Richiedi una consulenza in studio gratuita!

Il Responsabile per la protezione dei dati


Il DPO: la nuova figura introdotta dal Regolamento Europeo sulla Privacy
Il Responsabile per la protezione dei dati
La Sezione 4 (artt. 37,38 e 39) del Regolamento Europeo sulla Privacy 679/2016 (di seguito anche ‘RGDP’) disciplina la figura del Responsabile della Protezione dei Dati (di seguito anche ‘RDP’) definito pure con l’anglicismo ‘Data Protection Officer’, o ‘DPO’.
Analizziamo brevemente gli elementi caratterizzanti detta figura, riportandoci anche alle Linee Guida elaborate dal Gruppo di Lavoro sulla tutela delle persone fisiche con riguardo al trattamento dei dati personali (c.d. ‘Gruppo di Lavoro art. 29’, di seguito anche ‘WP29’) istituito dalla Direttiva 95/46/CE, linee adottate il 13/12/16 ed emendate il 5/4/17.
1) DESIGNAZIONE (art. 37)
La designazione del Responsabile, da parte del titolare e del responsabile del t., è obbligatoria se: a) il trattamento è svolto da un’autorità pubblica o da un organismo pubblico; b) le attività principali del titolare o del responsabile del trattamento consistono in t. che richiedono il monitoraggio regolare e sistematico di interessati su larga scala; c) le attività principali del titolare o del responsabile consistono nel t. su larga scala di categorie particolari di dati o di dati personali relativi a condanna penali e reati.
Le ‘categorie particolari’ di dati sono quelle previste dall’art. 9 comma 1, tra i quali si annoverano i ‘dati relativi alla salute’.
Riguardo alla ‘larga scala’ il Considerando 91 del Regolamento rileva che il t. su larga scala è quello che mira al t. di una notevole quantità di dati personali a livello regionale, nazionale o sovranazionale, che potrebbe incidere su un vasto numero di interessati e che potenzialmente presenta un rischio elevato
Gli enti sanitari pubblici o privati possono rientrare nella fattispecie sub c) e, pertanto, si può ben sostenere che, per essi, la nomina di un RPD sia obbligatoria (non a caso le su indicate linee guida, a titolo di esempio, fanno rientrare nel t. su larga scala quello di dati relativi a pazienti svolto da un ospedale nell’ambito delle ordinarie attività).
L’RPD "è designato in funzione delle qualità professionali, in particolare della conoscenza specialistica della normativa e della prassi in materia di protezione dei dati e della capacità di assolvere i compiti di cui all’articolo 39" (art. 37 c. 5).
Ciò significa che l’RPD non solo deve avere una conoscenza teorica della normativa in materia, ma dovrebbe anche aver maturato un’esperienza pratica nel settore.
Può essere nominato RPD un soggetto interno alla struttura od uno esterno in forza di un contratto di servizi.
Riguardo alla nomina interna, il Regolamento parla di ‘dipendente’ del titolare o del responsabile del t..
Nel caso in cui il t. sia effettuato da un’autorità o da un organismo pubblici, le ultime FAQ dell’Autorità Garante sul RPD in ambito pubblico del 15/12/17, qualora si opti per un Responsabile interno, consigliano che "la designazione sia conferita a un dirigente ovvero a un funzionario di alta professionalità, che possa svolgere le proprie funzioni in autonomia e indipendenza, nonché in collaborazione diretta con il vertice dell’organizzazione".
Tuttavia, nelle piccole e medie imprese private che non hanno un’estesa e complessa struttura organizzativa - considerati posizione e compiti del RPD, viste le osservazioni in proposito del WP 29 (per le quali potrebbero insorgere conflitti all’interno dell’organizzazione aziendale non solo tra RPD e ruoli apicali, quali Amministratore Delegato, responsabile operativo, responsabile sanitario, direttore risorse umane, responsabile IT, ecc, ma anche tra RPD e posizioni gerarchicamente inferiori ai vertici aziendali ) - è consigliabile la nomina a RPD di un soggetto esterno all’azienda o all’ente, per la ovvia ragione che: a) soggetti intranei apicali all’azienda potrebbero nutrire un (inconfessabile) interesse, anche economico, a non sorvegliare con il dovuto rigore l’osservanza del Regolamento o a dare un parere (troppo) ‘benigno’ in merito alla valutazione di impatto sulla protezione dei dati, mentre b) soggetti intranei non di vertice potrebbero ricevere dall’alto istruzioni o ‘consigli’ ‘inappropriati’ sull’esecuzione dei propri compiti di Responsabile o temere di essere penalizzati dal titolare del t. qualora svolgano in modo rigoroso i suddetti compiti.
A questo proposito si segnala quella che, ad avviso dello scrivente, è un’incongruenza del Regolamento: il quale, da un lato, ha elaborato la posizione del RPD quale quella di un soggetto necessariamente ‘terzo’ rispetto alla struttura aziendale (vedasi il Considerando 97 del Regolamento, per cui il Responsabile deve poter adempiere ai suoi compiti ed alle sue funzioni, in maniera indipendente) , ma, da un altro, prevedendo che RPD possa essere anche un ‘dipendente’ del titolare del t., finisce per mettere a rischio la sua ‘terzietà’, in quanto è arduo poter immaginare un dipendente al contempo ‘indipendente’.
I dati di contatto del RPD devono essere pubblicati e comunicati all’Autorità Garante da parte del titolare o del responsabile del t..
Come accade nell’ambito delle cosìdette "professioni non regolamentate", si sono diffuse delle forme di certificazione delle competenze del RPD rilasciate da enti certificatori. A parere delle su menzionate ultime FAQ dell’Autorità Garante "esse, pur rappresentando, al pari di altri titoli (come, si ritiene, la partecipazione a corsi formativi), un valido strumento ai fini del possesso di un livello minimo di conoscenza della disciplina, tuttavia non equivalgono, di per sé, a un a ‘abilitazione’ allo svolgimento del ruolo del RPD"
2) POSIZIONE (art. 38)
Il RPD deve essere tempestivamente ed adeguatamente coinvolto, dal titolare e dal responsabile del t., in tutte le questioni riguardanti la protezione dei dati.
Ciò significa che: a) l’RPD può fornire un parere sulla valutazione di impatto sui dati personali; b) l’RPD deve essere invitato a partecipare su base regolare alle riunioni manageriali di alto e medio livello aventi ad oggetto la protezione dei dati; c) il parere del RPD deve ricevere la dovuta considerazione e dovrebbero essere documentate le motivazioni che hanno portato a condotte difformi da quelle raccomandate dal Responsabile; d) l’RPD deve essere consultato tempestivamente in caso di violazione dei dati; in proposito, il WP 29 consiglia di mettere a punto linee guida che indichino i casi di consultazione obbligatoria del RPD.
L’RPD deve essere sostenuto - nell’esecuzione dei suoi compiti - dal titolare e dal responsabile del t.. Ciò vuol dire che questi devono fornire al Responsabile le necessarie risorse sia finanziarie che organizzative, devono offrirgli la possibilità di accedere ai dati personali ed ai trattamenti, nonché incoraggiarlo a partecipare a corsi formativi, convegni, seminari, al fine di mantenere la sua conoscenza specialistica.
Il titolare ed il responsabile del t. devono assicurare che l’RPD non riceva alcuna istruzione per l’esecuzione dei suoi compiti, quale, ad es., un’istruzione sull’interpretazione da dare ad una specifica questione attinente alla normativa sulla protezione dei dati. Tuttavia, anche in questo caso, l’organo apicale di una società o di un ente si asterrebbe davvero dall’offrire ad un RPD suo dipendente, se non un’istruzione precisa, quantomeno un caldo ‘consiglio’ su un’interpretazione meno rigorosa (e meno costosa) della normativa? E, se del caso, l’RPD dipendente avrebbe la forza di opporsi?
Correlativo al divieto di dare istruzioni, è il divieto di rimozione o penalizzazione del RPD per l’adempimento dei propri compiti.
Ciò, per un RPD interno, si traduce nel divieto di licenziamento, mancata o ritardata promozione, blocco della progressione di carriera, mancata concessione di incentivi rispetto ad altri dipendenti; o anche nel divieto di una semplice minaccia di penalizzazione.
Ma anche in tal caso, si ritiene che un Responsabile interno potrebbe subìre la pressione psicologica del rischio dell’inflizione di un’eventuale penalizzazione, qualora svolgesse rigorosamente il suo compito, senza tuttavia poter dimostrare che detta penalizzazione è stata adottata solo in virtù della sua condotta rigorosa nell’applicare il Regolamento.
Il RPD potrà comunque essere rimosso per ragioni diverse dall’adempimento dei propri compiti, come in caso di furto, appropriazione indebita, molestie sessuali o analoghe e gravi violazioni deontologiche e penali.
Inoltre il Regolamento prevede che l’RPD riferisca direttamente al ‘vertice gerarchico’ del titolare del t., ad es. per manifestare il proprio dissenso qualora il titolare o il responsabile del t. assumano decisioni incompatibili con il RGPD e con le indicazioni da lui fornite. Con il paradossale risultato che - se si opta per la nomina a RPD di un soggetto apicale appartenente al vertice societario (ad es. l’A.U. o il Direttore Generale in una s.r.l. di medio - piccole dimensioni) - il Responsabile dovrebbe riferire il proprio dissenso... a sé stesso (!).
L’RPD deve poter essere contattato dagli interessati per le questioni relative al trattamento dei loro dati personali ed all’esercizio dei loro diritti previsti dal RGPD. Il Responsabile è (ovviamente) altresì tenuto al segreto ed alla riservatezza nell’adempiere i suoi compiti.
L’RPD può svolgere altri compiti e funzioni (all’interno ed all’esterno dell’organizzazione aziendale). Tuttavia, poiché il titolare o il responsabile del t. devono assicurare che detti compiti e funzioni non diano adito ad un conflitto di interessi (perché l’assenza di conflitti di interessi è strettamente connessa agli obblighi di indipendenza) e, poiché, come visto, potrebbe verificarsi un conflitto di interessi riguardo a ruoli manageriali di vertice, se ne deduce che il Responsabile non possa al contempo rivestire un incarico di vertice nell’organizzazione aziendale proprio al fine di impedire il sorgere di un conflitto.
3) COMPITI (art. 39)
Compiti del RPD sono ‘almeno’ (ciò significa che nulla vieta al titolare del t. di assegnare al Responsabile compiti ulteriori) i seguenti.
A) Informare e fornire consulenza al titolare, al responsabile ed ai dipendenti che eseguono il t. sugli obblighi derivanti dal RGPD o da altre disposizioni dell’UE e degli Stati membri in ordine alla protezione dei dati.
B) Sorvegliare l’osservanza del RGPD (e di altre disposizioni comunitarie e statali sulla protezione dei dati) e delle politiche del titolare o del responsabile del t. in materia di protezione dati; i quali ultimi, nella loro attività di controllo del rispetto del Regolamento, dovrebbero essere assistiti dal Responsabile, ex Considerando 97 del RGPD.
Si sottolinea che, pur se l’RPD deve controllare il rispetto del Regolamento, lo stesso NON E’ RESPONSABILE in caso di sua inosservanza, ricadendo invece detta responsabilità in capo al titolare e al responsabile del t..
C) Se richiesto, fornire un parere al titolare del t. sulla valutazione di impatto sulla protezione dei dati (DPIA) e sorvegliarne lo svolgimento.
Il WP 29 raccomanda al titolare di consultarsi con il Responsabile sulle seguenti tematiche:
° se condurre o meno una DPIA;
° quale metodologia adottare nella conduzione della DPIA;
° se condurre la DPIA con le risorse interne o esternalizzarla;
° quale salvaguardie applicare al fine di attenuare i rischi per i diritti e le libertà degli interessati;
° se la DPIA sia stata condotta correttamente o meno e se le conclusioni adottate (procedere o meno con il t. e quali salvaguardie applicare) siano conformi al Regolamento.
Qualora il titolare non concordi con le indicazioni fornite dal Responsabile, è necessario che la DPIA riporti per iscritto le motivazioni per cui il titolare medesimo ha ritenuto di non conformarsi alle indicazioni del RPD.
D) Cooperare con l’Autorità Garante e fungere da punto di contatto con essa per questioni connesse al trattamento (tra cui la ‘consultazione preventiva’ di cui all’art. 36) e, se del caso, effettuare consultazioni relative a qualunque altra questione.
Secondo WP 29 il Responsabile deve fungere da punto di contatto con l’Autorità Garante per facilitare l’accesso da parte di quest’ultima a documenti ed informazioni necessari per l’adempimento dei suoi compiti di cui all’art. 57, nonché ai fini dell’esercizio dei suoi poteri di indagine, correttivi, autorizzativi e consultivi di cui all’art. 58.
Questo suo ruolo di ‘facilitatore’ dell’attività di indagine e correttiva dell’Autorità Garante (che potrebbe condurre, ad es., all’inflizione di sanzioni pecuniarie anche pesanti ai danni della società o dell’ente o al divieto di trattamento dei dati da parte di questi ultimi) è un’ulteriore motivo che milita in favore della scelta di un RPD esterno all’organizzazione aziendale, qualora si voglia rendere credibile una sua ‘terzietà’.
Il Responsabile, nell’esecuzione dei propri compiti, deve considerare debitamente i rischi inerenti al t., tenuto conto della natura, ambito di applicazione, contesto e finalità dello stesso.
Ad avviso di WP 29, si chiede al RPD di definire un ordine di priorità nell’attività svolta e di concentrarsi sulle questioni che presentino i maggiori rischi in termini di protezione dei dati. In sostanza, la disposizione regolamentare segnale l’opportunità di dedicare attenzione prioritaria agli ambiti che presentino rischi più elevati.
Infine, si osserva che l’art. 30 prevede che il Registro delle attività di trattamento sia tenuto dal titolare e, ove possibile, da un suo rappresentante.
Tuttavia, secondo WP 29, poiché l’art. 39 contiene un elenco non esaustivo dei compiti affidati al RPD, nulla vieterebbe al titolare del t. di affidare il compito di tenere il Registro al Responsabile, pur sotto la responsabilità del titolare medesimo. Con ciò seguendo quella che WP 29 definisce "una prassi consolidata e fondata sulle disposizioni di numerose leggi nazionali, nonché sulla normativa in materia di protezione dati applicabile alle istituzioni e agli organismi dell’UE" (v. art. 24 par.1 lett.D del Regolamento (CE) 45/2001).



Articolo del:



L'autore dell'articolo non è nella tua città?

Cerca un professionista con le stesse caratteristiche a te più vicino.

Cerca nella tua città o in una città di tuo interesse

Altri articoli del professionista

Riforma Orlando: la nuova impugnazione penale

La nuova forma dell'impugnazione. Il ritorno del 'concordato' in Appello. E l'imputato non può più ricorrere personalmente in Cassazione

Continua

Riforma Orlando e processo penale

Le sentenze di non luogo a procedere ora sono di nuovo appellabili. E sono state introdotte novità in tema di riti speciali

Continua

Il Regolamento europeo sulla privacy

Il Regolamento, che sostituisce l'attuale 'Codice della Privacy', sarà operativo dal 25 maggio 2018

Continua

Un nuovo esempio di 'populismo giudiziario'

Il reato di STALKING non potrà più essere estinto all'esito delle condotte riparatorie

Continua

L'equo compenso garantisce i professionisti?

La legge introduce l'equo compenso, ma non lo pone al riparo dalle clausole vessatorie

Continua

La legge sul c.d. 'Whistleblowing'

E' in vigore la legge che tutela il dipendente pubblico e privato che segnali illeciti

Continua

Le SS.UU. decidono sulla colpa medica

Le Sezioni Unite della Cassazione Penale dirimono un contrasto giurisprudenziale sull'ambito applicativo della non punibilità

Continua

Struttura sanitaria e responsabilità civile

L'ultimo arresto della S.C. in tema di responsabilità della struttura sanitaria per fatto di terzi

Continua

DDL Lorenzin e riforme in ambito sanitario

Il D.D.L. Lorenzin, definitivamente approvato dal Senato il dicembre scorso, ha introdotto rilevanti novità in ambito sanitario

Continua

Intercettazioni, un nuovo reato (art. 617 septies c.p.)

Il nuovo D.Lgs.vo in tema di intercettazioni ha introdotto il reato di diffusione di riprese e registrazioni fraudolente

Continua

Privacy e profilazione in ambito penale

Il pericolo di creare in avvenire delle categorie di 'cattivi cittadini'

Continua

Responsabilità psichiatrica

La responsabilità dello psichiatra e della struttura sanitaria nel difficile equilibrio tra rispetto della libertà e protezione di pazienti e terzi

Continua