La corretta nomina del DPO: controlli in arrivo

L’European Data Protection Board ha annunciato che la sua seconda azione coordinata di controllo dell’applicazione del GDPR verterà sulla corretta nomina del DPO: i Garanti europei concentreranno la propria attività di monitoraggio sull’avvenuta nomina di tale figura da parte dei titolari tenuti alla stessa, nonché sulla corretta individuazione della persona che deve ricoprire l’incarico.

Chi è e cosa fa il DPO?

Il responsabile per la protezione dei dati, chiamato abitualmente “DPO” – dall’inglese data protection officer, viene descritto dal considerando 97 del GDPR come un soggetto:

i. dotato di una conoscenza specialistica della normativa e delle pratiche in materia di protezione dei dati, il cui livello dovrebbe essere determinato in base ai trattamenti oggetto dell’incarico;

ii. indipendente nell’esercizio delle proprie funzioni, a prescindere che sia dipendente o meno del titolare.

Come chiarito nelle “Linee-guida sui responsabili della protezione dei dati (RPD)” del Gruppo di lavoro Articolo 29[1], il DPO non risponde delle violazioni del GDPR da parte del titolare, il quale deve assicurare al DPO l’autonomia e le risorse sufficienti a svolgere efficacemente i propri compiti.

Il ruolo di controllo interno svolto dal DPO si concretizza sostanzialmente:

– nella raccolta di informazioni per individuare i trattamenti effettuati dal titolare;

– nell’analisi e la verifica della conformità dei trattamenti;

– nell’attività di informazione, consulenza e indirizzo nei confronti del titolare.

Oltre a diversi altri compiti specifici citati dalle Linee guida menzionate, tra i quali, ad esempio, l’assistenza nella redazione del registro dei trattamenti o nello svolgimento della valutazione d’impatto, il DPO deve fungere da punto di contatto tra il titolare e l’autorità di controllo, cooperando con quest’ultima per agevolare lo svolgimento di eventuali controlli, ed in generale per qualsiasi altra necessità dettata dalla normativa.

Quando è obbligatoria la nomina del DPO?

Ai sensi dell’art. 37 del GDPR, la designazione di un DPO è obbligatoria:

a. se il trattamento è svolto da un’autorità pubblica o da un organismo pubblico;

b. se le attività principali del titolare o del responsabile consistono in trattamenti che richiedono il monitoraggio regolare e sistematico di interessati su larga scala;

c. oppure se le attività principali del titolare o del responsabile consistono nel trattamento su larga scala di categorie particolari di dati o di dati personali relativi a condanne penali e reati.

Con riguardo ai concetti di “larga scala” o “monitoraggio”, la cui precisa definizione è fondamentale al fine di capire se la propria azienda deve nominare un DPO, si rimanda ai chiarimenti contenuti nelle Linee guida. È bene sottolineare come il Gruppo Articolo 29 raccomanda la nomina del DPO anche quando non obbligatoria. Comunque, salvo i casi in cui sia palese la non sussistenza dell’obbligo, è opportuno procedere ad un’attenta valutazione circa l’applicazione dell’obbligo.

L’annuncio dell’EDPB e l’azione del Garante: quali prospettive?

Lo scorso 12 settembre l’European Data Protection Board ha annunciato che la sua seconda azione coordinata di controllo, dopo la prima incentrata sui servizi cloud-based nel settore pubblico, avrà ad oggetto la figura del DPO: le autorità di controllo degli Stati Membri svolgeranno investigazioni circa il rispetto dei requisiti di nomina dei DPO e inerenti la posizione degli stessi, con l’obiettivo di sensibilizzare i titolari del trattamento circa l’importanza di questa figura e il grado di implementazione delle norme regolatrici della stessa nel territorio comunitario.

È prevedibile, dunque, che anche il Garante italiano intensifichi molto la propria attività di controllo sui DPO, non limitandosi a verificare l’avvenuta nomina degli stessi, come già è solito fare principalmente in occasione di procedimenti aventi ad oggetto altri aspetti[2], ma valutando altresì l’adeguatezza del ruolo e della posizione del DPO nell’organizzazione aziendale, comminando sanzioni a chi non ha rispettato le previsioni del GDPR.

Cosa fare?

Alla luce delle recenti evoluzioni, è necessario che tutte le aziende si pongano le seguenti domande:

> è obbligatorio nominare il DPO? Se sì, la nomina è stata eseguita rispettando tutte le relative formalità (es. comunicazione al Garante)?

> la persona nominata DPO possiede i requisiti professionali richiesti? Se scelta tra il personale aziendale, svolge altri compiti e funzioni tali da dare adito ad un conflitto di interessi?

> il DPO ha gli strumenti necessari per svolgere al meglio le proprie funzioni?

Un’approfondita risposta a questi quesiti è un passaggio inevitabile al fine di rispettare gli artt. 37, 38 e 39 del GDPR e a non farsi trovare impreparati in un eventuale controllo del Garante Privacy.

Lo Studio è a disposizione per qualsiasi chiarimento ed eventuale necessità di assistenza

[1] Soggetto che ha preceduto l’EDPB nell’interpretazione del regolamento europeo e nel coordinamento delle autorità di controllo nazionali. Testo delle linee guida e altri approfondimenti: https://www.garanteprivacy.it/regolamentoue/rpd#LINEE

[2] Si citano a titolo esemplificativo: ordinanze di ingiunzione del’11 febbraio 2021 (n. 9556625) e del 28 aprile (n. 9777996) contro soggetti pubblici, ordinanza di ingiunzione nei confronti del 10 giugno 2021 (n. 96754) nei confronti di una grande società privata.