A cura di Giulia Di Ruscio, Senior Consultant presso EY

Ogni eventuale parere espresso è personale e non vincola in alcun modo l’azienda.

Il 5 aprile 2017 sono state emanate dal Gruppo dei garanti UE le linee guida sul Data Protection Officer (Responsabile della Protezione Dati, in seguito RPD).

La figura del RPD è stata introdotta dal Regolamento europeo 2016/679 per la protezione e libera circolazione dei dati personali (c.d. GDPR) allo scopo di facilitare l’osservanza dello stesso Regolamento e di garantire maggiore sicurezza e privacy dei dati. Tale figura, che diventerà obbligatoria per tuti gli stati dell’UE il 25 maggio 2018, si aggiunge a quella del titolare e del responsabile del trattamento dati, assumendo un ruolo “ibrido” di vigilanza dei processi interni e di consulenza all’interno dell’azienda, oltre a rappresentare un punto di incontro con le Autorità di Controllo.

Nomina del Responsabile Protezione Dati

In primo luogo, la normativa prevede che la nomina del RPD da parte del titolare o dal responsabile del trattamento sia obbligatoria qualora il trattamento dati sia svolto da autorità pubblica o da un organismo pubblico. In base a quanto descritto dalle linee guida, rientrano in questa categoria le autorità nazionali, regionali e locali e, a seconda del diritto nazionale applicabile, tutti gli organismi di diritto pubblico. Il Gruppo dei Garanti UE, inoltre, raccomanda, in termini di buone prassi, che anche gli organismi privati incaricati di funzioni pubbliche o che esercitano pubblici poteri, nominino un RPD. Si tratta di organismi che si occupano, a titolo esemplificativo, di trasporti pubblici, forniture idriche ed elettriche, infrastrutture stradali e emittenti radiotelevisive pubbliche.

In ambito privato, il GDPR prevede la nomina obbligatoria del RPD qualora le attività principali del titolare o del responsabile del trattamento dei dati consistano in trattamenti che richiedono il monitoraggio regolare e sistematico di interessati su larga scala. Rientrano, ad esempio, in tale presupposto tutti gli operatori di telecomunicazione, operatori che effettuano attività di tracciatura e profilatura su Internet anche per finalità di marketing oppure per valutare il rischio creditizio o definire un premio assicurativo.

Sempre in ambito privato, il RPD è obbligatorio per tutte le organizzazioni in cui le attività principali del titolare o del responsabile consistono nel trattamento su larga scala di categorie particolari di dati o di dati personali relative a condanne penali e reati. Le linee guida specificano che non ci sono ancora criteri quantitativi e qualitativi per definire il significato di “larga scala” ma propone alcuni fattori per la sua determinazione (numero di soggetti interessati, volumi die dati e/o le diverse tipologie di dati oggetto del trattamento, durata o persistenza dell’attività di trattamento, portata geografica) e alcuni esempi di trattamenti che rientrano in tale categoria. A titolo esemplificativo, sono trattamenti su larga scala, il trattamento dei dati relativi a pazienti svolto da un ospedale nell’ambito delle originari attività, il trattamento dati della clientela da parte di una compagnia assicurativa o di una banca nell’ambito delle attività ordinarie. Al contrario, non è su larga scala il trattamento di dati relativi a pazienti svolto da un singolo professionista sanitario o di dati relativi condanne penali e reati svolto da un singolo avvocato.

Inoltre, è previsto che un gruppo di imprese o soggetti pubblici possano nominare un unico responsabile della protezione dati a condizione che sia facilmente raggiungibile da ciascuno stabilimento. Il fatto che sia raggiungibile – vuoi fisicamente all’interno dello stabile dove operano i dipendenti, vuoi attraverso una linea dedicata o altri mezzi idonei e oscuri di comunicazione – è fondamentale al fine di garantire all’interessato e chiunque necessiti di una consulenza in ambito privacy la possibilità di contattare il RPD stesso.

Caratteristiche e requisiti del Responsabile Protezione Dati

La normativa specifica che la nomina del RPD deve avvenire in base alle proprie qualità professionali, conoscenze specialistiche e alla capacità di assolvere i propri compiti. In termini concreti, per valutare le qualità professionali è necessario prendere in considerazione la conoscenza da parte del RPD della normativa e della prassi in materia di protezione dei dati e del settore di attività e della struttura organizzativa del titolare. Per quanto riguarda il livello delle conoscenze specialistiche, esso non è tassativo ma è legato alla sensibilità, complessità e quantità dei dati tratti. Per capacità di assolvere i propri compiti si deve intendere quanto è legato alle qualità personali e alle conoscenze del RPD, sia alla sua posizione all’interno dell’azienda. Il RPD deve essere una persona integra e con elevati standard deontologici e deve promuovere la cultura della protezione dei dati in azienda e deve dare attuazione ai principi introdotti dal nuovo regolamento (e.g. aiutare il titolare al trattamento dei dati nell’implementazione di attività quali il registrare le attività di trattamento e garantire la sicurezza del trattamento)

Sotto il profilo dello status, il RPD deve riferire direttamente al vertice gerarchico del titolare e del responsabile. In particolare, il RPD deve poter manifestare la propria opinione anche e soprattutto quanto dissenziente rispetto alle decisioni prese dal titolare e dal responsabile del trattamento dati. Un altro esempio di rapporto diretto è costituito dalla stesura di una relazione annuale delle attività svolte dal RPD da sottoporre al vertice gerarchico.

Inoltre, il RPD deve possedere le risorse necessarie per assolvere ai propri compiti ed accedere ai dati personali e ai trattamenti. Le linee guida esplicitano che dovrà essere dotato di un supporto attivo da parte del senior management, tempo sufficiente per l’espletamento dei suoi compiti, supporto di risorse finanziarie, infrastrutturali e personale, accesso garantito ai servizi, formazione permanente e, qualora necessario di un gruppo di lavoro o di un proprio ufficio.

In ordine al conflitto di interessi, il RPD può svolgere ulteriori funzioni, purché esse non diano adito a conflitti. A titolo esemplificativo, non potrà essere coinvolto nella definizione delle finalità e delle modalità di trattamento di dati personali. Le linee guida a tal proposito raccomandano di individuare le qualifiche e le funzioni che sarebbero compatibili con quelle dell’RPD o di redigere una regolamentazione interna al fine di evitare i conflitti di interesse.

Il RPD può essere dipendente dell’azienda oppure può assolvere i suoi compiti in base ad un contratto di servizi, sia che sia persona giuridica che fisica. Anche in tal caso è indispensabile che ciascun soggetto appartenente alla persona giuridica e operante in quanto RPD deve possedere e soddisfare tutti i requisiti previsti dal regolamento e deve godere delle tutele previste dal RGPD. Inoltre è necessario che nessuno dei soggetti versi in situazioni di conflitto di interessi. Sarebbe utile, a tal proposito, procedere a una chiara ripartizione dei compiti all’interno del team RPD e prevedere che solo un soggetto funga da contatto principale e sia “incaricato” per ciascuno cliente, e definire specifiche disposizioni in merito all’interno del contratto di servizio.

Compiti del Responsabile Protezione Dati

In merito ai complessi compiti affidati al RPD, sono previsti a livello minimale dalla normativa, lasciando la possibilità al titolare e al responsabile del trattamento dati di affidarne di altri. Nello specifico il RPD dovrà:

  • informare e fornire consulenza al titolare e responsabile del trattamento nonché ai dipendenti in merito agli obblighi derivanti dallo stesso regolamento;
  • sorvegliare l’osservanza del regolamento, che si traduce nello svolgimento delle seguenti attività: raccogliere le informazioni per individuare i trattamenti svolti; analizzare e verificare i trattamenti in termini di loro conformità; informare e fornire attività di consulenza e indirizzo al titolare o responsabile. Tuttavia il RPD non ha responsabilità diretta in caso di inosservanza del RGPD che spetta al titolare del trattamento dati.
  • assistere il titolare del trattamento dati nell’esecuzione di una valutazione di impatto sulla protezione dati. Le linee guida raccomandano che il titolare si consulti con il RPD anche sulle seguenti tematiche: se condurre o meno una valutazione; quale metodo glia utilizzare; se condurre una valutazione tramite risorse interne o esternalizzate; se la valutazione sia stata svolta in modo corretto.
  • cooperare e fungere da contatto con le autorità di controllo.

Nell’eseguire i propri compiti, il RPD dovrà mantenere fede ai propri obblighi di segretezza e riservatezza e dovrà adottare un approccio basato sul rischio e quindi definire un ordine di priorità nell’attività svolta e di concentrarsi sulle questioni che presentino maggior rischi in termini di protezione dei dati.