Con il provvedimento n. 243 del 13 dicembre 2016, il Gruppo dei Garanti Europei (WP29) ha approvato le Linee guida dedicate al responsabile della protezione dei dati (denominazione inglese Data Protection Officer o, in breve, DPO), ruolo espressamente disciplinato dal Regolamento UE 2016/679 sulla protezione dei dati personali (d’ora in avanti anche solo il “Regolamento”) agli artt. 37 ss.

Le Linee guida sul DPO, al momento disponibili unicamente in lingua inglese, si occupano di delineare i requisiti soggettivi e oggettivi di tale figura, illustrando, anche attraverso esempi concreti, le competenze professionali e le garanzie di indipendenza e inamovibilità di cui il DPO deve godere nello svolgimento delle proprie attività di indirizzo e controllo all’interno dell’organizzazione del titolare.

Segue la seconda parte dell’analisi del provvedimento in questione (qui potete trovare la prima), avente ad oggetto il ruolo ed i compiti del DPO.

IL FATTO:

Il Gruppo dei Garanti, nell’intento di definire un contenuto minimo per l’obbligo di cui all’art. 38 del Regolamento (“il titolare del trattamento e il responsabile del trattamento si assicurano che il responsabile della protezione dei dati sia tempestivamente e adeguatamente coinvolto in tutte le questioni riguardanti la protezione dei dati personali”), ha individuato una serie di accorgimenti che l’organizzazione designataria dovrebbe adottare al fine di garantire il rispetto di tale disposizione. In particolare le Linee guida dispongono che, ogniqualvolta non dovessero venire accolti i pareri ed i suggerimenti forniti dal DPO, sarebbe buona regola individuare ed esplicitare le ragioni alla base della decisione assunta dall’organizzazione.

Con riferimento invece all’identificazione delle risorse che il titolare o il responsabile del trattamento sono tenuti a fornire al DPO per assolvere ai propri compiti ai sensi del secondo comma dell’art. 38, le Linee guida stabiliscono che rientrano in quest’ambito, fra le altre cose, il supporto attivo da parte dell’amministrazione, la concessione di adeguate risorse sotto il profilo economico, di infrastrutture e di personale, nonché la possibilità di avere accesso alle e di ottenere le collaborazione delle altre direzioni aziendali (quali IT, HR, servizio legale, ecc.). Vale anche a tal riguardo il principio per cui tanto più sono complesse e delicate le forme di trattamento dati che il DPO deve monitorare, maggiori saranno le risorse che l’organizzazione sarà tenuta a mettere a sua disposizione. Il DPO, inoltre, dovrebbe essere messo in condizione di rimanere sempre aggiornato in relazione alla normativa vigente in materia di protezione dei dati personali, mediante un processo di formazione continua.

Altra questione di primo piano nella dinamica delle relazioni tra il responsabile della protezione dei dati ed il titolare/responsabile del trattamento che lo abbia designato è il carattere di autonomia ed indipendenza che deve necessariamente caratterizzare il ruolo del DPO (cfr. art. 38 cc. 3 e 6 del Regolamento). A garanzia di ciò – sostengono i Garanti Europei – al DPO dovrebbe sempre essere consentito di esprimere il proprio parere divergente nei confronti di coloro che assumano decisioni nell’ambito della materia di sua competenza. Inoltre, l’organizzazione designataria dovrebbe porre in essere una serie di accorgimenti diretti ad escludere o, se non altro, limitare la possibilità che il DPO si trovi in situazioni caratterizzate da conflitto di interessi, e questo indipendentemente dal fatto che la carica venga ricoperta da un soggetto interno o esterno all’organizzazione stessa. Un esempio di tali accorgimenti è la preventiva identificazione delle cause di incompatibilità con il ruolo di DPO.

Le Linee guida si soffermano anche sul contenuto concreto dell’obbligo di “fornire, se richiesto, un parere in merito alla valutazione d’impatto sulla protezione dei dati e sorvegliarne lo svolgimento”, posto a carico del DPO dall’art. 39, c.1 lett. c), esplicitando alcuni casi in cui sarebbe opportuno per il titolare del trattamento richiedere il parere del responsabile della protezione dei dati (a scopo puramente esemplificativo e non esaustivo: la decisione metodologia da adottare per la valutazione di impatto o la valutazione dell’ipotesi affidarla a soggetti esterni). Come già previsto per altre ipotesi, i Garanti invitano il titolare del trattamento, in caso di dissenso con il DPO, a documentare per iscritto le ragioni alla base del rifiuto di accogliere i suggerimenti da questo forniti.

PERCHÉ È IMPORTANTE:

Con nota pubblicata in data 19 dicembre 2016, il Gruppo dei Garanti Europei ha pubblicato le prime tre Linee guida relative al Regolamento, nell’intento di fare maggiore chiarezza in vista della sua applicazione da parte degli Stati membri che avverrà, obbligatoriamente, da maggio 2018.  Assieme al responsabile per la protezione dei dati, sono stati infatti oggetto di approfondimento il diritto alla portabilità dei dati e l’autorità di vigilanza capofila nell’ambito dei trattamenti transnazionali.

Nel corso del 2017 dovrebbero fare seguito ulteriori analisi dedicate ad altri temi “caldi” del Regolamento UE, quali la valutazione d’impatto sulla protezione dei dati disciplinata all’art. 35 ed i codici di condotta e le certificazioni di cui agli artt. 40 e ss.

Su tali temi è inoltre probabile un intervento, a livello locale, del Garante per la protezione dei dati personali, anche ai fini di perfezionare la coordinazione tra la nuova normativa ed il Codice della privacy attualmente vigente.

Tutti i soggetti coinvolti nel trattamento dei dati personali accolgono con favore questi strumenti indispensabili per una maggior comprensione e per una corretta applicazione della nuova normativa comunitaria in materia di privacy.