Aruba VPS
 

10/11/2017

Share    

Giuseppe Serafini

GDPR e DPO: istruzioni per l'uso

I dettagli sul Responsabile della Protezione dei Dati, incaricato del compito di “informare e fornire consulenza in merito agli obblighi derivanti dal Regolamento o dalle altre norme in materia di protezione dei dati” e di “sorvegliarne l’osservanza”.

© FroYo_92 - iStock

Una delle novità di maggiore rilievo, tra quelle introdotte dal Regolamento Generale in Materia di Protezione dei Dati Personali, (GDPR, General Data Protection Regulation) in vigore dallo scorso aprile, che sarà applicabile a partire dal prossimo 25 maggio è senz’altro quella relativa alla obbligatorietà, in alcune circostanze, specificamente indicate dall’ar t. 37 del Regolamento stesso, per alcuni Titolari del trattamento, della nomina, di un Responsabile della Protezione dei Dati (in Inglese Data Protection Officer, DPO). In linea di prima approssimazione, prima di definire casi, funzioni, competenze e modalità della nomina di questo soggetto che, come vedremo, riveste una funzione centrale nelle dinamiche applicative delle previsioni del Regolamento Comunitario, possiamo pensare al suo ruolo come a quello di un terzo imparziale, cui spetta di consigliare in merito e controllare l’applicazione delle norme in materia di protezione dei dati personali all’interno o all’esterno dell’organizzazione dalla quale è stato nominato.

Dura Lex sed Lex
Il Regolamento, in questo senso, è chiaro nello statuire, nel testo delle lettere a) e b) del comma 1 dell’art. 39 che, il Responsabile della Protezione dei Dati, deve essere incaricato, tra gli altri, almeno, del compito di “informare e fornire consulenza in merito agli obblighi derivanti dal Regolamento o dalle altre norme in materia di protezione dei dati” e di quello di “sorvegliarne l’osservanza”. Il tenore letterale della formulazione normativa appena citata, consente di ritenere, senza dubbio alcuno, che, trattandosi di un soggetto che avrà il compito di fornire consulenza in merito agli obblighi derivanti dall’applicazione del Regolamento (una norma) e delle altre disposizioni richiamate, allo stesso non possano che essere richieste adeguate competenze legali. Ma non solo. La circostanza relativa all’attribuzione ex lege, in favore del Data Protection Officer, del compito di sorvegliare l’osservanza del Regolamento, introduce il tema, a mio avviso non secondario, della necessità che il DPO, non solo conosca le norme vigenti in materia di protezione dei dati personali, cosa di per sé non semplicissima, data l’ampiezza dell’ambito di applicazione, anche sovranazionale, della disciplina rilevante in materia, ma sia anche in grado di interpretarle, in funzione della valutazione della loro corretta osservanza da parte del Titolare o del Responsabile del Trattamento. Cosa, quest’ultima, se possibile, ancora più difficile della precedente, postulando nell’interprete le capacità di sussunzione della fattispecie concreta - presidiata, a sua volta, dal pertinente dominio di conoscenza settoriale, quanto a rapporti causali attributivi anche di responsabilità - nel caso disciplinato dal precetto normativo, di valutazione dell’applicabilità di quest’ultimo, oltre che la padronanza di metodologie di indagine da applicare caso per caso.

Un esempio chiarirà il concetto e il problema. Come potrebbe un giudice investito di una controversia accertare se una determinata attività di analisi svolta su un campione biologico, sia da ritenere, ai sensi dell’Autorizzazione Generale del Garante per la Privacy nr. 8/2016, un trattamento di dati genetici, soggetta ad oggi, all’obbligo di notificazione, assistito da pesanti sanzioni amministrative in caso di inosservanza, senza ricorrere alla consulenza di uno specialista in materia? Questo esempio, però, non deve trarre in inganno, dovendosi adeguatamente considerare che, l’ordinamento assegna al giudice e non al perito nominato, l’onere di statuire, con sentenza motivata, in merito alla vicenda sottoposta alla sua attenzione.

Il ragionamento appena svolto, tuttavia, non deve essere interpretato, in modo restrittivo, nel senso di ritenere precluso ai non giuristi lo svolgimento delle funzioni di Responsabile per la Protezione dei Dati ma, più correttamente, secondo chi scrive, nel senso di ritenere verosimile che la funzione di Data Protection Officer, possa utilmente essere svolta, in alcune circostanze, solo ed esclusivamente in forza di una sinergia risultante dalla collaborazione di un Team di professionalità eterogenee che riportino - questo si - a un soggetto che conosca la legge e le regole che presiedono alla sua corretta interpretazione.

Quis custodiet ipsos custodes?
Un altro punto su cui conviene tentare di fare chiarezza, in relazione alle concrete scelte operative, che molti Titolari o responsabili, almeno i più avveduti, sono chiamati ad effettuare, in questo periodo, è quello relativo alla posizione che il soggetto, interno od esterno (anche persona giuridica), prescelto per ricoprire la funzione di DPO, da nominare per iscritto, dovrà assumere, nel contesto delle relazioni interne alle dinamiche produttive quotidiane dell’organizzazione in favore della quale svolgerà la propria opera. La questione interpretativa si pone in relazione alla formulazione del testo dell’art 38, che al comma 3 dispone che: “Il responsabile della protezione dei dati non è rimosso o penalizzato dal titolare del trattamento o dal responsabile del trattamento per l’adempimento dei propri compiti”; ed al comma 6 che: “Il responsabile della protezione dei dati può svolgere altri compiti e funzioni”.

Il Titolare del trattamento o il Responsabile del trattamento si assicura che tali compiti e funzioni non diano adito a un conflitto di interessi”. Sul punto, il considerando nr. 97 si limita a precisare, senza fornire criteri interpretativi inequivoci, che i Responsabili della Protezione dei Dati, dipendenti o meno del Titolare (o del Responsabile) del trattamento, dovrebbero poter adempiere alle funzioni e ai compiti loro incombenti in maniera indipendente. In merito il Gruppo Europeo dei Garanti per la Protezione dei Dati Personali nella sua Opinion nr. 243, rev. 01, dal titolo: “Linee guida sui responsabili della protezione dei dati” nella versione emendata ed adottata in data 5 aprile 2017, hanno chiarito che:

(a) il RPD non può rivestire, all’interno dell’organizzazione del titolare o del responsabile, un ruolo che comporti la definizione delle finalità o modalità del trattamento di dati personali;

(b) possono sussistere situazioni di conflitto all’interno dell’organizzazione con riguardo a ruoli manageriali di vertice (amministratore delegato, responsabile operativo, responsabile finanziario, responsabile sanitario, direzione marketing, direzione risorse umane, responsabile IT), ma anche rispetto a posizioni gerarchicamente inferiori se queste ultime comportano la determinazione di finalità o mezzi del trattamento;

(c) può insorgere un conflitto di interessi se, per esempio, a un RPD esterno si chiede di rappresentare il titolare o il responsabile in un giudizio che tocchi problematiche di protezione dei dati.

 

TORNA INDIETRO >>