Con il provvedimento n. 243 del 13 dicembre 2016, il Gruppo dei Garanti Europei (WP29) ha approvato le Linee guida dedicate al responsabile della protezione dei dati (denominazione inglese Data Protection Officer o, in breve, DPO), ruolo espressamente disciplinato dal Regolamento UE 2016/679 sulla protezione dei dati personali (d’ora in avanti anche solo il “Regolamento”) agli artt. 37 ss.

Le Linee guida sul DPO, al momento disponibili unicamente in lingua inglese, si occupano di delineare i requisiti soggettivi e oggettivi di tale figura, illustrando, anche attraverso esempi concreti, le competenze professionali e le garanzie di indipendenza e inamovibilità di cui il DPO deve godere nello svolgimento delle proprie attività di indirizzo e controllo all’interno dell’organizzazione del titolare.

Segue la prima parte dell’analisi del provvedimento in questione, avente ad oggetto la fase di designazione del DPO.

IL FATTO:

Il primo comma dell’art. 37 del Regolamento stabilisce che “il titolare del trattamento e il responsabile del trattamento designano sistematicamente un responsabile della protezione dei dati ogniqualvolta: a) il trattamento è effettuato da un’autorità pubblica o da un organismo pubblico, eccettuate le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali; b) le attività principali del titolare del trattamento o del responsabile del trattamento consistono in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala; oppure c) le attività principali del titolare del trattamento o del responsabile del trattamento consistono nel trattamento, su larga scala, di categorie particolari di dati personali […] o di dati relativi a condanne penali e a reati […]”.

Innanzitutto i Garanti Europei, dopo aver sottolineato che il DPO può essere designato anche da soggetti che non vi siano tenuti a norma di legge, invitano titolari e responsabili del trattamento a documentare, attraverso un’analisi interna, le motivazioni che hanno portato a procedere con o, viceversa, ad escludere, la nomina del Responsabile. Nell’ipotesi in cui l’organizzazione abbia deciso di non procedere con la designazione, se alcuni dei compiti che ricadono nell’area di competenza del DPO vengono svolti da altri soggetti – a prescindere dal fatto che questi siano interni o esterni all’organizzazione – è opportuno rendere noto a chiunque abbia a relazionarsi con questi che non si tratta di soggetti designati quali responsabili della protezione dei dati. Le Linee guida invitano inoltre i responsabili del trattamento ad individuare un unico DPO per la supervisione dei trattamenti eseguiti sia a titolo di responsabile che di titolare del trattamento.

I Garanti proseguono raccomandando, come buona prassi, che anche le organizzazioni private che abbiano in gestione servizi pubblici o esercitino, in qualsiasi forma, la pubblica autorità (si pensi alle società addette al trasporto pubblico, alla fornitura di acqua ed elettricità e via dicendo), si dotino di un DPO, la cui sfera di competenza non dovrebbe essere limitata alle attività di pubblica rilevanza.

Un paragrafo delle Linee guida viene poi dedicato alla definizione di “attività principali” ai sensi dell’art. 37 sopra citato, facendo presente come debbano considerarsi ricomprese in tale ambito anche tutte quelle attività di trattamento che siano parte imprescindibile ed integrante dell’attività svolta dall’organizzazione. Si pensi, ad esempio, alla gestione dei dati personali dei pazienti da parte di una struttura sanitaria, con il risultato che quest’ultima sarà tenuta, nel rispetto del Regolamento, a nominare il proprio DPO. Rimangono invece escluse dal novero delle “attività principali” ai fini del Regolamento tutte quelle attività c.d. ancillari rispetto all’operatività dell’organizzazione, quali la gestione dei dipendenti ed i servizi IT.

I Garanti proseguono nella loro opera chiarificatrice con riferimento al primo comma dell’art. 37 facendo presente come al fine di identificare le ipotesi in cui il trattamento dei dati avvenga “su larga scala” si renderà necessario valutare il singolo caso specifico sulla base di una serie di fattori quali numero dei destinatari, durata o estensione geografica del trattamento.

Alla luce del secondo e terzo comma dell’art. 37 del Regolamento, i quali dispongono che è possibile nominare un unico DPO nell’ambito dello stesso gruppo imprenditoriale o per più autorità pubbliche o organismi pubblici, emerge dalle Linee guida un altro punto fondamentale , e cioè la necessità che il responsabile per la protezione dei dati sia sempre disponibile – o, per lo meno, facilmente raggiungibile – da ciascuna entità cui si estenda la competenza di questo. Pertanto, oltre ad assicurarsi che i dati di contatto del DPO siano stati pubblicati e debitamente comunicati all’autorità di controllo ai sensi del settimo comma dell’art. 37 del Regolamento UE, i titolari/responsabili del trattamento saranno tenuti a garantire che i destinatari del trattamento siano sempre in grado di contattare il responsabile della protezione dei dati, fisicamente presso gli stessi locali dei dipendenti, o mediante qualsiasi altro mezzo di comunicazione sicuro.

Sempre con riferimento ai dati di contatto del DPO, le Linee guida stabiliscono che questi debbano permettere ai destinatari ed alle autorità di controllo di mettersi in contatto con il responsabile in maniera semplice ed immediata, a prescindere dal mezzo di comunicazione prescelto (indirizzo postale, indirizzo e-mail, numero verde, ecc.). Nonostante il nominativo del responsabile non sia soggetto ad alcun obbligo di pubblicazione ai sensi del Regolamento, il Gruppo dei Garanti Europei invita l’organizzazione designataria a renderlo noto, insieme ai dati di contatto, sia ai dipendenti che alla competente autorità di controllo.

Altra questione di notevole interesse con riguardo alla figura del DPO che viene affrontata dai Garanti sono i requisiti, professionali e di esperienza, che vengono richiesti dal Regolamento ai fini dell’assunzione della carica ex art. 37 c. 5. Con riferimento al livello di esperienza richiesto, questo può variare a seconda della delicatezza e della complessità del trattamento, nonché della quantità di dati elaborati dalla singola organizzazione. Tale flessibilità è invece ridotta quando si guarda alla competenza professionale richiesta al DPO: questo dovrà necessariamente avere esperienza in materia di normativa privacy sia a livello nazionale che europeo, ed una profonda conoscenza del Regolamento, cui sarebbe opportuno si accompagnasse anche una discreta conoscenza del settore in cui l’organizzazione designataria si trovi ad operare. I requisiti anzidetti saranno applicabili anche nel caso in cui il servizio di DPO venga fornito da un soggetto o da un’organizzazione esterna (si pensi, ad esempio, ad uno studio legale o ad una società specializzata).

PERCHÉ È IMPORTANTE:Con nota pubblicata in data 19 dicembre 2016, il Gruppo dei Garanti Europei ha pubblicato le prime tre Linee guida relative al Regolamento, nell’intento di fare maggiore chiarezza in vista della sua applicazione da parte degli Stati membri che avverrà, obbligatoriamente, da maggio 2018.  Assieme al responsabile per la protezione dei dati, sono stati infatti oggetto di approfondimento il diritto alla portabilità dei dati e l’autorità di vigilanza capofila nell’ambito dei trattamenti transnazionali.

Nel corso del 2017 dovrebbero fare seguito ulteriori analisi dedicate ad altri temi “caldi” del Regolamento UE, quali la valutazione d’impatto sulla protezione dei dati disciplinata all’art. 35 ed i codici di condotta e le certificazioni di cui agli artt. 40 e ss.

Su tali temi è inoltre probabile un intervento, a livello locale, del Garante per la protezione dei dati personali, anche ai fini di perfezionare la coordinazione tra la nuova normativa ed il Codice della privacy attualmente vigente.

Tutti i soggetti coinvolti nel trattamento dei dati personali accolgono con favore questi strumenti indispensabili per una maggior comprensione e per una corretta applicazione della nuova normativa comunitaria in materia di privacy.