Il “Professional Standards for Data Protection Officers of the EU Institution and Bodies Working under Regulation (EC) 45/2001”

Quale primo risultato del lavoro del network, nell’ottobre del 2010, vedeva luce il documento “Professional Standards for Data Protection Officers of the EU Institution and Bodies Working under Regulation (EC) 45/2001”278.

Il documento in questione è stato realizzato principalmente al fine di delineare gli standard minimi dello status di DPO, nonché al fine di venire in aiuto ai DPO operanti nelle realtà istituzionali europee, suggerendo agli stessi delle “best practices” cui attenersi nell’esercizio delle funzioni. Altresì, viene chiarito alle istituzioni ed organizzazioni europee che genere di impegno devono aspettarsi dal DPO nominato, e come possono valutarne la performance.

Il profilo più interessante del documento, tuttavia, è da rintracciarsi nella caratterizzazione del DPO che viene presentata. Dopo aver ribadito come il DPO rivesta un ruolo fondamentale nell’ambito dell’organigramma istituzionale, garantendo il rispetto, da parte degli enti, della disciplina in materia di protezione dei dati, viene specificato come gli obblighi derivanti da tale funzione vengano assolti non solo attraverso l’esercizio dei compiti tipici di consulenza nei confronti dei titolari del trattamento, ma anche attraverso una funzione di vigilanza e monitoraggio, svolti in maniera indipendente, sull’effettiva applicazione delle regole nell’ambito dell’istituzione o organismo279_.

Il documento prosegue poi con l’analisi dettagliata di tutto ciò che concerne la figura in questione: le caratteristiche professionali280_{e personali}281 _{che questi deve}

278 _{Tale documento è rinvenibile al link}

http://ec.europa.eu/dataprotectionofficer/docs/dpo_standards_en.pdf.

279 _{Nel testo si legge “the DPO plays a fundamental role in ensuring respect of data protection}

requirements within the institution/body. The DPO is appointed by his institution to advise it on the application of the rules, but he/she is also required to ensure, in an independent manner, that the Regulation is applied internally. The DPO's dual responsibility is reflected in particular in the cooperation he has to develop with the EDPS”.

280 _{Professionalmente, il DPO deve avere i seguenti requisiti:}

(a) Expertise in the area of EU privacy and data protection law, in particular Article 16 of the

Treaty on the Functioning of the European Union, Article 8 of the Charter of Fundamental Rights of the European Union, Regulation (EC) 45/2001 and other relevant data protection legal instruments, and expertise in IT and IT Security;

(b) A good understanding of the way the institution operates and of its personal data processing activities, and an ability to interpret relevant data protection rules in that context.

281 _{I requisiti di carattere personale sono tre:}

(a) It is recommended that the DPO should have the following experience/maturity: at least 3

115

possedere per essere scelto all’atto della selezione; la necessità che gli venga garantita una formazione continua282 e che gli vengano rilasciate le eventuali certificazioni283; i requisiti caratterizzanti il suo status, con particolare riferimento al carattere dell’indipendenza284; i doveri ed i poteri, i rapporti con gli altri organi dell’istituzione285, i rapporti con i soggetti interessati286, i rapporti con l’EDPS287, ed infine gli standard etici.

the core business3 (and thus personal data processing activities are mainly administrative); and at least 7 years of relevant experience2 to serve as DPO in an EU institution or in those EU bodies where data protection is related to the core business or which have an important volume of processing operations on personal data.

(b) Personal skills: integrity, initiative, organization, perseverance, discretion, ability to assert himself/herself in difficult circumstances, interest in data protection and motivation to be a DPO. (c) Interpersonal skills: communication, negotiation, conflict resolution, ability to build working relationships.

282 _{La formazione in questione può essere realizzata attraverso corsi offerti dal Garante Europeo o}

dalle istituzioni e organismi europei, o anche da enti esterni; viene finanche fatto riferimento alla necessità che il DPO partecipi al network dei DPOs e studi i documenti offerti dal network, ritenendoli strumenti idonei a garantirne la formazione.

283 _{A tal riguardo, il documento chiarisce che la certificazione più rilevante è quella rilasciata}

dall’IAPP (International Association of Privacy Professionals), che offre varie certificazioni in materia di privacy, incluse la CIPP (Certified Information Privacy Professional) e la CIPP/IT (Certified Information Privacy Professional/Information Technology).

284 _{Per tali ragioni viene previsto che l’incarico abbia una durata compresa tra i due e i cinque anni,}

e che possa essere rinnovato fino ad un massimo di dieci anni; che il nominativo del DPO sia registrato presso l’EDPS; che il DPO possa essere rimosso dall’incarico esclusivamente se non è più in possesso delle condizioni richieste per l’esercizio delle sue funzioni, e che in tal caso si rende necessario il consenso del Garante europeo. Viene, altresì, previsto che allo stesso siano garantiti uno staff e le risorse necessarie, ed ancora che questi sia sollevato da altri incarichi eventualmente ricoperti nell’ambito dell’istituzione o organismo, allorquando si riscontrino conflitti di interesse tra le funzioni svolte.

285 _{Il DPO deve garantire la formazione dei Titolari e del loro personale, formazione che mira ad}

individuare le misure pratiche da adottare per conformarsi ai requisiti di protezione dei dati. Tale formazione dovrebbe essere svolta in modo continuativo, sia al fine di garantire il costante aggiornamento del personale, sia per garantire che eventuali nuovi assunti siano adeguatamente istruiti in materia di protezione dei dati. Per i gruppi di personale che trattano in maniera diretta i dati dovrebbe poi essere previsto lo svolgimento di sessioni specifiche di formazione. Tra i compiti del DPO rientra anche quello di sviluppare, se del caso, insieme ai Titolari del trattamento, linee guida per la protezione dei dati, specie allorquando vi sia un numero considerevole di persone all'interno dell'organizzazione chiamato ad elaborare i dati personali. Ancora, il DPO deve partecipare alle riunioni della dirigenza o incontrare, almeno due volte l'anno, gli organi direttivi, al fine di essere aggiornato sullo stato di attuazione della normativa e sulla conformità alla stessa di ogni trattamento posto in essere da parte dell'organizzazione. Il DPO, inoltre, può creare una pagina Intranet per la protezione dei dati nell'istituzione/organo, che includa il Registro da questi tenuto, le dichiarazioni sulla privacy rilasciate dal Titolare, le linee guida e le istruzioni che l'istituzione/organo deve seguire, i pareri del Garante sui controlli preliminari dell'istituzione/organo, i rapporti periodici del DPO e qualsiasi altro elemento che possa essere utile al Titolare del trattamento e al personale alle sue dipendenze. Ancora, deve pubblicare brevi articoli e rapporti regolari in qualsiasi newsletter interna esistente, preparare brevi opuscoli informativi, cartelle etc. Se le dimensioni dell'istituzione lo giustificano, il DPO dovrebbe incoraggiare la creazione di una rete di corrispondenti/coordinatori DPO locali. È previsto, altresì, che le istituzioni possano adottare ulteriori regole che prevedano un rafforzamento dei poteri del DPO in campo “investigativo”, nonché l’onere per gli stessi di cooperare con il DPO, ed ancora il

116

Non manca, nel paper, ed anzi è rilevante al punto da richiedere una più approfondita analisi, l’indicazione di una serie di circostanze concrete che potrebbero incidere e condizionare in negativo il corretto adempimento delle funzioni di DPO.

Aldilà dei problemi che potrebbero sorgere in virtù della carenza delle competenze personali adatte a svolgere il ruolo in questione, che potrebbero chiaramente avere un’influenza negativa determinante sull’esercizio delle funzioni (come nel caso in cui la persona nominata si riveli essere non sufficientemente in grado di gestire la mole di lavoro, oppure non in grado di fronteggiare determinate problematiche, o, ancora, di negoziare validamente in caso di problemi etc.), altre ipotesi possono essere rintracciate nel caso, già posto in evidenza dall’EDPS, in cui, ad esempio, il ruolo di DPO venga svolto part-time, in concomitanza con altro ruolo per il quale il soggetto è già titolare di un rapporto di lavoro alle dipendenze dell’istituzione/organismo: ricorrendo tale evenienza, è chiaro che il DPO dovrebbe calibrare i tempi e le risorse utili per svolgere diligentemente entrambe le funzioni, tuttavia è anche probabile che concentri le proprie energie nelle attività proprie della sua funzione “principale”, perché interessato agli avanzamenti di carriera o, più in generale, alle valutazioni positive sulla performance.

diritto del DPO di avere sempre accesso agli uffici, ai locali, alle operazioni di trattamento dei dati, ai server in cui i dati sono conservati.

286 _{Il DPO ha l’onere di assicurare che gli interessati siano informati dei loro diritti ai sensi del}

Regolamento (articolo 24, paragrafo 1, lettera a). Tali informazioni possono essere fornite attraverso una pagina Internet, e i requisiti che le stesse devono possedere sono stabiliti negli articoli 11 e 12 del Regolamento: sul DPO graverà l’obbligo di garantire che il Titolare abbia adottato tutte le misure necessarie per soddisfare detti requisiti, obbligo che può essere assolto dallo stesso attraverso l’assistenza ai Titolari nella redazione dei documenti informativi.

287 _{Il DPO ha il dovere di cooperare con l’Autorità (art. 24 (1) (b)). Questi è responsabile nei}

confronti dell’EDPS, sia nel senso di dover rispondere alle richieste a lui indirizzate, sia nel senso di garantire che quelle indirizzate ai responsabili siano conosciute da questi ultimi. In generale, l’EDPS invia richieste al DPO per i seguenti scopi:

• integrare le informazioni fornite in una notifica per il controllo preventivo;

• avere informazioni in merito ad un reclamo riguardante l'istituzione o l'organismo di cui il DPO è dipendente;

• monitorare i progressi dell’istituzione nell'attuazione delle raccomandazioni dell’EDPS; • raccogliere informazioni per un'indagine in corso relativa a qualche specifico problema.

Il DPO dovrebbe rispondere a tutte le richieste entro un termine ragionevole (normalmente, entro due settimane dal ricevimento della richiesta). Se è necessario più tempo, all’EDPS deve essere indicata la data entro la quale si provvederà a rispondere.

117

Ancora, un altro problema potrebbe sorgere nel caso in cui l’incarico venga assegnato ad un dipendente con contratto a tempo determinato, per lo svolgimento di funzioni distinte da quelle di DPO, ma assegnate in concomitanza: questi si troverebbe maggiormente esposto a situazioni di conflitto, ed in una posizione più debole rispetto al lavoratore a tempo indeterminato, in quanto tenderebbe a concentrarsi di più sulle funzioni proprie dell’incarico per cui è stato assunto, al fine di ottenere, eventualmente, un rinnovo del contratto. Stessa circostanza si verificherebbe nell’ipotesi in cui venga nominato DPO un lavoratore alle dipendenze delle istituzioni/organismi da breve tempo, considerato che questi, quasi certamente, avrà maggiore interesse a sviluppare le competenze necessarie per quella che potrebbe considerare l’attività principale. Peraltro, non appare da escludere, che, proprio in ipotesi di questo tipo, il dipendente potrebbe avere qualche difficoltà nei rapporti con i superiori (gerarchici). In relazione a quest’ultimo punto, tuttavia, nel documento viene fatto presente che è il ruolo del DPO, comunque inteso, a poter creare delle difficoltà per qualsiasi soggetto già dipendente dell’organismo che cumuli un doppio ruolo: una puntuale e precisa esecuzione dei compiti di DPO, infatti, richiede spesso che l’incaricato mantenga un atteggiamento fermo, a volte duro, anche con i superiori gerarchici. Ovviamente, ciò può determinare delle forti pressioni, ed è per questo che diventa necessario garantire al DPO la possibilità di riferire esclusivamente al responsabile amministrativo dell’istituzioni o dell’ente, soprattutto per i dipendenti part-time, i quali dovrebbero riferire direttamente all’autorità che ha li ha nominati, e da questa essere “controllati”.

Ancora, potrebbe minare il requisito dell’indipendenza anche la necessità, per il DPO, di dover richiedere al proprio superiore la messa a disposizione delle risorse necessarie per l’esercizio di tale funzione, risorse che comprendono sia utilità economiche, sia unità di personale alle quali demandare determinati adempimenti. In tal caso, la difficoltà potrebbe consistere nella mancata attivazione da parte del capo ufficio, considerato che questi potrebbe non essere del tutto interessato a dimostrarsi compliant in materia di protezione dei dati: tale circostanza, secondo il network, potrebbe essere superata attraverso la predisposizione ab initio di un budget, della cui gestione diverrebbe responsabile il DPO in via esclusiva, con la

118

possibilità di richiedere un’autorizzazione al superiore gerarchico in caso di necessità di eventuali risorse aggiuntive.

In considerazione delle problematiche esposte, il network di DPOs ha individuato alcune best practices che possono essere adottate dalle istituzioni, tra le quali, ad esempio, quella di nominare quale DPO un soggetto che rivesta un ruolo apicale nell’organigramma dell’istituzione, per un periodo di tempo sufficientemente lungo (anche, ad esempio, cinque anni), e, possibilmente, un soggetto che abbia stipulato con l’istituzione un contratto a tempo indeterminato già da un congruo lasso di tempo. Viene suggerito, inoltre, di nominare una persona che possa dedicarsi completamente allo svolgimento di tale ruolo, soprattutto nelle istituzioni di grandi dimensioni288, ma anche in quelle più piccole, per lo meno nella fase iniziale di costituzione di un regime di protezione dei dati.

Qualora, invece, si scegliesse di conferire il ruolo di DPO ad un soggetto che si occupi già di altre funzioni, è necessario che queste non diano adito ad un possibile conflitto di interessi, quindi sarà importante valutare con attenzione quale soggetto incaricare. Inoltre, è necessario tutelare quest’ultimo, poiché egli non dovrà subire alcun pregiudizio a causa dell’esercizio delle funzioni di DPO, soprattutto con riferimento a possibili avanzamenti di carriera: a tal fine, viene suggerito di valutare, ai fini della performance, non solo le funzioni relative all’incarico originario, ma anche quelle relative all’incarico di DPO, ed altresì – qualora previsto dalle norme dell’istituzione/organismo- viene suggerito che l’EDPS abbia l’opportunità di esprimere anch’esso un parere sulla performance dell’attività svolta in qualità di DPO.

Infine, viene evidenziata la necessità di predisporre, all’interno dell’organizzazione, delle regole che garantiscano l’obbligo da parte di tutto il personale di collaborare con il DPO senza che per ciò sia necessario un ordine ovvero un’autorizzazione preventiva da parte del superiore gerarchico.

288 _{In particolare, nelle istituzioni la cui attività principale consiste nel trattamento di dati personali,}

è necessario che i DPO non solo svolgano in via esclusiva il ruolo, ma che gli stessi possano avvalersi di un vero e proprio staff a loro completo servizio.

119