con le dovute precauzioni, la figura del responsabile della prevenzione della corruzione e della trasparenza (RPCT), istituita dalla legge 6 novembre 2012, n. 190, che ricopre un ruolo di rilievo nella realtà in cui opera, presentandosi come braccio destro dell’Autorità nazionale anticorruzione (ANAC), che è un’Autorità rientrante tra i soggetti pubblici, al pari del Garante per la protezione dei dati personali.

Nel prossimo capitolo, pertanto, dopo aver passato in rassegna le somiglianze e le divergenze rispetto alle richiamate figure dell’OdV e del RPCT, si analizzeranno più da vicino alcuni aspetti che contraddistinguono in modo evidente il DPO dai citati organismi, rendendo lo stesso una figura dotata delle proprie caratteristiche peculiarità, che forse richiederebbero, come si avrà modo di argomentare, un ripensamento di alcuni punti della disciplina, al fine di rendere la figura più funzionale al fine per il quale sembra essere stata pensata.

170