La nomina di un Data Protection Officer

Tra gli adempimenti piu/ onerosi previsti dal GDPR, vi e/ quello della nomina di un Responsabile per il trattamento dei dati, o Data Protection Officer. Tale figura, in realta/, non e/ altro che l’evoluzione del privacy officer previsto dalla direttiva 95/46, che all’articolo 18 permetteva agli Stati la designazione di un soggetto indipendente per l’applicazione della normativa. L’articolo 37 prevede i casi in cui la nomina di tale figura e/ obbligatoria: sempre all’interno delle pubbliche amministrazioni, salvo per le autorita/ giurisdizionali quando esercitano funzioni giurisdizionali; quando la attivita/ principali dell’impresa consistono in trattamenti che per loro natura, ambito o finalita/ richiedono un monitoraggio costante degli interessati su larga scala; quando le attivita/ consistono nel trattamento su larga scala di dati sensibili relativi a salute, vita sessuale, genetici, biometrici e giudiziari.

Lo scopo del DPO sara/ quello di osservare, valutare e mettere a punto un sistema di gestione dei dati personali all’interno dell’impresa in conformita/ a quanto dettato

185 Si pensi al piu/ comune degli attacchi, il ransomware,. Questo tipo di malware infetta i dati del dispositivo cifrando i file in esso contenuti, i quali possono essere recuperati di norma solo attraverso il pagamento di un riscatto. Ad esempio, la criptazione dei dati personali dell’intero database clienti potrebbe rappresentare un costo altissimo in termini di denaro per un’impresa. Anche in termini reputazionali, un’impresa nel momento in cui subisce un attacco di questo tipo pregiudicando i dati dei propri utenti, subisce un grave danno di immagine sul mercato, specie quando questo viene amplificato dal web.

186 Nel suo sito il Garante traccia il bilancio del 2018: 43269 sono state le comunicazioni dei dati di contatto dei Responsabili della Protezione dei Dati (o Data Protection Officer), 4704 i reclami e le segnalazioni, 13825 i contatti con l’Ufficio Relazioni con il Pubblico. I valori riportati hanno subito tutti un aumento rispetto allo stesso periodo del 2017, a testimonianza degli effetti che sta producendo il GDPR. I dati sono consultabili alla pagina web (aggiornata al 30 Gennaio 2019) https://www.garanteprivacy.it/documents/10160/0/REGOLAMENTO+UE+Il+bilancio+di+applica zione+nel+2018

dal nuovo regolamento, informando e fornendo così/ consulenza al titolare e al responsabile del trattamento. E’ incaricato di sensibilizzare e formare il personale incaricato di trattare dati personali all’interno dell’impresa e rappresenta il punto di contatto per l’autorita/ del controllo qualora si evidenzino criticita/ in merito al trattamento (art. 38 GDPR). Si assicura inoltre che all’interno dell’impresa venga tenuto il registro dei trattamenti e vengano conservate le richieste degli interessati, nonche= vengano raccolte tutte le casistiche di data breach avvenute all’interno dell’impresa.

Circa i criteri di designazione del DPO; dal Regolamento e/ possibile evincere solamente che la persona che riceve la nomina deve essere in possesso di “una

conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati”

(art. 37 par. 5). Sul punto, una recente sentenza del TAR del Friuli Venezia Giulia, ha puntualizzato che il profilo del DPO debba essere “eminentemente giuridico”187_{. La}

controversia e/ sorta in merito ai requisiti richiesti da un avviso pubblico di un’Azienda sanitaria della regione per il conferimento dell’incarico di DPO. Tra i requisiti, oltre al titolo di laurea in giurisprudenza, informatica, ingegneria informatica o equipollenti, si chiedeva anche il possesso di una particolare certificazione Lead Auditor per i Sistemi di Gestione per la Sicurezza delle informazioni. Il TAR non ha voluto circoscrivere la nomina ai soli giuristi, ma ha semplicemente voluto evitare la predisposizione di barriere illogiche al procedimento di selezione: il punto essenziale consiste nella possibilita/ da parte del DPO incaricato di dimostrare le proprie competenze e conoscenze specifiche sulla materia, al di la/ del possesso di eventuali certificazioni o attestati.

Uno dei criteri che devono definire il DPO e/ indubbiamente quello dell’indipendenza, nel senso che egli deve svolgere la propria attivita/ in piena autonomia e in assenza di conflitto di interessi: cio/ significa che se all’interno dell’impresa egli ricopre altre funzioni, esse non possono influenzare l’attivita/ di sorveglianza e controllo sul trattamento dei dati personali (art 38, par. 6). Stante questa previsione, appare inopportuno che tale posizione sia ricoperta da un individuo che contestualmente opera ai vertici aziendali (ad esempio amministratore delegato, responsabile

finanziario, direttore marketing…). Il DPO e/ incaricato di proteggere i dati personali,

187 TAR Friuli Venezia Giulia, Sez. I, sentenza n. 287 del 5 settembre 2018, rinvenibile alla pagina https://www.privacy.it/2018/09/13/tar-friuli-dpo-iso-27001/

non gli interessi economici dell’impresa.

In virtu/ di questo, si puo/ affermare che il ruolo del DPO riflette l’approccio responsabilizzante del GDPR nei confronti delle imprese: in tal senso parte della dottrina188 _{ha affermato che il DPO esplica funzioni di tipo pubblicistico, considerato}

che l’assolvimento dei suoi compiti e/ indirizzato a soddisfare un interesse pubblico. Infatti, il DPO puo/ essere contattato dagli interessati per tutte le questioni inerenti la gestione dei propri dati personali e l’esercizio dei diritti previsti dal regolamento (art. 38, par. 4).

Dal punto di vista dell’inserimento della figura del DPO all’interno dell’organigramma aziendale, tale incarico in realta/ puo/ essere affidato a uno dei dipendenti dell’azienda o esternalizzato a un fornitore esterno tramite apposito contratto di servizio. A parere di chi scrive, sulla questione vi e/ un evidente paradosso dovuto dal fatto che il requisito dell’indipendenza del DPO dalle influenze dei vertici aziendali mal si concilia con gli obblighi, e in generale con la situazione di subordinazione, derivanti da un rapporto di lavoro dipendente. Per altro verso, e/ anche vero che ex art. 38, par. 3, il DPO non puo/ essere rimosso o penalizzato dal titolare del trattamento.

Per quanto concerne invece le responsabilita/ del DPO, egli non e/ responsabile dell’inosservanza delle previsioni in materia di dati personali, dal momento che e/ il titolare del trattamento ad essere incaricato di predisporre misure tecniche e organizzative congrue. Il DPO puo/ solo rispondere della sua attivita/ di consulenza e assistenza nei confronti del titolare, il quale potra/ avanzare pretese risarcitorie basate unicamente sulla responsabilita/ contrattuale.