Quando è obbligatorio il DPO

Secondo il Regolamento europeo in materia di protezione dei dati personali (GDPR): “Il titolare del trattamento e il responsabile del trattamento designano sistematicamente un responsabile della protezione dei dati (DPO) ogniqualvolta:

1. il trattamento è effettuato da un’autorità pubblica o da un organismo pubblico, eccettuate le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali;
2. le attività principali del titolare del trattamento o del responsabile del trattamento consistono in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala; oppure
3. le attività principali del titolare del trattamento o del responsabile del trattamento consistono nel trattamento, su larga scala, di categorie particolari di dati personali di cui all’articolo 9 o di dati relativi a condanne penali e a reati di cui all’articolo 10”.

Per conoscere la norma è necessario svolgere un’attività di studio e interpretativa su alcuni termini citati dal Regolamento. L’articolo 37, infatti, introduce concetti che non vengono definiti all’interno del testo del GDPR, quali “autorità pubblica” o “organismo pubblico” e “larga scala”. 

Peraltro, la definizione di “autorità pubblica” o “organismo pubblico”, va interpretata conformemente al diritto nazionale applicabile, e può includere un’ampia serie di organismi ed enti di diritto pubblico. 

Per quanto riguarda il criterio della “larga scala”, invece, ci aiuta nella comprensione del significato il Gruppo di lavoro “Articolo 29” (“WP29”), oggi “EDPB” (il Comitato europeo per la protezione dei dati), nelle linee guida sui responsabili della protezione dei dati. 

Il Gruppo di lavoro raccomanda di tenere conto, in particolare, dei seguenti fattori, al fine di stabilire se un trattamento sia effettuato su larga scala:

1. il numero di soggetti interessati dal trattamento, in termini assoluti ovvero espressi in percentuale della popolazione di riferimento;
2. il volume dei dati e/o le diverse tipologie di dati oggetto di trattamento;
3. la durata, ovvero la persistenza, dell’attività di trattamento;
4. la portata geografica dell’attività di trattamento.

Obblighi: chi e quando. Il parere dell’Autorità Garante privacy

L’Autorità Garante per la protezione dei dati personali ci viene in aiuto, fornendo degli elenchi, seppur esemplificativi e non esaustivi, delle categorie di attività che rientrano nell’obbligo di cui all’articolo 37 e delle attività per cui la nomina del DPO è comunque consigliata.

Ambito privato

(Elenco esemplificativo e non esaustivo del Garante)

Nomina obbligatoria

Concessionari di servizi pubblici (trasporto pubblico locale, raccolta dei rifiuti, gestione dei servizi idrici ecc.), istituti di credito; imprese assicurative; sistemi di informazione creditizia; società finanziarie; società di informazioni commerciali; società di revisione contabile; società di recupero crediti; istituti di vigilanza; partiti e movimenti politici; sindacati; caf e patronati; società operanti nel settore delle utilities (telecomunicazioni, distribuzione di energia elettrica o gas, ecc.); imprese di somministrazione di lavoro e ricerca del personale; società operanti nel settore della cura della salute, della prevenzione/diagnostica sanitaria quali ospedali privati, terme, laboratori di analisi mediche e centri di riabilitazione; società di call center; società che forniscono servizi informatici; società che erogano servizi televisivi a pagamento.

Nomina “opportuna”

In relazione a trattamenti effettuati da liberi professionisti operanti in forma individuale o comunque che non effettuano trattamenti su larga scala; amministratori di condominio; agenti, rappresentanti e mediatori non operanti su larga scala; imprese individuali o familiari; piccole e medie imprese, con riferimento ai trattamenti dei dati personali connessi alla gestione corrente dei rapporti con fornitori e dipendenti.

Ambito pubblico

(Elenco esemplificativo e non esaustivo del Garante)

Nomina obbligatoria

Le amministrazioni dello Stato, anche con ordinamento autonomo, gli enti pubblici non economici nazionali, regionali e locali, le Regioni e gli enti locali, le università, le Camere di commercio, industria, artigianato e agricoltura, le aziende del Servizio sanitario nazionale, le autorità indipendenti ecc.

Nomina “fortemente raccomandata”

Soggetti privati che esercitino funzioni pubbliche (in qualità, ad esempio, di concessionari di servizi pubblici).

DPO: valutare quando è obbligatorio

Il titolare, nel valutare l’obbligo di designazione del DPO, dovrebbe quindi considerare tutta una serie di elementi, alcuni più o meno dettagliati dal Regolamento, altri la cui definizione è oggetto di approfondimenti dedicati (pensiamo anche al significato di termini semplici solo all’apparenza, quali “attività principale” o “monitoraggio regolare e sistematico”). 

Inoltre, anche laddove il Regolamento non imponga in modo specifico la nomina di un DPO, può risultare utile procedere a tale designazione su base volontaria (in quanto “opportuna” o “fortemente raccomandata” dall’Autorità di controllo, ad esempio). 

Il WP29 incoraggia gli approcci di questo genere, sostenendo che questa figura rappresenta un elemento fondante ai fini della responsabilizzazione, e che la nomina del DPO (anche su base volontaria) possa facilitare l’osservanza della normativa e aumentare il margine competitivo delle imprese.

Quando serve il consulente 

Quanto sopra premesso, dovrebbe consentire a titolari e a responsabili del trattamento dei dati personali di comprendere i rischi derivanti dalla violazione delle norme del Regolamento, rischi che si estendono non solo alla potenziale applicazione di sanzioni privacy, ma anche a casi di eventuali violazioni derivanti dalla carenza di misure di sicurezza adeguate. 

In tale contesto dotarsi di un consulente è utile per:

1. Conoscere effettivamente la normativa e come applicarla nel modo corretto. Prevenire, mediante un piano di adeguamento, il verificarsi di sanzioni e data breaches.

Il consulente dovrebbe quindi supportare l’organizzazione sul piano concreto, nello sviluppo di tutta la documentazione utile all’adeguamento, fra cui: informative, policy, disciplinari e procedure privacy, valutazione dei rischi, DPIA, registri, nomine e documenti necessari alla gestione di ruoli e responsabilità, pareri, etc. 

In tale contesto dotarsi di un consulente è utile per:

1. Applicare gli obblighi di cui alla norma, in relazione alla struttura del titolare e rispetto ai trattamenti da questo svolti.

Al tempo stesso, considerando la complessità nel definire se e quando l’organizzazione dovrebbe dotarsi di un responsabile della protezione dei dati, un consulente può fornire supporto nell’assessment preliminare e nella verifica dei requisiti professionali del DPO. 

In tale contesto dotarsi di un consulente è utile per:

1. Sviluppare un parere in cui si documenti, come richiesto dal Regolamento, le valutazioni compiute all’interno dell’azienda o dell’ente per stabilire se si applichi o meno l’obbligo di nomina di un DPO, così da poter dimostrare che l’analisi ha preso in esame correttamente i fattori pertinenti. Tale analisi, infatti, fa parte della documentazione da produrre in base al principio di responsabilizzazione (accountability). Può essere richiesta dall’autorità di controllo e dovrebbe essere aggiornata ove necessario, per esempio se i titolari del trattamento o i responsabili del trattamento intraprendono nuove attività o forniscono nuovi servizi che potrebbero ricadere nel novero dei casi elencati all’interno del sopracitato art. 37 del GDPR.

La responsabilizzazione del titolare

Attenzione, però, ad affidarsi completamente al consulente. Nel mese di dicembre, il Garante per la protezione dei dati personali ha sanzionato una clinica, per un importo pari a 10.000 euro. Nel corso dell’istruttoria l’Autorità ha rilevato che il titolare del trattamento non aveva provveduto alla designazione di un responsabile della protezione dei dati. 

La società, nelle memorie difensive, di fatto accusava il proprio consulente, sostenendo di aver fatto affidamento sullo stesso per ogni incombenza relativa alla designazione del DPO. 

Tali argomentazioni, tuttavia, non hanno consentito il superamento dei rilievi notificati dall’Autorità, la quale ha specificato che: “la circostanza che il Centro avesse affidato a un soggetto terzo l’onere di porre in essere il predetto adempimento, non lo esonera da responsabilità, in quanto lo stesso avrebbe dovuto svolgere attività di vigilanza e verificare l’assolvimento di tale obbligo,  in ragione del fatto che il titolare ha una “responsabilità generale” sui trattamenti posti in essere”. 

Privacy e GDPR: un nuovo trend

Il Regolamento europeo in materia di protezione dei dati personali (GDPR) nel mese di maggio compirà sei anni dalla sua entrata in vigore (maggio 2016) e quattro anni dalla data in cui è divenuto applicabile (25 maggio 2018). 

Le ultime indagini condotte a livello europeo, fra cui la “Fundamental Rights Survey”, facente parte della “European Data Strategy” (la strategia europea in materia di dati), hanno dimostrato come gli individui di tutto il mondo apprezzino sempre più la privacy e la sicurezza dei loro dati. Il 69% della popolazione dell’UE di età superiore ai 16 anni ha sentito parlare del GDPR e il 71% delle persone nell’UE conosce la propria Autorità nazionale per la protezione dei dati. 

 

Statistiche della European Union Agency for Fundamental Rights

La privacy si è consolidata come fattore in grado di orientare le scelte economiche di acquisto ed i comportamenti online. Imprese e fornitori di servizi si sono adattati di conseguenza, talvolta anche promuovendo il rispetto dei dati personali come elemento di differenziazione rispetto ai competitors.

Consulente, DPO o entrambi: perché è importante capire?

La consapevolezza circa l’esistenza della normativa privacy non basta.

I concetti di “sapere” e di “conoscere” possono sembrare simili, tuttavia sono caratterizzati da una sostanziale differenza. La conoscenza è attiva: è un processo complesso che implica l’approfondimento di una materia, lo studio delle norme, l’esperienza sul campo. 

In ambito giuridico il sapere non basta, in quanto “Ignorantia legis non excusat” (l’ignoranza della legge non scusa): nessuno può invocare l’ignoranza totale o parziale della legge al fine di eludere l’applicazione della norma.

Sapere che esistono degli obblighi, ad esempio rispetto alla nomina di un Data Protecion Officer, non basta se non si conoscono le casistiche e le condizioni che ne impongono la designazione. 

Sanzioni amministrative pecuniarie e penali

Nel contesto della compliance aziendale, la normativa in materia di protezione dei dati personali è fra quelle il cui mancato rispetto comporta l’applicazione delle sanzioni più importanti: amministrative pecuniarie (fino a 20 milioni di euro, o per le imprese, fino al 4 % del fatturato mondiale totale annuo dell’esercizio precedente, se superiore) e penali, come disposte dagli stati membri (in Italia, il Codice Privacy prevede, per determinate tipologie di reati connessi alla protezione dei dati personali, la reclusione fino a 6 anni, salvo che il fatto costituisca più grave reato).

Tradotto sul piano concreto, le statistiche parlano di più di 1,5 miliardi di euro di sanzioni comminate dalle Autorità di controllo europee a partire dalla data di applicazione del GDPR. 

Concentrandoci sullo specifico obbligo di designazione del Data Protection Officer, si stima un ammontare complessivo di sanzioni irrogate pari a 350 mila euro. Questo dato, peraltro, fa riferimento ad un lasso di tempo più ristretto, ovvero gli ultimi due anni (solo nel 2021 si calcola un ammontare pari a 160 mila euro). 

Il valore è preoccupante: l’andamento è in crescita costante ed esponenziale, in particolare da quando alcune Autorità di controllo europee hanno avviato campagne di indagine tematiche, in quanto focalizzate proprio sul rispetto degli obblighi di cui agli artt. 37 e seguenti del GDPR. 

DPO o consulente? Meglio entrambi

Se da un lato, quindi, è sicuramente necessario che il titolare del trattamento dei dati personali si rivolga ad un consulente, dall’altro lato è altrettanto importante che le figure apicali siano adeguatamente formate, in modo da avere una conoscenza della norma che consenta loro di presidiare l’attività svolta dal soggetto a cui ci si affida. 

Per tale ragione tutte le organizzazioni, a prescindere dalle dimensioni, dovrebbero valutare l’opportunità di dotarsi di entrambe le figure: un DPO (esterno o interno), che supervisioni, come previsto dal GDPR, l’osservanza del Regolamento (e quindi, indirettamente, anche l’attività svolta dal consulente) e un professionista della privacy, che sia d’ausilio al titolare nelle attività sopra elencate. 

Approfondimenti

• Corsi di formazione e specializzazione
• Consulenza specifica privacy e data protection 
• Serve un Data Protection Officer? 
• Associazione italiana dei Data Protection Officer (ASSO DPO)  
• Vuoi sapere se hai bisogno del DPO oppure organizzare una valutazione preliminare?