“Nelle pieghe della lunga analisi che è stata fatta dall’Autorità troviamo molte conferme di orientamenti già emersi in passato, oltre a qualche importante stoccata al malcostume della serialità eccessiva degli incarichi da Data Protection Officer, con addirittura alcuni soggetti che superano le centinaia e centinaia di incarichi a costo irrisorio verso pubbliche amministrazioni operanti su tutto il territorio dello Stato. Tra i molti aspetti affrontati da questo documento di indirizzo merita infatti menzione speciale anche la messa a fuoco del tema dei compensi”. Con queste parole l’avvocato Rocco Panetta, tra i massimi esperti anche a livello internazionale di diritto delle nuove tecnologie e avvocato della data economy, oltre che Data Protection Officer (Dpo) esterno di grandi imprese e gruppi di società, commenta in una intervista con CorCom la pubblicazione, da parte dell’Autorità Garante per la protezione dei dati personali, del Documento di indirizzo su designazione, posizione e compiti del Dpo o Responsabile della protezione dei dati (Rdp) in ambito pubblico.
Avvocato Panetta, pochi giorni fa l’Autorità Garante è intervenuta con un importante documento di indirizzo dedicato al Dpo in ambito pubblico. Qual è il significato di questo provvedimento?
È un provvedimento molto importante e anche estremamente atteso. Sulla questione del Ddpo, in particolare in ambito pubblico, si erano già espresse alcune corti nazionali – ricordiamo, tra tutte, la pronuncia del Tar Friuli Venezia Giulia del 2018 e quella del Tar Puglia del 2019, oltre alla Corte dei Conti – e anche a livello internazionale, dopo i primi interventi dell’European Data Protection Board, certe autorità straniere hanno iniziato a prendere posizione sul tema – penso, ad esempio, alla pronuncia della Dpa belga sul Dpo in conflitto di interessi in un’azienda. Si aspettava dunque con impazienza anche un pronunciamento quadro da parte del nostro Garante. Nelle pieghe della lunga analisi che è stata fatta dall’Autorità troviamo molte conferme di orientamenti già emersi in passato, oltre a qualche importante stoccata al malcostume della serialità eccessiva degli incarichi da Data Protection Officer, con addirittura alcuni soggetti che superano le centinaia di incarichi verso pubbliche amministrazioni operanti su tutto il territorio dello Stato. Tra i molti aspetti affrontati da questo documento di indirizzo merita poi certamente menzione anche la messa a fuoco del tema dei compensi. In generale, dunque, non può che darsi un giudizio positivo all’intervento del Garante (anche se forse qualche cosa in più si sarebbe potuta dire).
Il Garante ha inoltre aggiornato le Faq per il settore privato. Secondo la sua esperienza, quali sono i principali punti di contatto e di divergenza rispetto all’operatività e alla diffusione del Dpo nei due ambiti?
Le similitudini e le differenze possono in realtà individuarsi soltanto in ragione e in proporzione alla quantità e alla qualità dei soggetti che sono coinvolti e che sono tenuti, come titolari e responsabili del trattamento, alla nomina di un Data Protection Officer. Mi spiego. Non basta individuare quale linea di demarcazione solo la differenza tra ambito pubblico e settore privato. Esistono invece molte altre diversità, come quella tra Dpo interni ed esterni o quelle tra i Dpo dei diversi settori merceologici. Insomma, mi si consenta la semplificazione, società o pubblica amministrazione che vai, Dpo che trovi. Tutto ciò rende anche improbo il compito di sintesi e astrazione, un’attività che per prima è toccata al legislatore – quando ha dovuto mettere a sistema regole valide per tutti – e che ora spetta alle autorità di controllo. Tuttavia, sono proprie queste ultime a dover dare agli operatori economici le indicazioni su come comportarsi. Il mercato da solo non è infatti in grado di orientarsi e autodisciplinarsi in un ambito così variegato e con tali e tanti obblighi a carico dei soggetti che devono o possono nominare un Dpo. Certo c’è l’accountability, ma anche questa dote non è per tutti.
Lo scorso 25 maggio si è festeggiato il terzo anniversario dall’entrata in efficacia del Gdpr. Uno dei principali elementi innovativi introdotti dal regolamento è stata sicuramente la funzione del Dpo. Come valuta il percorso fino a qui intrapreso per metabolizzare questa novità? Mi riferisco sia al mondo dei titolari-responsabili che a quello dei professionisti.
Al netto di alcune distorsioni più o meno statisticamente necessarie, e che appartengono alla fisiologia di questi fenomeni, penso che la strada intrapresa sia quella giusta. In Italia, in maniera non così difforme rispetto al resto dell’Unione Europea, la risposta è stata alta. Abbiamo una statistica che parla di 57.998 comunicazioni di dati di contatto dei Dpo al Garante dal 25 maggio 2018 al 30 settembre 2020. Sicuramente ad oggi il numero sarà cresciuto ancora. Ma c’è anche quanto ha detto giustamente l’On. Agostino Ghiglia, Componente del Collegio del Garante, all’evento di qualche giorno fa organizzato dall’Osservatorio Cybersecurity & Data Protection del Politecnico di Milano in collaborazione con Clusit, a cui ho avuto il piacere di partecipare: risulta infatti al Garante che almeno 1/8 tra i comuni italiani non abbia notificato la nomina obbligatoria del Dpo. Tale ultimo dato denota dunque degli evidenti e perduranti margini di crescita per questa professione. Per non parlare poi dei soggetti privati. Quelli tenuti ex lege alla nomina di un Dpo probabilmente hanno già quasi tutti risposto in maniera adeguata con una operatività ormai consolidata. Da professionista del settore che svolge anche la funzione di Dpo esterno sto invece notando che ci sono ancora operatori che si avvicinano a noi e ci chiedono se avvalersi un Dpo sia opportuno o sovradimensionato. Quindi, anche nell’ambito di coloro i quali non sono strettamente obbligati alla nomina del Data Protection Officer, il ruolo del DPO attrae. E ciò avviene perché nel mercato sta iniziando a maturare una consapevolezza che porta aziende e PA a considerare la nomina di questa funzione una scelta di opportunità. Da questo punto di vista, anche il mondo dei professionisti si sta dimostrando all’altezza della sfida e posso ciò testimoniarlo anche in ragione delle tante occasioni di formazione che io ed il mio team siamo chiamati a tenere.
Ci sono ancora dei miti da sfatare sul Dpo?
Il tema delle certificazioni è sicuramente uno di questi ed è anche quello più semplice da smontare. È chiaro che chi vuole trovare una scorciatoia per potersi presentare velocemente sul mercato come Dpo vede nella certificazione la strada più breve e abbordabile. Tuttavia, tanto le autorità quanto gli stessi enti certificatori e le grandi associazioni privacy come la Iapp, Federprivacy, Iip, Asso Dpo, per citarne solo alcune, hanno chiara la rilevanza delle certificazioni, ma non affidando certo solo ad esse la formazione di tale figura. Questa passa invece attraverso lunghi anni di militanza sul campo, ovviamente non solo come Dpo, ma come professionista che si occupa a tutto tondo di circolazione e protezione dei dati personali da minimo un decennio. È questo il minimo indispensabile per poter affermare di aver acquisito non solo una giusta esperienza e competenza, ma anche quella dose di autorevolezza che è richiesta per potersi confrontare con le strutture aziendali esecutive, con quelle di vertice e con l’Autorità Garante. Un altro mito da sfatare è poi quello che porta a considerare il Dpo l’unico soggetto deputato a occuparsi di protezione dei dati personali in azienda. Ciò è tanto sbagliato quanto più le aziende sono articolate e complesse. Personalmente, nelle imprese e nelle PA medio-grandi, vedo la necessità di un doppio livello di competenza e di responsabilità in materia di protezione dati. Un livello contiguo al business, nella figura del Privacy Officer – che può anche coincidere con le funzioni legal e compliance –, e un altro livello nella funzione di controllo e consulenza del Dpo. L’optimum in queste realtà sarebbe avere una funzione privacy di business interna associata ad una funzione di Dpo esterna, il che garantirebbe la piena e totale indipendenza e assenza di conflitto di interessi per quest’ultima figura. E devo dire che molti dei miei clienti e molti dei principali players nazionali e multinazionali operano proprio in tal modo.
In conclusione, anche alla luce dal contributo che in questi mesi i Dpo hanno apportato nella gestione delle istanze – fino ad un anno fa impensabili – legate ai trattamenti nel contesto dell’emergenza sanitaria, come crede che il ruolo e l’importanza di questa funzione potranno evolvere nei prossimi anni?
Indipendentemente da quel che dicono talune Cassandre, sempre pronte a celebrare il funerale della cosiddetta privacy, io credo che in questa materia – che è il punto più alto di caduta del terreno di incontro tra l’insieme dei diritti e delle libertà dell’uomo e le sfide che la tecnologia porta a tali diritti nell’evoluzione della società – ci sarà sempre più bisogno di soggetti abilitati a conoscere e a guidare aziende e pubbliche amministrazioni, capaci altresì di interloquire con le autorità e il legislatore. Dopodiché è chiaro che, prima poi, arriverà anche il momento in cui i mercati saranno maturi e probabilmente ci sarà una riorganizzazione delle figure professionali. Ma, almeno per il momento, siamo ancora in fase di forte crescita.