Se sei una pubblica amministrazione o un privato che tratta una quantità consistente di dati personali sei obbligato a nominare un consulente esperto di privacy, il DPO. Vediamo quali sono le sue funzioni e le sanzioni per chi non lo nomina.
- Chi è il Data protection officer?
Il Data protection officer (DPO) è una nuova figura introdotta dal Regolamento UE 2016/679.
Tale figura, seppure con diversi profili, era già esistente in alcuni ordinamenti pre-GDPR, si pensi a quelli anglosassoni in cui erano da anni esistenti le figure del Chief Privacy Officer (CPO), Privacy Officer e Data Security Officer.
Il DPO è, inoltre, l’evoluzione del “privacy officer”, già previsto dalla Direttiva europea 95/46 che consentiva di disporre esenzioni nell’eventualità in cui fosse designato un soggetto indipendente e idoneo a garantire la corretta attuazione delle norme in materia di protezione dei dati personali.
Ad oggi, il GDPR disciplina tale figura agli articoli 37 e seguenti.
Il DPO è uno specialista che ha il compito di occuparsi delle problematiche che possono scaturire dal trattamento dei dati personali.
Con tale figura viene attribuito ad un consulente il compito di occuparsi di tutti gli aspetti che attengono alla protezione dei dati personali in ragione delle proprie competenze.
La designazione del DPO rispecchia l’intento responsabilizzante proprio del Regolamento UE.
Pertanto, il responsabile della protezione dei dati deve avere un’adeguata conoscenza di tutte le normative e le pratiche di gestione dei dati personali e, soprattutto, deve svolgere i propri compiti in modo completamente autonomo e indipendente, senza conflitti di interesse.
Circa le competenze proprie del DPO, il TAR per il Friuli-Venezia Giulia, con la sentenza n. 287/2018 del 13 settembre 2018, ha precisato che il profilo “non può che qualificarsi come eminentemente giuridico”.
Invero, il Tribunale ha rilevato che oggetto dell’incarico di DPO non è costituito dalla predisposizione dei meccanismi volti ad incrementare i livelli di efficienza e di sicurezza nella gestione delle informazioni ma attiene alla tutela del diritto fondamentale dell’individuo alla protezione dei dati personali indipendentemente dalle modalità della loro propagazione e dalle forme, ancorché lecite, di utilizzo.
Ne deriva che, come previsto dal Tribunale, il responsabile per la protezione dei dati personali deve principalmente avere delle competenze giuridiche approfondite e dimostrabili.
Il consulente, infatti, deve poter offrire, con il grado di professionalità adeguato alla complessità del compito da svolgere, la consulenza necessaria per progettare, verificare e mantenere un sistema di gestione dei dati personali, coadiuvando il titolare o il responsabile del trattamento nell’adozione di un complesso di misure organizzative (anche di sicurezza) e garanzie adeguate al contesto in cui è chiamato a operare[1].
-
Quando è necessario nominare il DPO?
Ai sensi dell’art. 37 cit. saranno il titolare del trattamento o il responsabile dello stesso a dover nominare il DPO e a comunicare, successivamente, il conferimento dell’incarico all’Autorità di controllo nazionale.
Inoltre, dovranno essere pubblicati i dati del DPO, al fine di permettere ai soggetti interessati e alle autorità di controllo di contattare facilmente il consulente senza necessariamente passare per il titolare o il responsabile del trattamento.
Tanto premesso, è necessario rilevare quando la designazione del DPO è da considerarsi obbligatoria.
In particolare, le ipotesi in cui la nomina è obbligatoria sono le seguenti:
- se il trattamento è effettuato da un’autorità pubblica o da un organismo pubblico;
- se le attività principali del titolare del trattamento o del responsabile del trattamento consistono in trattamenti che richiedono il monitoraggio regolare e sistematico di interessati su larga scala;
- se le attività principali del titolare del trattamento o del responsabile del trattamento consistono nel trattamento su larga scala di categorie particolari di dati o di dati personali relativi a condanne penali e reati.
Più segnatamente, secondo quanto chiarito dall’Autorità Garante nelle “Faq sul Responsabile della Protezione dei Dati (RPD) in ambito privato”, pubblicate sul sito dell’Autorità, sono tenuti alla nomina di tale figura, a titolo esemplificativo e non esaustivo: “concessionari di servizi pubblici (trasporto pubblico locale, raccolta dei rifiuti, gestione dei servizi idrici ecc.), istituti di credito; imprese assicurative; sistemi di informazione creditizia; società finanziarie; società di informazioni commerciali; società di revisione contabile; società di recupero crediti; istituti di vigilanza; partiti e movimenti politici; sindacati; caf e patronati; società operanti nel settore delle utilities (telecomunicazioni, distribuzione di energia elettrica o gas, ecc.); imprese di somministrazione di lavoro e ricerca del personale; società operanti nel settore della cura della salute, della prevenzione/diagnostica sanitaria quali ospedali privati, terme, laboratori di analisi mediche e centri di riabilitazione; società di call center; società che forniscono servizi informatici; società che erogano servizi televisivi a pagamento”.
Inoltre, il Gruppo di lavoro “Articolo 29” incoraggia alla designazione di un Responsabile per la protezione dei dati personali anche ove tale nomina non è obbligatoria.
Circa, invece, i soggetti pubblici, come previsto dall’Autorità nelle “Faq sul Responsabile della Protezione dei dati (RPD) in ambito pubblico”[2], devono ritenersi tenuti alla designazione di un DPO a titolo meramente esemplificativo e non esaustivo: “le amministrazioni dello Stato, anche con ordinamento autonomo, gli enti pubblici non economici nazionali, regionali e locali, le Regioni e gli enti locali, le università, le Camere di commercio, industria, artigianato e agricoltura, le aziende del Servizio sanitario nazionale, le autorità indipendenti ecc”.
-
Che sanzioni rischia chi non nomina il DPO?
Come fin qui esposto, la nomina del DPO è obbligatoria e pertanto la mancata designazione di tale consulente determina l’irrogazione di sanzioni che possono andare fino a 10 milioni di euro o il 2% del volume d’affari annuale, ai sensi di quanto previsto dall’art. 83 co. 4 lett. a) del GDPR.
-
La sanzione inflitta dall’Autorità Garante spagnola.
La mancata nomina del DPO comporta, dunque, l’irrogazione di sanzioni particolarmente elevate. Più segnatamente, un provvedimento sanzionatorio di particolare rilievo è stato disposto dall’Autorità Garante spagnola nei confronti di una società di consegne a domicilio. Il particolare la nota società, titolare di una delle App di delivery più scaricate, non aveva nominato un responsabile per la protezione dei dati personali nonostante, data la tipologia di affari svolti, si trovasse quotidianamente a trattare numerose tipologie di dati personali: abitudini di consumo dei clienti nonché allergie ed intolleranze alimentari, geo-localizzazione dei fattorini e degli utenti stessi. Date le moltissime segnalazioni, l’Autorità spagnola ha chiesto chiarimenti alla Società, la quale ha ritenuto di non rientrare tra i soggetti che, ai sensi dell’art. 37 GDPR, sono tenuti alla nomina del DPO. Nonostante tale difesa la Società ha successivamente nominato il responsabile per la protezione dei dati personali, non riuscendo però a sottrarsi all’applicazione di una sanzione: invero, l’Autorità spagnola per la protezione dei dati personali ha inflitto alla Società una sanzione pari a 25mila euro.
Marta Strazzullo
[1] Cfr. “Faq sul Responsabile della Protezione dei Dati (RPD) in ambito privato” consultabili al seguente link: https://www.garanteprivacy.it/faq-sul-responsabile-della-protezione-dei-dati-rpd-in-ambito-privato
[2] Le faq sono consultabili al seguente link: https://www.garanteprivacy.it/faq-sul-responsabile-della-protezione-dei-dati-rpd-in-ambito-pubblico
