Approfondimenti

Il nuovo Regolamento Generale sulla Protezione dei Dati (GDPR): il ruolo del Data Protection Officer (DPO)

23/03/2017

di Avv. Simone Moretti

Il Reg. (UE) n. 2016/679 del Parlamento Europeo e del Consiglio detta la nuova disciplina in materia di protezione dei dati personali e troverà diretta applicazione negli Stati Membri a partire dal 25 maggio 2018.
Il Regolamento, a fianco alle figure del titolare e del responsabile del trattamento dei dati, istituisce all'art. 37 la nuova figura del Responsabile della Protezione dei Dati (Data Protection Officer o anche DPO).
Tale figura deve essere nominata dal titolare e dal responsabile del trattamento nei seguenti casi:
a) se il trattamento è effettuato da autorità pubbliche;
b) se l'attività principale del titolare o del responsabile del trattamento consiste in trattamenti che richiedono il monitoraggio regolare e sistematico degli interessati su larga scala;
c) se l'attività principale del titolare o del responsabile è il trattamento di dati di particolari categorie di dati personali (che rivelino l'origine razziale o etnica, le convinzioni religiose o filosofiche, dati biometrici etc.) o dati relativi a condanne penali.
Il Responsabile della Protezione dei dati può essere unico all'interno di un gruppo imprenditoriale, a condizione che egli sia facilmente raggiungibile da ciascuno stabilimento. La definizione di gruppo imprenditoriale offerta dallo stesso Regolamento è piuttosto ampia ed estensiva, consistendo in un gruppo costituito da un'impresa controllante e dalle imprese da questa controllate (art. 4, n. 19). Per comprendere cosa abbia inteso il legislatore comunitario per "impresa controllante" è utile la lettura del considerando n. 37 secondo il quale l'impresa controllante è quella che può esercitare un'influenza dominante sulle controllate in forza della proprietà, della partecipazione finanziaria, delle norme societarie o del potere di fare applicare le norme in materia di protezione dei dai personali. Anche il mero collegamento tra due imprese, laddove implichi una gestione comune del trattamento, può essere incluso nel concetto di gruppo imprenditoriale e consente pertanto la nomina di un unico DPO.
I compiti del DPO sono elencati all'art. 39 del Regolamento e consistono nel:
a) informare e fornire consulenza in merito agli obblighi derivanti dal Regolamento;
b) sorvegliare l'applicazione del Regolamento e delle politiche in materia di protezione dei dati personali, compresi l'attribuzione delle responsabilità (c.d. accountability), la sensibilizzazione e la formazione del personale che partecipa ai trattamenti;
c) fornire pareri circa la valutazione d'impatto sulla protezione dei dati;
d) cooperare con l'autorità di controllo;
e) fungere da punto di contratto per l'autorità di controllo per questioni connesse al trattamento (v. consultazione preventiva ex art. 36 Reg.).
Il titolare e il responsabile del trattamento devono coinvolgere il DPO in tutte le questioni riguardanti la protezione dei dati personali e fornirgli le risorse necessarie per l'assolvimento dei compiti elencati dall'art. 39 del Regolamento, ma non possono fornirgli indicazioni in merito all'esecuzione dei propri compiti. Il DPO è infatti una figura indipendente, che riporta direttamente al "vertice gerarchico" del titolare e del responsabile del trattamento dei dati. Il DPO non è una figura esclusiva, in quanto può svolgere anche altri compiti e funzioni, a condizione che essi non diano adito a un conflitto di interessi.
Il 13 dicembre 2016 il Gruppo dei Garanti UE ha emesso alcune linee guida e raccomandazioni aventi ad oggetto la figura del DPO. Le linee guida forniscono indicazioni utili circa le qualità personali e le caratteristiche che il DPO deve possedere, tra le quali un livello di competenza adeguato al tipo di trattamento effettuato; sanciscono inoltre i principi di indipendenza e inamovibilità, alla luce dei quali il DPO deve svolgere i propri compiti.
Vengono inoltre fornite alcune importanti indicazioni per l'interpretazione del concetto di monitoraggio su larga scala, che come abbiamo visto rappresenta uno dei casi in cui la nomina del DPO diviene obbligatoria. In particolare per comprendere se ci si trovi di fronte ad un monitoraggio di tale specie, occorre prendere in considerazione: il numero di persone interessate, il volume dei dati, la durata o la permanenza dell'attività di elaborazione dei dati e l'estensione geografica dell'attività di trasformazione. Le linee guida forniscono anche alcuni utili esempi di monitoraggio su larga scala che comprendono l'elaborazione dei dati del paziente nel corso normale delle attività di un ospedale, il trattamento dei dati di viaggio nel trasporto pubblico locale, il trattamento dei dati dei clienti delle compagnie di assicurazione e delle banche, il trattamento dei dati sul traffico telefonico da parte della compagnie telefoniche.
Il Regolamento dovrà essere implementato dai soggetti interessati tra poco più di un anno: gli adempimenti richiesti sono tutt'altro che formali e sono improntati ad un nuova visione della protezione dei dati personali non più incentrata sui diritti dell'interessato ma sugli obblighi di gravanti sul titolare e sul responsabile del trattamento dei dati personali. La nuova figura del DPO, quale soggetto indipendente di vigilanza e controllo e punto di raccordo con l'autorità garante, si inserisce in questa nuova prospettiva e dovrebbe consentire una verifica costante e ravvicinata della corretta applicazione del Regolamento GDPR.