Data protection officer: chi è e quali sono le sue mansioni?

In azienda e nella pubblica amministrazione il data protection officer avrà un importante ruolo per il trattamento di dati personali e la loro protezione, fungendo da garante per il rispetto delle normative in materia e da interlocutore diretto per le autorità di controllo e gli interessati. Negli Stati Uniti esiste dagli anni ’90 e in almeno quindici nazioni della ‘vecchia’ Europa era già disciplinato da tempo. Solo In Italia, tuttavia, mancavano ancora riferimenti normativi certi per il data protection officer, figura professionale che, nell’era dei big data e delle informazioni personali e sensibili riguardanti i clienti detenute dall’azienda in misura sempre maggiore, è oramai divenuta indispensabile. Come sottolineava nel 2015 il Garante per la privacy Antonello Soro, del resto, è indispensabile «spostare sulle singole imprese e pubbliche amministrazioni un supplemento di responsabilità in tema di protezione dei dati personali: significa iniziare a tutelare meglio i propri interessi di azienda e quelli dei cittadini». Per questo, gli faceva eco nello stesso anno Nicola Bernardi, presidente di Federprivacy (associazione professionale iscritta ai registri del ministero dello Sviluppo Economico come rappresentate dei liberi professionisti che si occupano di privacy, ndr), «il privacy officer è ormai una figura indispensabile per tutte le aziende che devono affrontare la sfida dell’economia digitale e rimanere competitive nel mercato».

Finalmente a sistematizzare la presenza degli “agenti della privacy”, non solo in Italia ma nell’ambito dell’intera Unione Europea, è stato il nuovo Regolamento europeo sulla protezione dei dati (GDPR). Il GDPR – che però entrerà in vigore il 25 maggio 2018 – tra le altre novità, ha infatti positivizzato la figura del data protection officer, professione che nella versione italiana è stata tradotta come “responsabile della protezione dei dati” (art. 38 e ss.).

Il data protection officer, infatti, dovrà essere coinvolto in tutte le questioni che riguardano il trattamento e la protezione dei dati e dovrà disporre delle risorse, economiche e tecniche, adeguate per l’assolvimento dei compiti attribuitigli, rispetto ai quali è comunque tenuto all’obbligo del segreto e ad un dovere di prevenzione di eventuali situazioni di conflitto d’interessi.

Particolarmente importante poi è la posizione di indipendenza e imparzialità che il Regolamento intende assicurare al professionista in seno all’azienda. Al comma III dell’art. 38, infatti, esplicitamente si prevede che «il titolare del trattamento e il responsabile del trattamento si assicurano che il responsabile della protezione dei dati non riceva alcuna istruzione per quanto riguarda l’esecuzione di tali compiti. Il responsabile della protezione dei dati non è rimosso o penalizzato dal titolare del trattamento o dal responsabile del trattamento per l’adempimento dei propri compiti». Con riferimento specifico ai compiti che gli sono attribuiti, il data protection officer è anzitutto chiamato ad una attività di consulenza, essendo chiamato ad informare il titolare del trattamento o il responsabile del trattamento nonché i dipendenti che eseguono il trattamento in merito agli obblighi derivanti dalle previsioni di legge, sia interne che comunitarie, in materia di privacy. Nel caso gli venga richiesto, poi, è tenuto a fornire un parere sulla valutazione d’impatto sulla protezione dei dati.

Il professionista, poi, è anche tenuto a vigilare sul rispetto del Regolamento e delle altre norme relative alla tutela dei dati personali, collaborando ovviamente con le autorità di vigilanza.

Al fine di agevolare la possibilità per gli interessati di contattare il data protection officer per ogni esigenza relativa al trattamento dei dati personali, è poi previsto che, fin dal momento della raccolta dei dati, il responsabile del trattamento fornisca gli estremi di contatto del responsabile della protezione (artt. 13 e 14).

In quali casi è prevista la designazione del data protection officer?

Secondo quanto prevede l’art. 37, anzitutto ciò è obbligatorio nel caso in cui il trattamento dei dati sia effettuato dai un soggetto pubblico, con la sola eccezione delle autorità che esercitano funzioni giurisdizionali.

Nel caso di soggetti privati, invece, due sono le ipotesi in cui il nuovo ruolo è obbligatorio:

1. se si tratta di imprese che «per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala»;
2. se si tratta di imprese che effettuano, sempre su larga scala, il trattamento di categorie particolari di dati personali (origine razziale o etnica, opinioni politiche, convinzioni religiose o filosofiche, appartenenza sindacale nonché dati genetici, dati biometrici univoci, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale) oppure relativi a condanne penali. Sono state superate in sede di approvazione definitiva, quindi, le soluzioni prospettate inizialmente, secondo cui i privati sarebbero stati tenuti alla nomina del responsabile della protezione nel caso di trattamento dei dati personali di più di 5mila interessati per almeno 12 mesi consecutivi o di trattamenti che avessero richiesto il controllo regolare e sistematico degli stessi dati.

Un dato, tuttavia, non va dimenticato: il Regolamento detta delle norme minime, facendo quindi salve le eventuali legislazioni nazionali che, in via più stringente, prevedessero l’obbligatorietà della nomina del data protection officer anche in altre ipotesi.

Il responsabile della protezione dei dati può poi essere un dipendente del titolare del trattamento o del responsabile del trattamento oppure assolvere i suoi compiti in base a un contratto di servizi. In ogni caso, tuttavia, sarà obbligatoria la pubblicazione dei dati di contatto del responsabile della protezione dei dati e la loro comunicazione all’autorità di controllo.

Quali, comunque, i requisiti di questo specialista della riservatezza? Competenze informatiche e giuridiche, indubbiamente. Significativa, in questo senso, la possibilità di ottenere dalle associazioni professionali, secondo le previsioni della legge 4 del 2003, una certificazione che attesti proprio il possesso dei requisiti indispensabili per un affidabile professionista della data protection.

LE PRIME INDICAZIONI DEL GARANTE PRIVACY

Sul punto specifico relativo alla funzione delle certificazioni, tuttavia, è da ultimo intervenuto il Garante Privacy con una nota inviata a un’azienda ospedaliera che chiedeva lumi sulla questione. L’Authority, allora, precisa e ribadisce anzitutto come il data protection officer dovrà possedere «un’approfondita conoscenza della normativa e delle prassi in materia di privacy, nonché delle norme e delle procedure amministrative che caratterizzano lo specifico settore di riferimento».

Chiaramente, nella selezione del soggetto cui affidare l’incarico, sarà poi opportuno privilegiare chi possa dimostrare «qualità professionali adeguate alla complessità del compito da svolgere, magari documentando le esperienze fatte, la partecipazione a master e corsi di studio/professionali (in particolare se risulta documentato il livello raggiunto)». Ad esempio, per individuare il data protection officer di una azienda ospedaliera sarà opportuno verificare che gli aspiranti candidati abbiano una perfetta conoscenza della peculiarità della tipologia di trattamento dei dati personali effettuati nel settore, considerato il carattere particolarmente sensibile degli stessi. Tuttavia, l’Autorità ha inoltre chiarito che «la normativa attuale non prevede l’obbligo per i candidati di possedere attestati formali delle competenze professionali. Tali attestati, rilasciati anche all’esito di verifiche al termine di un ciclo di formazione, possono rappresentare un utile strumento per valutare il possesso di un livello adeguato di conoscenza  della disciplina ma, tuttavia, non equivalgono a una “abilitazione” allo svolgimento del ruolo», ciò anche in quanto la normativa — come si è visto — non prevede l’istituzione di alcun albo di settore e, di conseguenza, non esiste alcun soggetto preposto alla verifica di requisiti, abilità e competenze, funzione di solito assolta proprio dai tenutari degli albi.

In conclusione, quindi, sia gli enti pubblici che società private dovranno selezionare i professionisti «valutando autonomamente il possesso dei requisiti necessari per svolgere i compiti da assegnati», sebbene il Garante assicuri comunque piena disponibilità per fornire ulteriori chiarimenti sui quesiti che i soggetti interessati riterranno di formulare nell’ambito di uno specifico ciclo di incontri predisposti dall’Authority.