È del marzo 2015 la notizia dell’apertura del Trilogo tra Commissione, Parlamento e Consiglio degli Stati, ossia di una tavola comune mediante la quale arrivare all’approvazione del testo definitivo di Regolamento Europeo sulla Data Protection che diventerà effettivo a partire dal biennio 2017/2018. Un semi-risultato raggiunto, considerato che il Regolamento Privacy UE è il testo che ha riportato più emendamenti nella storia della normativa prodotta dalle istituzioni europee. L’ostacolo ad una chiara e precisa definizione dell’apparato di regole condivise da tutti (Stati membri ed Istituzioni) riguarda i differenti istituti previsti, tra cui quello rappresentato dal Data Protection Officer (DPO) disciplinato dagli articoli 35, 36 e 37 della Proposta di Regolamento.
Sulla spinta dell’Europa, e del mercato, il tema delle competenze di tale figura, e di come e quando considerarle acquisite, è attualmente sul tavolo di discussione UNINFO, dopo che un’inchiesta pubblica preliminare si è conclusa a inizio luglio. Associazioni di categoria e stakeholder hanno inviato osservazioni e contributi allo scopo di definire, con una norma UNI, il profilo professionale e regole di riferimento omogenee.
Tale figura non è tuttavia una novità nel panorama giuridico europeo, essendo stata in realtà prevista fin dalla Direttiva 95/46/CE del Parlamento e del Consiglio del 24 ottobre 1995. Infatti, l’articolo 18 della Direttiva prevede una semplificazione o addirittura l’esonero dall’obbligo di notificazione per gli Stati membri “qualora il responsabile (rectius il titolare) del trattamento designi, conformemente alla legislazione nazionale applicabile, un incaricato alla protezione dei dati”. A detto soggetto sono demandati alcuni compiti tra cui quello di assicurare in maniera indipendente l’applicazione delle disposizioni nazionali di attuazione della direttiva e quello di tenere un registro dei trattamenti effettuati dal titolare del trattamento.
Ebbene, sul tenore di detta disposizione molti Stati membri introdussero tale figura come obbligatoria (per esempio la Germania, la Grecia, l’Ungheria), altri, invece, ne resero la designazione meramente facoltativa (è il caso della Francia). Proprio la diversità degli ordinamenti nazionali, nonché la spinta europea al rispetto sostanziale delle disposizioni in materia, hanno contribuito a determinare la nuova disciplina in materia di DPO.
La proposta del Consiglio Ue dell’Ottobre 2014 avrebbe individuato in capo al Controller (ossia il Titolare del trattamento) ed al Processor (ossia il Responsabile del trattamento) la facoltà di designare un DPO o l’obbligo di farlo laddove previsto dal diritto dell’Unione o degli Stati membri. Ciò a differenza di quanto stabilito dal Parlamento nella proposta del Dicembre 2013, secondo cui l’obbligo sistematico di designazione del DPO è applicabile quando: il trattamento è effettuato da un’Autorità o un Organismo pubblici; il trattamento è effettuato da una persona giuridica e riguarda oltre 5.000 interessati l’anno; il trattamento attiene ad aree che, per loro natura, oggetto o finalità richiedono il controllo regolare e sistematico o la profilazione degli interessati; le attività principali del Controller o del Processor consistano nel trattamento di categorie particolari di dati.
La proposta del Consiglio, che lascia alla discrezionalità dei Titolari la designazione del DPO, potrebbe avere la conseguenza di rendere disomogenee le legislazioni degli Stati membri che sarebbero liberi di individuare discipline diverse a seconda delle realtà aziendali ivi presenti.
Ad oggi, potremmo dire che il DPO potrebbe essere paragonato alla figura del RSPP in materia di sicurezza. Infatti, tra i compiti a questi demandati, vi sarebbero quelle attività atte ad informare e consigliare il Titolare o il Responsabile in merito agli obblighi derivanti dal Regolamento, per quanto attiene all’adozione di misure e procedure tecniche e organizzative, alla conservazione della documentazione di cui all’articolo 28 del Regolamento, nonché in merito a funzioni di sorveglianza sull’attuazione e sull’applicazione delle politiche inerenti alla protezione dei dati personali, ed infine con riferimento ai compiti di verifica affinché le violazioni dei dati personali siano documentate, notificate e comunicate, di concerto con l’Autorità di controllo.
Sono quattro i fattori che dovranno necessariamente caratterizzare il DPO: conoscenza della normativa, conoscenza dei processi aziendali, competenze informatiche ed indipendenza. Per ciò che riguarda le competenze e le conoscenze specialistiche chieste è ancora poco chiaro se verrà imposto un meccanismo di certificazione dei soggetti che intendano ricoprire tale carica. Una corrente di pensiero, ritiene non plausibili inquadrare il DPO in una unica persona, potendo adottare la soluzione dell’organo collegiale, strutturato sulla falsa riga degli organismi di vigilanza disciplinati dal D.Lgs. 231/2001.
La struttura collegiale del DPO, oltre ad assicurare una più efficiente evasione degli adempimenti richiesti e un maggiore livello in ordine alle competenze, garantirebbe il rispetto dell’ultimo requisito individuato dalla Proposta di Regolamento ossia quello dell’indipendenza. Tanto la proposta del Parlamento che quella del Consiglio prescrivono che uno dei requisiti del DPO sia quello dell’indipendenza rispetto alle posizioni apicali. A tal proposito è stata ipotizzato che al DPO sia concesso un budget di spesa autonomo nell’esercizio delle proprie funzioni.
Tuttavia, queste indicazioni pongono non pochi problemi.Il DPO, in qualità di responsabile della protezione dei dati personali, avrà lo scomodo compito di denunciare le irregolarità e le violazioni della normativa commesse dal titolare del trattamento per conto del quale svolge la propria attività.
In merito a ciò, le preoccupazioni sollevate da alcuni Garanti degli Stati membri attengono alla concreta possibilità che il DPO possa essere vittima di mobbing da parte del CEO o da parte di altre figure apicali nelle aziende. Questi soggetti, infatti, potrebbero ingerirsi nella sfera decisionale del DPO, condizionandone le decisioni laddove l’attività svolta sia potenzialmente in grado di rallentare le strategie e le politiche aziendali.
Alla luce di ciò, è oggi acceso il dibattito sulla collocazione di tale figura. L’articolo 35 della proposta di Regolamento prescrive che il DPO possa essere un membro del personale oppure adempiere ai propri compiti in base ad un contratto di servizi. Certo, l’eventuale posizione esterna contribuirebbe a garantire l’indipendenza dai condizionamenti apicali pericolosamente idonei ad indurre il DPO a non denunciare le violazioni dei dati personali, con evidente pregiudizio dei diritti dell’interessato.
In tal caso, sarà necessario normare la posizione del DPO mediante un contratto di servizi che disciplini in maniera adeguata i tratti caratterizzanti l’incarico, quali l’elenco delle attività svolte, i compensi pattuiti, le modalità di erogazione del servizio, le clausole di responsabilità e le esclusioni previste.
Ipotesi questa fortemente discussa da alcune delle associazioni di settore, le quali hanno evidenziato i vantaggi derivanti dall’introduzione della figura all’interno dell’organigramma aziendale. Ebbene, con riferimento a questo ultimo punto è stata avanzata l’idea che la collocazione gerarchica del DPO al di sotto del Consiglio di Amministrazione ne evidenzierebbe il ruolo di longa manus del CEO e giustificherebbe quanto stabilito nella proposta del Consiglio secondo cui il DPO riferisce direttamente ai massimi superiori gerarchici del controller o del processor. Inoltre, il carattere interno del DPO ne faciliterebbe l’accesso ai documenti e ai flussi di dati personali trattati.
Per scongiurare eventuali comportamenti devianti rispetto alle regole che saranno introdotte dal Regolamento, si segnala l’ampia competenza sanzionatoria, attribuita dalla Proposta di Regolamento, in capo alle Autorità Garanti nazionali, le quali potranno sanzionare fino al 2% del fatturato mondiale annuo dell’azienda o della capogruppo se si tratti di una compagine più strutturata.
