www.dandria.com

Il regolamento europeo n. 2016/679 sulla protezione dei dati
(“regolamento generale sulla protezione dei dati”), che diventerà
direttamente applicabile in tutti gli Stati membri a partire dal 25 maggio
2018, ha introdotto, per determinati soggetti, l’obbligo di nominare un
responsabile della protezione dei dati (“Data Protection Officer” o “DPO”).
Si tratta di una figura professionale già prevista dalla legislazione di alcuni
Paesi europei, i cui compiti includono:

? assistere e consigliare il titolare e il responsabile del trattamento,
nonché i dipendenti che effettuano il trattamento dei dati;

? sorvegliare l’osservanza del regolamento e della normativa europea
e nazionale applicabile;

? fungere da punto di contatto per le autorità di controllo in relazione
a tutte le questioni connesse al trattamento.

Al fine di chiarire in quali casi è obbligatorio designare un DPO, quali sono
i suoi compiti e la sua posizione, il 13 dicembre 2016 il Gruppo di lavoro
ex articolo 29 ha adottato delle Linee guida sulla figura del responsabile
della protezione dei dati(1).

(I) DESIGNAZIONE DEL DATA PROTECTION OFFICER

Ai sensi dell’art. 37 del regolamento generale sulla protezione dei dati, il
titolare o il responsabile del trattamento dovranno obbligatoriamente
designare un Data Protection Officer:

1) quando il trattamento è effettuato da un’autorità pubblica o da un
organismo pubblico, fatta eccezione per le autorità giudiziarie quando
esercitano le loro funzioni giurisdizionali;

2) quando le attività principali del titolare o del responsabile del
trattamento consistono in trattamenti che, per la loro natura, ambito
di applicazione o finalità richiedono un monitoraggio regolare e
sistematico degli interessati su larga scala; oppure

3) quando le attività principali del titolare o del responsabile consistono
nel trattamento, su larga scala, di categorie particolari di dati
personali (di cui all’art. 9 del regolamento stesso (2)) o di dati relativi a
condanne penali e a reati commessi (ai sensi dell’art. 10 del
regolamento).

L’art. 37.2 prevede inoltre la possibilità per i gruppi imprenditoriali di
nominare un unico responsabile della protezione dei dati, a condizione che
il DPO sia agevolmente raggiungibile da ciascuno stabilimento.

Con le sue Linee guida, il Gruppo di lavoro è intervenuto per chiarire
alcuni dei termini utilizzati dal legislatore europeo e per formulare alcune
raccomandazioni.In prima battuta, il Gruppo di lavoro ha rilevato che la nozione di “autorità
o organismi pubblici” deve essere interpretata sulla base della legge nazionale, raccomandando tuttavia la designazione di un DPO anche da
parte delle società o organizzazioni private che svolgono attività o
incarichi di rilievo pubblicistico o nel pubblico interesse.

Con riferimento invece alla nozione di trattamento di dati personali su
“larga scala” (che comporterebbe l’obbligo di designazione di un DPO), il
Gruppo di lavoro ha individuato alcuni fattori che dovrebbero essere presi
in considerazione dagli operatori:

? il numero degli interessati coinvolti dal trattamento (quale numero
assoluto o quale proporzione della popolazione);

? il volume o la gamma dei dati trattati;

? la durata delle attività di trattamento;

? l’ambito geografico del trattamento.

Con riferimento alla nozione di “monitoraggio regolare e sistematico” degli
interessati, le Linee guida rinviano al considerando 24 del regolamento,
che fa espresso riferimento al monitoraggio delle persone fisiche su
internet e alla profilazione degli interessati “in particolare per […]
analizzarne o prevederne le preferenze, i comportamenti e le posizioni
personali”.

Il Gruppo di lavoro ha inoltre chiarito che il monitoraggio deve
considerarsi “regolare” se è costante o se avviene periodicamente o ad
intervalli regolari.
Il monitoraggio deve invece considerarsi “sistematico” se effettuato sulla
base di un sistema prestabilito, organizzato e metodico, se rientra in un
piano generale di raccolta dei dati o se effettuato sulla base di una
strategia.

Ad esempio, secondo il Gruppo di lavoro rientrano nella nozione
di monitoraggio regolare e sistematico i trattamenti effettuati per la
gestione di reti di telecomunicazione, le strategie di “email targeting” e di
profilazione a fini di valutazione del rischio di insolvenza, la
geolocalizzazione attraverso APP telefoniche, le strategie di behavioural
4
advertising, il monitoraggio delle condizioni di salute degli utenti e la
telesorveglianza.

Anche qualora non dovesse sussistere l’obbligo di designare un DPO, il
Gruppo di lavoro raccomanda al titolare e al responsabile di trattamento
di documentare le valutazioni e le analisi effettuate per determinare se
tale obbligo sussiste. Ad ogni modo, se – pur in assenza di un obbligo in
tal senso – un’organizzazione decide di nominare un DPO, le sue attività e
il suo ruolo saranno disciplinati dalle disposizioni del regolamento
generale sulla protezione dei dati.

Ai sensi dell’art. 37.5 del regolamento, il DPO è designato in funzione
delle sue qualità professionali (e in particolare della conoscenza
specialistica della normativa e delle prassi in materia di protezione dei
dati), e della capacità di assolvere i compiti previsti dal regolamento
stesso.

Nelle Linee guida, il Gruppo di lavoro ex art. 29 chiarisce che l’esperienza
e le competenze del DPO devono essere commisurate alla delicatezza e
alla complessità del trattamento effettuato e al volume dei dati gestiti
dall’organizzazione. In ogni caso, il DPO dovrebbe possedere una
conoscenza approfondita della normativa nazionale ed europea in materia
di protezione dei dati e delle attività economiche svolte dal titolare e dal
responsabile del trattamento.
Le qualità personali del DPO devono inoltre includere una spiccata
integrità e un’elevata etica professionale, dato che uno dei suoi compiti
principali è quello di promuovere lo sviluppo di una cultura rispettosa della
normativa sulla protezione dei dati all’interno dell’organizzazione nella
quale si trova ad operare.

Ai sensi dell’art. 37 del regolamento, il DPO può essere un dipendente del
titolare o del responsabile del trattamento o può assolvere i suoi compiti
in base a un contratto di servizi. Sul punto, le Linee guida sono
5
intervenute per chiarire che se il ruolo di DPO è svolto da
un’organizzazione esterna, ciascun membro di tale organizzazione deve
rispettare tutti i requisiti previsti dalla Sezione IV del regolamento.

Inoltre, tutti i membri dell’organizzazione che svolge le funzioni del DPO
devono godere delle tutele previste dal regolamento.

Infine, anche se l’art. 37 del regolamento non prevede alcun obbligo in tal
senso, il Gruppo di lavoro raccomanda di comunicare sia all’autorità
competente che ai dipendenti della società oltre ai dati di contatti anche il
nome del DPO.

(II) IL RUOLO DEL DATA PROTECTION OFFICER

L’art. 38 del regolamento dispone che il DPO deve essere
tempestivamente ed adeguatamente coinvolto in tutte le questioni
riguardanti la protezione dei dati.
Il Gruppo di lavoro ha dunque ribadito l’importanza del coinvolgimento del
DPO sin dalle fasi iniziali delle attività che richiedono il trattamento dati. È
in particolare necessario fornire tempestivamente al DPO tutte le
informazioni necessarie per svolgere le sue mansioni e assicurare la sua
partecipazione alle riunioni del management.

Il DPO dovrà essere inoltre prontamente consultato in caso di incidenti o
perdite di dati e qualsiasi decisione del management che si discosti dalle
indicazioni del DPO dovrebbe essere adeguatamente motivata.

Il Data Protection Officer deve disporre delle risorse necessarie
(finanziarie ed organizzative) e del tempo sufficiente per assolvere i suoi
compiti e l’intera organizzazione dovrebbe essere messa al corrente del
suo ruolo e delle sue funzioni. In ogni caso, le risorse messe a
disposizione del DPO dovranno essere commisurate alla complessità delle
operazioni di trattamento svolte dall’organizzazione (che potrebbe in
alcuni casi rendere necessaria la designazione di un “DPO team”). L’art. 38 del regolamento dispone che “il titolare del trattamento e il
responsabile del trattamento si assicurano che il responsabile della
protezione dei dati non riceva alcuna istruzione per quanto riguarda
l’esecuzione [dei suoi] compiti”.

Nelle Linee guida, il Gruppo di lavoro ha
chiarito che il DPO non può ricevere istruzioni dai propri superiori sui
risultati da raggiungere o sulla necessità di svolgere indagini o di
informare le autorità competenti.
Il regolamento dispone inoltre che il DPO non può essere rimosso o
penalizzato dal titolare o dal responsabile del trattamento per
l’adempimento dei propri compiti.

Il Gruppo di lavoro ha chiarito che il
divieto previsto dal regolamento si applica anche alle sanzioni indirette,
quali ad esempio la mancata o ritardata promozione e l’esclusione dai
benefit dei quali godono gli altri dipendenti.

Infine, il regolamento dispone che il titolare o il responsabile del
trattamento devono assicurarsi che i compiti e le funzioni del DPO non
diano adito a conflitti di interessi. Le Linee guida suggeriscono l’adozione
di procedure e regolamenti interni atti a prevenire l’insorgere di tali
conflitti.

(III) I COMPITI DEL DATA PROTECTION OFFICER

Ai sensi dell’art. 39 del regolamento, il DPO deve sorvegliare l’osservanza
della normativa europea e nazionale relativa alla protezione dei dati.

Le
Linee guida chiariscono tuttavia che è obbligo del titolare del trattamento
(e non del DPO) mettere in atto tutte le misure tecniche e organizzative
adeguate per garantire, ed essere in grado di dimostrare, che il
trattamento dei dati è effettuato conformemente alla normativa
applicabile.

Il Gruppo di lavoro raccomanda inoltre ai titolari del trattamento di
consultare il DPO in merito all’opportunità di effettuare una valutazione
7
d’impatto sulla protezione dei dati o di adottare misure tecniche o
organizzative per tutelare i diritti degli interessati. In caso di disaccordo
fra titolare del trattamento e DPO, sarebbe inoltre opportuno motivare
adeguatamente qualsiasi decisione che si discosti dalle indicazioni di
quest’ultimo.

Le Linee guida raccomandano inoltre al DPO di adottare un approccio
pragmatico, basato sull’individuazione dei rischi prioritari, e di prestare
particolare attenzione alla regolare tenuta del registro delle attività di
trattamento dei dati.

***

Il presente briefing non costituisce un parere legale. Per ulteriori
informazioni sul tema si invita a contattare l’Avv. Francesco Alongi
(falongi@dandria.com)

(1) Accessibili all’URL: http://ec.europa.eu/information_society/newsroom/image/document/2016- 51/wp243_en_40855.pdf. Il Gruppo di lavoro è un organismo istituito ai sensi dell’art. 29 della Direttiva 95/46/CE, a “carattere consultivo e indipendente”, composto da rappresentanti delle autorità di controllo degli Stati Membri, del Garante europeo della protezione dei dati e della Commissione europea.

(2) L’art. 9 del regolamento (Ue) n. 2016/679 fa riferimento ai “dati personali che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, nonché [i] dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona”.