Gentile utente ti informiamo che questo sito utilizza cookie di profilazione di terze parti. Se decidi di continuare la navigazione accetti l'uso dei cookie.
x Chiudi
Consulenza.it - L'informazione integrata per professionisti e aziende
Consulenza Buffetti - il portale dei professionisti e delle aziende
Ricerca avanzata

ARTICOLI

Articolo
torna agli articoli
Privacy

Mancata nomina del DPO. Ancora sanzioni dal Garante. In quali casi si deve designare un DPO? Facciamo un po' di chiarezza

Il 17 Gennaio 2024 lo EDPB, nel corso della sua adunanza plenaria, ha adottato un report sul ruolo dei DPO. La relazione è il risultato di un’indagine coordinata a livello europeo ed elenca gli ostacoli attualmente affrontati dai Responsabili della protezione dei dati, insieme ad una serie di utili raccomandazioni per rafforzare ulteriormente il loro ruolo. I DPO svolgono una importante funzione nel garantire il rispetto della normativa sulla protezione dei dati e nel promuovere un’efficace protezione dei diritti degli interessati, tuttavia, a circa 6 anni dall’applicazione del GDPR, sorgono ancora dubbi sui casi di designazione del DPO, tanto che il nostro Garante continua ad intervenire, sanzionando organizzazioni aziendali ed enti pubblici per mancata nomina o mancata comunicazione all’autorità dei dati di contatto di tale figura. Forse allora è il caso soffermarsi un momento sul ruolo del DPO e chiarire meglio quali sono le circostanze in cui la sua designazione risulta per legge obbligatoria.

Sono trascorsi circa 6 anni da quando il Regolamento n. 679/2016 è diventato operativo, eppure il Garante per la protezione dei dati personali continua ad emanare sanzioni per la mancata comunicazione dei dati del Responsabile della protezione e/o per la sua mancata designazione.

A finire sotto la lente del Garante questa volta sono stati quattro comuni, alcuni dei quali non avevano comunicato all’autorità il nome e i dati di contatto del DPO, altri non lo avevano addirittura nemmeno nominato.

Tali violazioni che, questa volta, hanno interessato il settore pubblico, accadono ad oggi anche in ambito privato. Molte, infatti, sono le aziende che non hanno ancora provveduto alla designazione di un Responsabile della protezione dei dati, pur rientrando nei casi in cui il Regolamento n. 679/2016 prevede tale nomina come doverosa e ciò accade il più delle volte non intenzionalmente, ma semplicemente per inconsapevolezza.

Si pensi alle situazioni in cui non si rientri nell’obbligo di nomina, ma poi basta poco per caderci dentro. Può accadere, ad esempio, che l’adozione di un nuovo software in azienda utilizzato per altri scopi, indirettamente vada ad effettuare un tracciamento o un monitoraggio sistematico dei dati personali dei clienti e questo è uno di quei casi in cui è obbligatorio procedere all’individuazione di un DPO e alla comunicazione dei suoi dati di contatto al Garante e agli interessati.

Ecco perché in “materia privacy”, non si può mai stare tranquilli, ma si deve monitorare periodicamente quanto accade nell’ambito dell’organizzazione aziendale o di un ente, perché tutto ciò che si è fatto prima potrebbe non bastare più.


Quando nominare un DPO è obbligatorio”


Cerchiamo di fare chiarezza allora con le norme e con i provvedimenti di prassi e analizziamo in sintesi in quali circostanze avere un Responsabile della protezione dei dati personali è doveroso perché imposto dalla legge e quando è invece consigliabile.
Innanzitutto, dotarsi di un Responsabile della Protezione dei dati personali o Data Protection Officer, se vogliamo seguire la versione ufficiale inglese del GDPR, è obbligatorio nel settore pubblico.
Quindi, se il titolare del trattamento dei dati personali è un soggetto pubblico, quali, ad esempio, amministrazioni dello Stato, Regioni, Province, Comuni, università, aziende del Servizio sanitario nazionale, deve designare un RPD e a comunicarne i dati di contatto al Garante privacy, attraverso l’apposita procedura messa a disposizione dall’Autorità sul suo sito.


L’obbligo della comunicazione, previsto nel Regolamento Ue (ma questo non solo in ambito pubblico, ma anche nel privato nei casi in cui si deve procedere alla nomina) è finalizzato ad assicurare la possibilità per l’Autorità di garanzia di contattare in modo semplice e diretto il RPD, ruolo che ha tra i suoi compiti anche quello di fungere da punto di riferimento fra il titolare (o responsabile) del trattamento e l’Autorità stessa (come scrive bene il Garante nel suo ultimo provvedimento).


Ed, invero, l’articolo art. 37 del Regolamento recita testualmente “Il titolare del trattamento e il responsabile del trattamento designano sistematicamente un responsabile della protezione dei dati ogniqualvolta:

 

  1. il trattamento è effettuato da un'autorità pubblica o da un organismo pubblico, eccettuate le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali;
  2. le attività principali del titolare del trattamento o del responsabile del trattamento consistono in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala; oppure
  3. le attività principali del titolare del trattamento o del responsabile del trattamento consistono nel trattamento, su larga scala, di categorie particolari di dati personali di cui all’articolo 9 o di dati relativi a condanne penali e a reati di cui all’articolo 10.

Prosegue poi il medesimo articolo ai commi 2 e 3:

“2. Un gruppo imprenditoriale può nominare un unico responsabile della protezione dei dati, a condizione che un responsabile della protezione dei dati sia facilmente raggiungibile da ciascuno stabilimento.

3. Qualora il titolare del trattamento o il responsabile del trattamento sia un’autorità pubblica o un organismo pubblico, un unico responsabile della protezione dei dati può essere designato per più autorità pubbliche o organismi pubblici, tenuto conto della loro struttura organizzativa e dimensione”.


Nel paragrafo 4 invece viene spiegato che nei casi diversi da quelli obbligatori, titolari o responsabili del trattamento possono scegliere di designare il Responsabile della protezione oppure la nomina può essere imposta da norme interne dell’ordinamento di ciascuno Stato membro.


Il responsabile della protezione dei dati va scelto in funzione delle qualità professionali, in particolare della conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati, e della capacità di assolvere i compiti di cui all’articolo 39.
Vedremo meglio in seguito quali sono i compiti del DPO, il quale, come chiarisce il GDPR, sempre all’articolo 37, può essere un dipendente del titolare del trattamento o del responsabile del trattamento oppure assolvere i suoi compiti in base a un contratto di servizi (quindi può essere un consulente esterno).


Infine, il titolare del trattamento o il responsabile del trattamento sono tenuti a rendere noti i dati di contatto del responsabile della protezione dei dati, anche pubblicandoli sul proprio sito istituzionale e/o inserendoli negli accordi e sono tenuti a comunicare tali dati all’autorità di controllo.
Inoltre, le “Linee-guida sui responsabili della protezione dei dati (RPD)”, adottate dal Gruppo di lavoro ex articolo 29 in materia di protezione dei dati personali, il 13 dicembre 2016 ed emendate il data 5 aprile 2017, aggiungono che “L’articolo 37, settimo paragrafo, del GDPR impone al titolare o al responsabile del trattamento di pubblicare i dati di contatto del RPD, e di comunicare i dati di contatto del RPD alle pertinenti autorità di controllo. Queste disposizioni sono tese ad assicurare che gli interessati (all’interno o all’esterno dell’ente/organismo titolare o responsabile) e le autorità di controllo possano contattare il RPD in modo facile e diretto senza doversi rivolgere a un’altra struttura operante presso il titolare/responsabile” (par. 2.6).


Anche il “Documento di indirizzo su designazione, posizione e compiti del Responsabile della protezione dei dati (RPD) in ambito pubblico”, adottato dal Garante il 29 aprile 2021 con provvedimento n. 186 (doc. web n. 9589104), precisa che “Per quanto concerne la comunicazione all’Autorità, si evidenzia che il Garante ha reso disponibile un’apposita procedura online non solo per la comunicazione, ma anche per la variazione e la revoca del nominativo del RPD designato. Tale procedura rappresenta l’unico canale di contatto utilizzabile a questo specifico fine ed è reperibile alla pagina https://servizi.gpdp.it/comunicazionerpd/s/, ove sono riportate anche le apposite istruzioni e le relative FAQ”.
Se è chiaro che trattando categorie particolari di dati, cioè quelli che rivelano l'origine razziale od etnica, le convinzioni religiose, filosofiche, le opinioni politiche, l'appartenenza sindacale, dati relativi alla salute o alla vita sessuale, o dati relativi a condanne penali o giudiziari, si deve procedere alla nomina del Responsabile della protezione dei dati, meno chiaro è cosa abbia voluto intendere il legislatore europeo quando, nel Regolamento, parla di “attività principali”, trattamento su “larga scala”, “monitoraggio costante e sistematico” di dati personali. Casi in cui la nomina del DPO è appunto obbligatoria perché prevista espressamente dalla disciplina europea.


Sulla nozione di “attività principali”, qualche dubbio viene sciolto (forse) dal considerando 97 del GDPR, secondo cui “nel settore privato le attività principali del titolare del trattamento riguardano le sue attività primarie ed esulano dal trattamento dei dati personali come attività accessoria”.


Cosa significa ciò?
Significa, in buona sostanza, che il trattamento dei dati che è strettamente connesso con l’attività principale del titolare o responsabile del trattamento, deve essere considerato per valutare se si deve nominare o meno un DPO.
Così, ad esempio, l’attività principale di una clinica ospedaliera è quella di prestare assistenza sanitaria, attività che però non sarebbe possibile se l’azienda non trattasse dati sanitari. Trattando dati sanitari, si rientra nell’ipotesi di cui all’articolo 37 lett. c e pertanto, la clinica deve nominare un DPO. Allo stesso modo, l'attività principale di una compagnia aerea è quella di fornire voli. Tuttavia, una compagnia aerea non potrebbe fornire i propri servizi in modo sicuro ed efficace senza elaborare dati personali di clienti e dipendenti, quindi il trattamento dei dati è un’attività inestricabile con quella principale.


Il considerando n. 91, invece, chiarisce cosa deve intendersi per trattamento di dati su “larga scala”, si tratta di quei trattamenti di “una notevole quantità di dati personali a livello regionale, nazionale o sovranazionale e che potrebbero incidere su un vasto numero di interessati e che potenzialmente presentano un rischio elevato, ad esempio, data la loro sensibilità, laddove, in conformità con il grado di conoscenze tecnologiche raggiunto, si utilizzi una nuova tecnologia su larga scala, nonché ad altri trattamenti che presentano un rischio elevato per i diritti e le libertà degli interessati, specialmente qualora tali trattamenti rendano più difficoltoso, per gli interessati, l'esercizio dei propri diritti”. La nozione di “larga scala” viene poi meglio spiegata anche dalle Linee Guida sui responsabili della protezione dei dati WP Art. 29, dove l’ex Gruppo di lavoro dei Garanti europei, oggi confluiti nello european data protection board, individuano degli elementi da tenere presenti per comprendere se il trattamento è su larga scala o meno:

  • il numero di soggetti interessati dal trattamento, in termini assoluti ovvero espressi in percentuale della popolazione di riferimento;
  • il volume dei dati e/o le diverse tipologie di dati oggetto di trattamento;
  • la durata, ovvero la persistenza, dell’attività di trattamento;
  • la portata geografica dell’attività di trattamento.

Alcuni esempi di trattamento su larga scala sono i seguenti:

  • trattamento di dati relativi a pazienti svolto da un ospedale nell’ambito delle ordinarie attività;
  • trattamento di dati relativi agli spostamenti di utenti di un servizio di trasporto pubblico cittadino (per esempio, il loro tracciamento attraverso titoli di viaggio);
  • trattamento di dati di geolocalizzazione raccolti in tempo reale per finalità statistiche da un responsabile specializzato nella prestazione di servizi di questo tipo rispetto ai clienti di una catena internazionale di fast food;
  • trattamento di dati relativi alla clientela da parte di una compagnia assicurativa o di una banca nell’ambito delle ordinarie attività;
  • trattamento di dati personali da parte di un motore di ricerca per finalità di pubblicità comportamentale;
  • trattamento di dati (metadati, contenuti, ubicazione) da parte di fornitori di servizi telefonici o telematici.

Alla nozione di “monitoraggio” appartengono invece quei trattamenti che consentono di effettuare il tracciamento e la profilazione sulla rete internet, ad esempio, per finalità di pubblicità comportamentale. Il monitoraggio che implica la necessaria designazione di un DPO, dice il Regolamento n. 679/2016, deve essere regolare e sistematico. Di seguito, si riportano alcuni esempi che possono essere d’ausilio nella comprensione dei concetti di regolarità e sistematicità del monitoraggio di dati:

  • gestione di una rete di telecomunicazioni;
  •  fornitura di servizi di telecomunicazione;
  •  retargeting di posta elettronica;
  • definizione di profili e punteggi ai fini della valutazione del rischio (ad esempio a scopo di valutazione del credito, costituzione di premi assicurativi, prevenzione delle frodi, individuazione del riciclaggio di denaro);
  • geolocalizzazione;
  • programmi di fidelizzazione (fidelity card);
  • pubblicità comportamentale;
  • monitoraggio dei dati di benessere, fitness e salute tramite wearable;
  • televisione a circuito chiuso;
  •  dispositivi connessi, ad es. contatori intelligenti, auto intelligenti, domotica, ecc.

Quindi, se in qualità di titolare o responsabile del trattamento decido, ad un certo punto, di dotarmi di un software che consente il retargeting della posta elettronica per inviare ai miei clienti pubblicità one to one, mirata, basata sulle loro abitudini di acquisto, dovrò dotarmi di un DPO e lo stesso vale se adotto un sistema di intelligenza artificiale che analizza il livello di propensione al rischio dei miei clienti e propone agli stessi dei prodotti di investimento tagliati sui risultati di tale calcolo.

Se nei casi indicati è doveroso nominare un DPO, in tutti gli altri casi designare una figura interna che assolva ai compiti del DPO può essere comunque un vantaggio, restando inteso che se si sceglie di procedere a tale designazione, pur non rientrando nell’obbligo, vanno comunque rispettati gli articoli da 37 a 39 del GDPR.

Quali sono i compiti del DPO

Bene. Abbiamo delineato in quali casi la designazione del Responsabile della protezione dei dati è prevista come obbligatoria, vediamo adesso quali sono i compiti del DPO.

Come segnatamente indicato all’articolo 39 del Regolamento n. 679/2016, il DPO deve:

  • formare il personale autorizzato ad accedere ai dati;
  • occuparsi degli audit per la valutazione dei rischi;
  • informare il titolare del trattamento, il responsabile, i dipendenti (gli incaricati) degli obblighi previsti in materia di privacy;
  • vigilare sulla corretta protezione dei dati;
  • verificare che l’intera organizzazione sia conforme alle norme previste dal regolamento, ad altre norme dell’Unione o dello Stato italiano, ai provvedimenti del Garante in materia di privacy;
  • fornire pareri sulle DPIA e se del caso verificare personalmente che le stesse siano correttamente eseguite;
  • redigere i registri del trattamento, aggiornarli e conservarli;
  • effettuare aggiornamenti periodici della strategia e prevedere opportuni interventi a seguito di modifiche interne;
  • essere il punto di contatto con gli interessati (quindi occuparsi di rispondere alle loro richieste di esercizio dei diritti o richieste di informazioni sui loro dati);
  • essere punto di contatto con il Garante della Privacy e procedere a sue volontarie consultazioni se necessario.


Ad un Responsabile della protezione dei dati possono comunque essere assegnati ulteriori compiti in ambito privacy e non, occorre però sempre effettuare una valutazione preliminare per evitare il rischio del conflitto di interessi; nelle decisioni che adotta in ambito privacy questa figura aziendale deve, infatti, sempre poter restare imparziale.


Cosa valutare prima di scegliere chi dovrà assumere il ruolo di DPO in azienda?


La responsabilità sulla scelta del soggetto che dovrà ricoprire l’incarico di DPO è rimessa al titolare o responsabile del trattamento, i quali dovranno valutare l’affidabilità, la conoscenza specialistica della materia e della disciplina normativa e assicurarsi che la scelta cada su un soggetto in grado di assicurare autonomia, indipendenza e terzietà nello svolgimento del suo compito.

Il soggetto può essere un dipendente (possibilmente una figura manageriale) o anche un consulente esterno; occorre tenere presente che se ci si rivolge ad una società di consulenza, sottoscrivendo un contratto di servizi, il ruolo di DPO deve necessariamente essere assegnato ad una persona fisica.


il coinvolgimento del DPO in tutte le fasi di implementazione, modifica e perfezionamento del sistema di compliance GDPR costituisce certamente una delle migliori garanzie di riuscita, in quanto tale figura diventa un punto di riferimento nell’ambito delle organizzazioni che devono assumere decisioni conformi alle regole quando operano sui dati personali, pertanto, anche se non si rientra nell’obbligatorietà, avere a disposizione una figura esperta, costituisce certamente, come peraltro, evidenziato dal WP29 nelle Linee guida sui Responsabili della Protezione dei dati, una best practice ai fini della accountability richiesta dal GDPR.