DPO

Come scegliere, collocare e comunicare con il DPO

DPO

Criteri per la scelta del DPO

Una volta effettuata la valutazione in merito all’obbligo o meno di nominare il DPO ed essersi assicurato che il soggetto designato dimostri di avere una conoscenza approfondita della materia – concetti di cui abbiamo parlato nel precedente articolo “Chi è e quando è prevista la nomina del DPO” – il Titolare/Responsabile del trattamento dovrà focalizzarsi sui criteri per effettuare la migliore scelta, in linea con le indicazioni del GDPR.

Il DPO potrà essere scelto sia al proprio interno, mediante uno specifico atto di designazione, sia affidandosi a un professionista o a una società esterna all’azienda, in base ad un contratto di servizi, a patto che, ai sensi dell’articolo 38 del GDPR:

1. Al DPO venga garantita la piena indipendenza nello svolgimento del proprio ruolo

L’articolo 38, terzo paragrafo, del GDPR fissa alcune garanzie essenziali per consentire al DPO di operare con un grado sufficiente di autonomia all’interno dell’organizzazione del Titolare/Responsabile del trattamento, il quale deve assicurarsi che:

a. il DPO non riceva alcuna istruzione per quanto riguarda l’esecuzione dei suoi compiti, che sia o meno un dipendente del Titolare/Responsabile del trattamento.

b. il DPO non può essere rimosso o penalizzato dal Titolare/Responsabile del trattamento per l’adempimento dei propri compiti, essendo sufficiente anche la sola minaccia nella misura in cui sia rivolta al DPO in rapporto alle attività da questi svolte.

Il principale effetto di queste garanzie si traduce nel fatto che il DPO non è personalmente responsabile dell’inosservanza degli obblighi in materia di protezione dei dati personali.

Infatti, è compito del Titolare/Responsabile del trattamento (ai sensi del principio di accountability sancito dall’articolo 24 del GDPR) mettere in atto le misure tecniche ed organizzative adeguate a garantire e dimostrare che il trattamento dei dati personali è effettuato conformemente al GDPR; pertanto, se il Titolare/Responsabile del trattamento assume una decisione incompatibile con il GDPR e/o le indicazioni fornite dal DPO, quest’ultimo deve avere la possibilità di manifestare formalmente il proprio dissenso.

Il DPO risponde solo per lo svolgimento dei suoi obblighi di consulenza ed assistenza nei confronti del Titolare del trattamento, che è (eventualmente in solido col Responsabile) l’unico soggetto responsabile, in ultima istanza, del rispetto della normativa.

Il Titolare/Responsabile del trattamento potrà quindi solo avanzare pretese risarcitorie basate sulla responsabilità contrattuale, nei confronti del DPO, in virtù del mancato adempimento dei suoi obblighi di consulenza ed assistenza (per i casi ad esempio di dolo o colpa grave).

A tutela della sua autonomia, il Titolare/Responsabile del trattamento deve mettere a disposizione del DPO le risorse umane e finanziarie per poter svolgere il suo compito, prescrizione che può tradursi in alcune delle prassi indicate anche dalle Linee guida adottate in materia dal Gruppo di Lavoro Art. 29 (WP29), quali:

  • assicurare al DPO il supporto e il costante confronto con il senior management;
  • consentire al DPO l’accesso ai dati e alle operazioni di trattamento, ricevendo il supporto e le relative informazioni dalle rispettive aree aziendali coinvolte;
  • assicurarsi che, qualora il soggetto designato DPO debba svolgere anche altri compiti, questi ultimi non interferiscano con il corretto ed efficace espletamento del suo ruolo;
  • assicurare formazione ed aggiornamento costanti del DPO in materia di protezione dei dati personali.

Come ricordano puntualmente le Linee guida del WP29, “In linea di principio, quanto più aumentano complessità e/o sensibilità dei trattamenti, tanto maggiori devono essere le risorse messe a disposizione del RPD” poiché “La funzione “protezione dati” deve poter operare con efficienza e contare su risorse sufficienti in proporzione al trattamento svolto”.

2. Il DPO non svolga altri compiti e funzioni, che diano adito a un conflitto d’interessi con il suo ruolo

L’articolo 38, sesto paragrafo, del GDPR, enuncia il criterio di assenza di conflitto di interessi da parte del DPO, il quale è strettamente connesso agli obblighi di indipendenza del medesimo, con particolare riferimento allo svolgimento di altri compiti e funzioni.

Come indicano anche le Linee guida del WP29, sebbene sia opportuno operare una valutazione caso per caso guardando alla specifica struttura organizzativa del singolo Titolare/Responsabile del trattamento, il conflitto di interessi può essere riferito, in sostanza, al caso in cui il DPO “rivesta, all’interno dell’organizzazione del titolare o del responsabile, un ruolo che comporti la definizione delle finalità o modalità del trattamento di dati personali”.

In tale ottica, il ruolo di Data Protection Officer appare quindi incompatibile, ad esempio, con incarichi di alta direzione (amministratore delegato, direttore generale, ecc.), o con figure responsabili nell’ambito di strutture aventi potere decisionale (direzione risorse umane, direzione finanziaria, direzione affari generali e legali, responsabile IT, etc.).

Recentemente, questo delicato aspetto è stato affrontato nella decisione n. 18/2020 dell’Autorità di controllo sulla protezione dei dati personali del Belgio, con cui è stata sanzionata un’azienda per violazione dell’articolo 38, paragrafo 6, del GDPR, in riferimento all’assenza di conflitto di interessi del DPO.

Nella fattispecie, il soggetto designato ricopriva contemporaneamente il ruolo di responsabile dei dipartimenti di Compliance, Risk Management e Internal Audit, emergendo, in particolare, il conflitto d’interessi nel momento in cui le sue attività non si limitavano all’analisi dei processi di business e alla stesura di un report (di impronta meramente consultiva), ma comportavano anche la concreta predisposizione delle azioni di remediation, in grado quindi di incidere, anche profondamente, nelle scelte aziendali.

DPO esterno sulla base di un contratto di servizi

Come già precedentemente anticipato, il ruolo di DPO può essere affidato ad uno dei dipendenti dell’azienda ma può anche essere, ai sensi dell’articolo 37, paragrafo 6, del GDPR, esternalizzato a un fornitore di servizi (libero professionista o azienda) attraverso un apposito contratto.

Anche qualora la funzione di Data Protection Officer venga esercitata da una persona giuridica, è necessario individuare un soggetto fisico «referente», il quale – come sancito dalla terza sezione del TAR Puglia di Lecce con la sentenza n. 1468/2019 – deve «appartenere alla persona giuridica nominata DPO», impedendosi quindi, per questa funzione, qualsiasi tipo di subappalto ad un soggetto esterno.

Tale decisione si fonda sul principio espresso dalle Linee guida del WP29, secondo cui “qualora la funzione di DPO sia svolta da una persona giuridica, è indispensabile che ciascun soggetto appartenente alla persona giuridica e operante come DPO soddisfi tutti i requisiti applicabili come fissati nella sezione 4 del GDPR”: un concetto che, ribadisce la sentenza, si riferisce – come stabilito anche dalla versione italiana ufficiale delle Linee guida – “ad ogni membro interno all’organizzazione incaricata che svolge la funzione di DPO” e non “ad ogni soggetto (esterno) cui la persona giuridica incaricata fa svolgere le funzioni di DPO”, sulla base di un accordo di prestazione professionale.

Comunicazione e pubblicazione dei dati di contatto del DPO

Ai sensi dell’articolo 37, paragrafo 7, del GDPR, il Titolare/Responsabile del trattamento deve pubblicare i dati di contatto del DPO e comunicarli all’autorità di controllo.

La comunicazione all’Autorità Garante per la protezione dei dati personali dei dati di contatto del DPO designato, insieme al suo nominativo, si effettua attraverso l’apposita procedura online disponibile sul sito dell’Autorità, la quale rimane l’unica valida per l’invio, la variazione e la revoca dei dati di contatto del DPO.

Il Titolare dovrà poi pubblicare i dati di contatto del DPO sul proprio sito web e sugli altri canali di comunicazione, affinché tanto gli interessati (all’interno o all’esterno dell’organizzazione del Titolare/Responsabile del trattamento) quanto l’autorità di controllo possano contattare il DPO in modo agevole ed immediato, senza doversi rivolgere a un’altra struttura operante presso il Titolare/Responsabile.

A tal proposito, i dati di contatto vanno indicati sicuramente all’interno delle informative fornite agli interessati ed è altamente consigliato, anche dalle Linee guida del WP29, effettuare una comunicazione ufficiale della nomina del DPO a tutto il personale operante presso il Titolare/Responsabile del trattamento, in modo da garantire che la sua presenza e le sue funzioni siano note all’interno dell’organizzazione.

Ai sensi dell’articolo 37, paragrafo 2, del GDPR, “Un gruppo imprenditoriale può nominare un unico DPO, a condizione che sia facilmente raggiungibile da ciascuno stabilimento”, valendo quindi le stesse considerazioni già svolte nel presente articolo, riguardo a risorse da mettere a disposizione del DPO ed agevole ed immediata raggiungibilità di quest’ultimo da parte dei soggetti interessati e dell’autorità di controllo.