Il Responsabile Protezione Dati personali (RPD), in inglese Data Privacy Officer (DPO), è una figura già presente in molti Paesi dell’UE e resa ufficiale in modo omogeneo dal Regolamento Europeo 2016/679 ed entrata in vigore il 25 maggio 2018.
Laddove necessario, un consulente esterno può assumere per i propri clienti il ruolo di DPO. È preferibile che questo risulti certificato rispetto alla norma UNI 11697 per le Professioni Privacy, secondo la circolare Accredia 3/2018, come DPO e come Manager Privacy.
Personalmente, per AJA Europe svolgo anche l’incarico di esaminatore di professionisti che vogliono certificare la loro professionalità nell’ambito della protezione dei dati personali.
Indice
È una figura prevista formalmente dal Regolamento Europeo, ed è un esperto di protezione dati personali, che coniuga quindi le competenze giuridiche con quelle tecnologiche e che è in grado pertanto di supervisionare il sistema informativo di un’azienda.
Molti titolari dovranno procedere all’individuazione, scelta e nomina di un DPO, pur non essendo possibile, soprattutto al momento, un elenco esaustivo di condizioni che rendono obbligatoria la nomina di tale figura, i criteri indicati dal Regolamento e ribaditi dalle linee guida del WP29 (a questa pagina vi è l’elenco delle linee adottate, mentre a questa pagina sono presenti i provvedimenti tradotti a cura del Garante) sono i seguenti:
È stato osservato dalle linee guida in tema di RPD/DPO che il concetto di “pubblica amministrazione” non è univoco, e che quindi va valutato caso per caso, ci si può aspettare un provvedimento specifico dell’Autorità Garante entro il 25 maggio 2018. In ogni caso si è chiarito che il concetto di pubblica amministrazione possa anche comprendere soggetti che esercitano un “pubblico potere” o un “pubblico servizio”. Direi che, al momento, questo rende necessaria l’adozione di un DPO/RPD anche da parte di quelle società che operano in concessione dei pubblici servizi e/o il cui capitale sociale è detenuto da pubbliche amministrazioni locali.
Questo è purtroppo un concetto non chiaramente definito né dal Regolamento né dalle Autorità di controllo, né dal WP29; quest’ultimo ha comunque adottato delle linee guida nelle quali si cerca di definire il concetto ribadendo tuttavia che, caso per caso, è necessario esaminare la questione con attenzione.
Tuttavia sono stati fatti alcuni esempi che possono essere usati come chiave di interpretazione:
Il WP29 ritiene che tutte le attività di profilazione, digitale o meno, comportano un monitoraggio. Perché questo sia “regolare e sistematico” basta che sia scandito nel tempo e che operi per sistema nell’ambito di una strategia o attraverso metodi predefiniti.
Informa e fornisce consulenza al titolare del trattamento, “sorveglia l’osservanza […] del regolamento”, fornisce un parere sulla valutazione d’impatto privacy (redatta quindi da terzi), è soggetto intermedio tra l’Autorità di Controllo (il Garante Privacy) e il titolare dei trattamenti, ed è un soggetto pubblicamente indicato per tutti gli interessati che abbiano questioni da porre.
In altre parole è un soggetto la cui posizione è simile a quella del presidente del collegio Sindacale: verifica le attività svolte dall’Azienda, ma non sempre in favore dell’azienda e ha il compito di rilevare ogni inadempimento delle norme.
Questo è massimamente evidenziato dal fatto che, in caso di omessa vigilanza potrà essere sanzionato personalmente.
In molti casi è salutare che sia un soggetto esterno, tutte quelle volte che l’organizzazione del titolare non è così sviluppata e vasta da rendere agevole l’inserimento di una figura di questo tipo.
Inoltre si deve tenere conto che quando il RPD è un dipendente gli deve essere garantita:
Inoltre, essendo una figura obbligatoria, le sue dimissioni sono ricevibili (o efficaci) solo quando un sostituto si sia insediato.
Per questo, in molti casi sto consigliando ai miei clienti di selezionare un soggetto esterno. L’avvertenza è che, tuttavia, l’RPD spesso non può essere anche consulente del titolare per tutte le questioni per le quali deve effettuare un controllo.
Può sembrare astruso, ma è facile da comprendere se si torna al paragone dei sindaci di una società di capitali: il sindaco fornisce parere sull’amministrazione, e quindi fa anche consulenza, quando richiesto, sul migliore modo di adempiere agli obblighi, ma non potrà mai occuparsi direttamente di amministrazione.
La domanda inizia ad essere posta in diversi ambiti ed è da un lato estremamente ingannevole e dall’altro è troppo sintetica per essere completa e corretta. Il RPD è, quando un soggetto esterno (cfr. il paragrafo precedente), un professionista (o una società) ed è quindi a tutti gli effetti un consulente della società.
Tuttavia, sia il regolamento che le linee guida già citate, esplicitamente dicono che una delle importanti caratteristiche che il DPO deve avere è quella dell’indipendenza, in modo da evitare che scattino dei conflitti di interesse. Pertanto, quando il consulente assume il ruolo di RPD non potrà più svolgere la funzione di assistenza o persino surrogazione dell’Azienda per le questioni concernenti la protezione dei dati personali, perché se continuasse a svolgere questa attività come potrebbe poi, svolgere il compito di sorveglianza del titolare?
Il RPD è una figura di controllo, ha il compito di dirigere o chiedere attività di audit sul sistema di protezione dei dati personali, e, come è noto, questa attività non è conciliabile con quella di assistenza alle decisioni del titolare, soprattutto quando, come già si è detto, dati gli aspetti tecnici della norma l’assistenza comprende anche l’indirizzamento verso la scelta migliore.
Se il DPO non fosse più indipendente la sua nomina sarebbe invalida e questo potrebbe comportare una sanzione amministrativa che, ad oggi, potrebbe essere sino a dieci milioni di euro o sino al 2% del fatturato del titolare.
