• informazioni@maragines.com

DPO- RPD: il Responsabile Protezione Dati personali

DPO- RPD: il Responsabile Protezione Dati personali

Mi occupo anche delle questioni relative al Responsabile Protezione Dati personali (RPD), in inglese Data Privacy Officer (DPO). È questa una figura già presente in molti Paesi dell’UE e resa ufficiale in modo omogeneo dal Regolamento Europeo 2016/679 che entrerà in vigore il 25 maggio 2018. 

In alcuni casi posso anche assumere per i miei clienti il ruolo di RPD, ho una lunga esperienza di lavoro sul tema e sono uno dei pochi professionisti in Italia ad essere certificato rispetto alla norma UNI 11697 per le Professioni Privacy, secondo la circolare Accredia 3/2018, come DPO e come Manager Privacy.

Per AJA Europe, svolgo anche l’incarico di esaminatore di professionisti che vogliono certificare la loro professionalità nell’ambito della protezione dei dati personali.   

Chi è il DPO/RPD?

È una figura prevista formalmente dal Regolamento Europeo, ed è un esperto di protezione dati personali, che coniuga quindi le competenze giuridiche con quelle tecnologiche e che è in grado pertanto di supervisionare il sistema informativo di un’azienda. 

Chi dovrà avere un RPD/DPO?

Molti titolari dovranno procedere all’individuazione, scelta e nomina di un DPO, pur non essendo possibile, soprattutto al momento, un elenco esaustivo di condizioni che rendono obbligatoria la nomina di tale figura, i criteri indicati dal Regolamento e ribaditi dalle linee guida del WP29 (a questa pagina vi è l’elenco delle linee adottate, mentre a questa pagina sono presenti i provvedimenti tradotti a cura del Garante) sono i seguenti:

  • Organismi pubblici e pubbliche autorità
  • Titolari che tra le proprie attività compiono, su larga scala, il monitoraggio regolare e sistematico di interessati
  • Titolari che tra le proprie attività effettuano, su larga scala, il trattamento di “categorie particolari di dati” (essenzialmente i dati un tempo definiti “sensibili”) e i dati relativi a condanne penali

Pubbliche autorità e pubblici poteri

È stato osservato dalle linee guida in tema di RPD/DPO che il concetto di “pubblica amministrazione” non è univoco, e che quindi va valutato caso per caso, ci si può aspettare un provvedimento specifico dell’Autorità Garante entro il 25 maggio 2018. In ogni caso si è chiarito che il concetto di pubblica amministrazione possa anche comprendere soggetti che esercitano un “pubblico potere” o un “pubblico servizio”. Direi che, al momento, questo rende necessaria l’adozione di un DPO/RPD anche da parte di quelle società che operano in concessione dei pubblici servizi e/o il cui capitale sociale è detenuto da pubbliche amministrazioni locali.

Cosa si intende con “su larga scala”?

Questo è purtroppo un concetto non chiaramente definito né dal Regolamento né dalle Autorità di controllo, né dal WP29; quest’ultimo ha comunque adottato delle linee guida nelle quali si cerca di definire il concetto ribadendo tuttavia che, caso per caso, è necessario esaminare la questione con attenzione. 

Tuttavia sono stati fatti alcuni esempi che possono essere usati come chiave di interpretazione:

  • Gli ospedali e le strutture sanitarie effettuano trattamenti “su larga scala”;
  • Le aziende che effettuano servizi di trasporto al pubblico compiono trattamenti “su larga scala”;
  • Le attività di geolocalizzazione rivolte al pubblico, sono da considerare un trattamento “su larga scala”;
  • Banche e assicurazioni compiono operazioni di trattamento su “larga scala”;
  • Le compagnie che offrono servizi telematici e telefonici compiono trattamenti su “larga scala”;
  • Sembra di potersi dedurre inoltre che, uno studio legale e uno studio medico possano spesso essere classificati come titolari che compiono trattamenti “su larga scala”, almeno quando operano non come singoli professionisti che poco o niente condividono se non i locali in cui esercitano la loro attività professionale, ma quando invece operano coordinando le proprie attività. Si pensi ad esempio allo studio medico dove le informazioni sanitarie vengono di volta in volta scambiate ed integrate, e agli studi legali che, lavorando in squadra, condividono ogni informazioni circa i propri assistiti.

Cosa si intende con “monitoraggio regolare e sistematico”?

Il WP29 ritiene che tutte le attività di profilazione, digitale o meno, comportano un monitoraggio. Perché questo sia “regolare e sistematico” basta che sia scandito nel tempo e che operi per sistema nell’ambito di una strategia o attraverso metodi predefiniti.

Cosa fa un RPD/PDO?

Informa e fornisce consulenza al titolare del trattamento, “sorveglia l’osservanza […] del regolamento”, fornisce un parere sulla valutazione d’impatto privacy (redatta quindi da terzi), è soggetto intermedio tra l’Autorità di Controllo (il Garante Privacy) e il titolare dei trattamenti, ed è un soggetto pubblicamente indicato per tutti gli interessati che abbiano questioni da porre.

In altre parole è un soggetto la cui posizione è simile a quella del presidente del collegio Sindacale: verifica le attività svolte dall’Azienda, ma non sempre in favore dell’azienda e ha il compito di rilevare ogni inadempimento delle norme.

Questo è massimamente evidenziato dal fatto che, in caso di omessa vigilanza potrà essere sanzionato personalmente.

Può essere un soggetto esterno?

In molti casi è salutare che sia un soggetto esterno, tutte quelle volte che l’organizzazione del titolare non è così sviluppata e vasta da rendere agevole l’inserimento di una figura di questo tipo. 

Inoltre si deve tenere conto che quando il RPD è un dipendente gli deve essere garantita:

  • una formazione continua a regolare;
  • un costante avanzamento di carriera.

Inoltre, essendo una figura obbligatoria, le sue dimissioni sono ricevibili (o efficaci) solo quando un sostituto si sia insediato. 

Per questo, in molti casi sto consigliando ai miei clienti di selezionare un soggetto esterno. L’avvertenza è che, tuttavia, l’RPD spesso non può essere anche consulente del titolare  per tutte le questioni per le quali deve effettuare un controllo. 

Può sembrare astruso, ma è facile da comprendere se si torna al paragone dei sindaci di una società di capitali: il sindaco fornisce parere sull’amministrazione, e quindi fa anche consulenza, quando richiesto, sul migliore modo di adempiere agli obblighi, ma non potrà mai occuparsi direttamente di amministrazione.

Può essere un consulente del titolare?

La domanda inizia ad essere posta in diversi ambiti ed è da un lato estremamente ingannevole e dall’altro è troppo sintetica per essere completa e corretta. Il RPD è, quando un soggetto esterno (cfr. il paragrafo precedente), un professionista (o una società) ed è quindi a tutti gli effetti un consulente della società. 

Tuttavia, sia il regolamento che le linee guida già citate, esplicitamente dicono che una delle importanti caratteristiche che il DPO deve avere è quella dell’indipendenza, in modo da evitare che scattino dei conflitti di interesse. Pertanto, quando il consulente assume il ruolo di RPD non potrà più svolgere la funzione di assistenza o persino surrogazione dell’Azienda per le questioni concernenti la protezione dei dati personali, perché se continuasse a svolgere questa attività come potrebbe poi, svolgere il compito di sorveglianza del titolare?

Il RPD è una figura di controllo, ha il compito di dirigere o chiedere attività di audit sul sistema di protezione dei dati personali, e, come è noto, questa attività non è conciliabile con quella di assistenza alle decisioni del titolare, soprattutto quando, come già si è detto, dati gli aspetti tecnici della norma l’assistenza comprende anche l’indirizzamento verso la scelta migliore. 

Se il DPO non fosse più indipendente la sua nomina sarebbe invalida e questo potrebbe comportare una sanzione amministrativa che, ad oggi, potrebbe essere sino a dieci milioni di euro o sino al 2% del fatturato del titolare.