competenze legali

DATA PROTECTION OFFICER -DPO- Considerazioni alla luce della recente sentenza del TAR

Con una significativa pronuncia Il TAR per il Friuli-Venezia Giulia ha specificato le puculiarità della figura del DPO
La sentenza n. 287/2018 del 13.09.2018 indica e precisa le caratteristiche di questa figura professionale nata con il regolamento europeo in materia di privacy.

 

Il Tar nella suddetta pronuncia ha precisato che il profilo del DPO è eminentemente giuridico, ed attiene alla tutela del diritto fondamentale dell'individuo alla protezione dei dati personali. Su questo presupposto, nel caso di specie, il Tar ha annullato il bando di un'azienda sanitaria per il conferimento di un incarico di DPO nella parte in cui prevedeva, come requisito di ammissione, il possesso di certificazione di Lead Auditor (o di Auditor) ISO 27001.

Il TAR non ha, ovviamente, inteso limitarne la nomina ai soli giuristi, ma ha tenuto a precisare che, a prescindere dai titoli, il DPO non possa non avere, ed essere in grado di dimostrarle, competenze giuridiche approfondite. La certificazione indicata, invece, “non coglie la specifica funzione di garanzia insita nell’incarico conferito, il cui precipuo oggetto non è costituito dalla predisposizione dei meccanismi volti ad incrementare i livelli di efficienza e di sicurezza nella gestione delle informazioni ma attiene semmai alla tutela del diritto fondamentale dell’individuo alla protezione dei dati personali”.

La figura del DPO, acronimo di “data protection officer”, o Responsabile per la Protezione dei Dati (RPD), non è in realtà completamente nuova, essendo l'evoluzione del "privacy officer", figura prevista dalla direttiva europea 95/46; secondo la previsione del regolamento europeo, il DPO è un consulente esperto che deve affiancare il titolare nella gestione delle problematiche del trattamento dei dati personali. Si mira in tal modo a far si che un soggetto qualificato si occupi in maniera esclusiva della materia della protezione dei dati personali, aggiornandosi sui rischi e le misure di sicurezza, in considerazione della crescente importanza e complessità del settore.

Come ormai noto, uno dei principi cardine del nuovo regolamento europeo è quello dell’accountability, o responsabilizzazione del titolare del trattamento.

La designazione del DPO riflette il nuovo approccio del regolamento europeo (art. 39), maggiormente responsabilizzante, essendo finalizzata a facilitare l'attuazione del regolamento da parte del titolare e del responsabile. Il ruolo del DPO è di tutelare i dati personali, non gli interessi del titolare del trattamento.
Il DPO deve, infatti, possedere un'adeguata conoscenza delle normative e delle prassi di gestione dei dati personali, e deve adempiere alle proprie funzioni in piena autonomia ed indipendenza, e in assenza di conflitti di interesse. In tal senso non può ricoprire tale incarico un soggetto che si trova ai vertici aziendali, quindi in grado di influenzare le scelte adottate in materia di trattamento dei dati.
L’autonomia del DPO è garantita dall'articolo 38 del GDPR laddove stabilisce che il titolare del trattamento e il responsabile del trattamento si assicurano che il DPO non riceva alcuna istruzione per quanto riguarda l'esecuzione dei suoi compiti. Inoltre, il DPO non può essere rimosso o penalizzato dal titolare o dal responsabile del trattamento per l'adempimento dei propri compiti.
In tal senso appare difficile ritenere che tale autonomia sia giustificabile nell'ambito di un rapporto di lavoro dipendente, per cui sarebbe preferibile che il DPO sia un soggetto esterno.

Il DPO è designato (art. 37) dal titolare o dal responsabile del trattamento, in base ad un contratto. La designazione dovrà essere comunicata all'Autorità di controllo nazionale ed è obbligatoria nei seguenti 3 casi

1) Per le amministrazioni e gli enti pubblici (eccetto le autorità giudiziarie nell'esercizio delle loro funzioni). Nel regolamento europeo non vi è una definizione di "autorità pubblica", per cui occorrerà interpretare l'indicazione in base al diritto nazionale. In particolare il Gruppo Articolo 29 ha raccomandato la nomina del DPO anche per gli organismi privati incaricati dello svolgimento di pubbliche funzioni o che comunque esercitano pubblici poteri (es. forniture elettriche, trasporti pubblici).

2) Se l'attività principale svolta dal titolare o dal responsabile del trattamento consiste nel trattamento di dati che per la loro natura, oggetto o finalità, richiedono il controllo regolare e sistematico degli interessati su larga scala.

Occorre una riflessione sui concetti di:
A) attività principale,
B) controllo regolare e sistematico degli interessati
C) larga scala.

A) Con riferimento all'attività principale, il Gruppo di lavoro articolo 29 precisa che occorre tenere presente il legame del "core business" con l'attività di trattamento dati.
A titolo esemplificativo, si può dire che anche se l'attività principale di un ospedale non è il trattamento dei dati ma la salute dei pazienti, essendo le due attività strettamente collegate, il trattamento dei dati rientrerà nell'alveo delle attività principali, per cui un ospedale dovrà nominare un DPO.
Stesso discorso si può fare per una società di vigilanza, dove l'attività di sorveglianza è indissolubilmente legata all'attività di trattamento dei dati personali relativi; esemplificando ulteriormente si può dire che abbiano l’obbligo di nominare il DPO compagnie di assicurazione, banche, call center, società finanziarie, patronati, caf o sindacati, imprese di somministrazione, ospedali privati, terme, laboratori di analisi mediche o centri di riabilitazione, società di recupero crediti, società che forniscono servizi di vigilanza, ecc…
Di contro, anche se nella pratica tutte le imprese trattano dati (es. i pagamenti dei dipendenti), non rientrano nell'obbligo di nomina del DPO se il trattamento dei dati è solo di supporto al "core business".

B) La nozione di monitoraggio regolare e sistematico include non solo tutti i vari strumenti di tracciatura elettronica e profilazione online, ma anche qualsiasi forma di tracciatura in un ambiente offline. Per il WP29, un monitoraggio è regolare se avviene di continuo o in un arco temporale ben definito, se ripetuto ad intervalli constanti. Il monitoraggio è sistematico se si verifica in base ad uno schema o quando è organizzato, metodico, prestabilito, o se rientra in un piano generale od una strategia (es. servizi di telecomunicazione, marketing, geolocalizzazione, fidelizzazione, monitoraggio di dati sulla salute e forma fisica attraverso dispositivi indossabili, reindirizzamento di email).

C) Per stabilire se un trattamento è su larga scala il WP29 suggerisce di tenere in considerazione alcuni elementi:

- il numero degli interessati coinvolti (in termini assoluti o in percentuale rispetto alla popolazione di riferimento);
- la quantità dei dati trattati;
- le diverse tipologie di dati trattati;
- la durata del trattamento;
- la portata geografica del trattamento.

 

In tal senso sono trattamenti su larga scala quello dei dati di viaggio dei soggetti che usano un sistema di trasporto pubblico (es. il monitoraggio tramite carte di viaggio), il trattamento dei dati dei pazienti da parte di un ospedale, il trattamento di dati di geolocalizzazione della clientela per fini statistici, il trattamento dei dati dei clienti di una banca o un'assicurazione, il trattamento dei dati personali per la pubblicità comportamentale (tramite cookie di profilazione), il trattamento di dati dei fornitori di servizi telefonici o internet, i trattamenti operati tramite fidelity card (a meno che non si tratti di un piccolo negozio). Non sono trattamenti su larga scala quelli del singolo medico o del singolo avvocato.
3) Se l'attività principale consiste nel trattamento su larga scala di dati sensibili, relativi alla salute, alla vita sessuale, genetici, giudiziari e biometrici. Il monitoraggio del comportamento delle persone interessate comprende tutte le forme di monitoraggio e profilazione su Internet, anche ai fini della pubblicità comportamentale.
Ad esempio, una palestra o una catena di palestre, trattando dati relativi alla salute potrebbe avere la necessità di nominare un DPO.

Il ruolo del DPO è principalmente consultivo.
Se in estrema sintesi si può sostenere che sia un supervisore con competenze specialistiche della normativa e della prassi in materia di protezione dati, l’articolo n°39 del Regolamento stabilisce nel dettaglio quali siano i compiti del DPO:

- informare e consigliare il titolare o il responsabile del trattamento, nonché i dipendenti, sugli obblighi previsti dalle norme in materia;
- verificare l’attuazione e l’applicazione delle norme;
- se richiesto, fornire pareri ed assistere il titolare in merito alla valutazione d’impatto sulla protezione dei dati e sorvegliare i relativi adempimenti;
- cooperare con le autorità di controllo;
- fungere da punto di contatto, non solo per l'autorità di controllo ma anche per gli interessati al trattamento, in merito a qualunque problematica connessa ai loro dati o all'esercizio dei loro diritti;
- consultare l'autorità di controllo anche di propria iniziativa.

In base all'articolo 37, paragrafo 7 del regolamento europeo, il nominativo del DPO deve essere comunicato all'Autorità di controllo (Garante per la protezione dei dati). Infatti, come visto, uno dei compiti principali del DPO è di fare da collegamento con l'Autorità.