Il ruolo del Responsabile della Protezione dei Dati (RPD)

Estratto dal libro di Bruno DUMAY: GDPR DECRYPTION – Per manager, dipartimenti strategici e dipendenti di aziende e organizzazioni – Prefazione di Gaëlle MONTEILLER

Insieme alla Valutazione d'Impatto, il Responsabile della Protezione dei Dati (RPD) è la seconda figura emblematica del GDPR. In Francia, sostituisce logicamente il Responsabile della Protezione dei Dati (CIL), il Responsabile della Protezione dei Dati (CPL). Va tuttavia notato che l'Unione Europea raccomanda da tempo la nomina di un RPD nelle grandi strutture amministrative ed economiche, e che alcune hanno seguito questa raccomandazione.

Il G29 ha lavorato sul ruolo del DPO e ha adottato alcune "linee guida" finalizzate il 5 aprile 2017. Questi dettagli ci aiutano a delineare i contorni e i contenuti di questa posizione chiave.

La designazione di un DPO è obbligatoria per (art. 37-1):

– enti pubblici;

– organizzazioni le cui attività principali richiedono un monitoraggio regolare e sistematico degli individui su larga scala. Il G29 distingue tra attività di supporto, come la gestione delle buste paga o l'IT, e attività principali, che riguardano il core business dell'organizzazione (ad esempio, i dati sanitari per un ospedale). Analogamente, adotta una visione molto ampia del concetto di "monitoraggio regolare e sistematico", che non si limita all'ambiente online;

– organizzazioni le cui attività principali le portano a trattare dati “sensibili” o dati relativi a condanne penali e reati su larga scala (G29 fornisce elementi significativi per determinare cosa si intende per “larga scala”).

Un gruppo di aziende o un insieme di enti pubblici può nominare un unico DPO (artt. 37-2 e 3). Naturalmente, la nomina di un DPO è fortemente raccomandata dal G29, anche in questo caso come buona prassi.

Il responsabile della protezione dei dati è nominato dal titolare del trattamento e, ove applicabile, dal responsabile del trattamento, in base alle sue qualità professionali, "in particolare alla sua conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati, e alla sua capacità di svolgere i propri compiti" (art. 37-5). Quanto più complesse sono le operazioni di trattamento, tanto più elevate sono le competenze richieste.

Il DPO può essere interno o esterno all'organizzazione e, in quest'ultimo caso, svolgere la propria missione sulla base di un contratto. Se il fornitore di servizi è un team, i compiti di ciascun membro devono essere specificati e deve essere designato un responsabile del team. Il WP29 raccomanda che il DPO sia facilmente "raggiungibile" e pertanto che abbia sede nell'Unione Europea. Tuttavia, in particolare quando il titolare del trattamento o il responsabile del trattamento hanno sede al di fuori dell'Unione Europea, è accettabile che il DPO abbia sede al di fuori dell'UE, se ciò consente di agire in modo più efficace.

Il DPO non svolge solo un ruolo simbolico. Deve essere coinvolto, dal titolare del trattamento e dal responsabile del trattamento, "in tutte le questioni relative alla protezione dei dati personali" (art. 38-1). Può essere contattato da chiunque i cui dati personali siano trattati (art. 38-4). Dispone delle "risorse necessarie" per svolgere i suoi compiti, ha accesso ai dati e alle operazioni di trattamento e deve anche essere in grado di "mantenere le proprie conoscenze specialistiche" (art. 38-2). Con "risorse necessarie", il G29 intende anche il supporto attraverso supervisione, tempo sufficiente, condizioni materiali e formazione. Il DPO è, in un certo senso, santificato.

Tanto più che la sua indipendenza è garantita. Non può infatti "ricevere istruzioni relative all'esercizio delle missioni" (art. 38-3). Il titolare del trattamento e il subappaltatore non hanno alcun potere su di lui (hanno tuttavia il potere di nominarlo), che è responsabile solo nei confronti del "livello più alto" della loro direzione. È inoltre soggetto al segreto professionale e all'obbligo di riservatezza (art. 38-5).

Nonostante il suo status, il DPO non è responsabile per la violazione del GDPR da parte dell'organizzazione che lo ha incaricato. Sono responsabili solo il titolare del trattamento e/o il responsabile del trattamento. La responsabilità penale potrebbe sussistere solo in caso di concorso in una violazione dolosa.

Il responsabile della protezione dei dati può svolgere altre funzioni e compiti, che non devono comportare conflitti di interesse (art. 38-6). Gli è pertanto impossibile svolgere funzioni che lo portino a decidere sulle finalità e sulle modalità del trattamento dei dati personali. Un RPD non può quindi esercitare funzioni di gestione dell'organizzazione o lavorare all'interno del servizio responsabile della gestione dei dati. Nel 2015, la CNIL ha condotto uno studio per determinare i profili dei responsabili della protezione dei dati; è emerso che non esisteva un profilo tipo: 47 % avevano un profilo tecnico, 19 % un profilo legale, 10 % un profilo amministrativo. È probabile che, almeno inizialmente, questa assenza di un profilo tipo si riscontrerà tra i RPD.

L'articolo 39 del GDPR elenca i doveri del delegato:

– informare e consigliare il titolare del trattamento, il responsabile del trattamento e i dipendenti che eseguono il trattamento in merito ai loro obblighi relativi alle norme sul trattamento dei dati personali;

– monitorare il rispetto delle normative, ma anche sensibilizzare e formare il personale coinvolto nelle operazioni di trattamento;

– fornire consulenza, se richiesta, sulla valutazione d'impatto. Le linee guida del WP29 attribuiscono chiaramente al RPD un ruolo fondamentale in tale valutazione. Il RPD deve essere consultato sulla tempestività, la metodologia e il contenuto, per poi valutarne la qualità;

– collaborare con l'autorità di controllo e fungere da punto di contatto per essa. Al momento della stesura di questo documento, la CNIL sta elaborando un modulo per la designazione del DPO.

Non è presente nell'articolo, ma il G29 aggiunge una missione aggiuntiva e facoltativa al DPO: "Nulla impedisce al titolare del trattamento o al responsabile del trattamento di affidare al DPO la missione di tenere il registro dei trattamenti effettuati sotto la responsabilità del titolare del trattamento o del responsabile del trattamento". Forse si tratta di un suggerimento per facilitare il flusso di informazioni tra i diversi attori?

Ciò non sarebbe inutile. Perché al termine dell'analisi di questa funzione, ci diciamo che non sarà facile trovare, anche in una grande azienda, una persona che sia competente a svolgere questo ruolo fondamentale e che sia libera da qualsiasi responsabilità nel trattamento dei dati, al fine di evitare conflitti di interesse. Non è facile, infatti, essere consapevoli delle disposizioni di un regolamento, e soprattutto delle loro conseguenze, quando non si è tenuti a recepirle personalmente nel contesto del proprio lavoro.

A questo punto, il problema relativo alla denominazione del DPO è semplice, anche se in realtà si tratta di tre affermazioni distinte:

Nominandolo internamente, ci sono molteplici ostacoli da superare, come l'aspetto sociale e la rinegoziazione del contratto di lavoro. In effetti, in questo caso, è logico supporre che la portata di questa nuova missione non fosse nota al momento della firma iniziale del contratto. Se aggiungiamo la nozione di rischio, la subordinazione diretta ed esclusiva alla governance aziendale e a nessun'altra, si tratta di una modifica sostanziale del contratto, quindi di un nuovo contratto di lavoro. E chi lo valuterà internamente, lo controllerà? E chi farà il suo lavoro, visto che non potrà più essere giudice e arbitro...

Assumetelo e la domanda salirà alle stelle. Il profilo è così ricercato dalle grandi e medie aziende che si è verificata una vera e propria inflazione, dovuta alla carenza di personale. E il problema rimane: chi lo valuterà e lo monitorerà?

Perché, quindi, non delegare questa funzione di DPO a un professionista giurato, che potrebbe svolgere il suo ruolo con una competenza e un'indipendenza difficilmente conciliabili internamente? Il regolamento non dice nulla in merito a questa possibilità, e sarà necessario verificare nella pratica se sia concepibile e prevista (nulla ci impedisce di interrogare la CNIL in merito). In ogni caso, ci sembra interessante, una garanzia di un rapporto virtuoso tra titolare del trattamento e responsabile della protezione dei dati.

E infine, possiamo semplicemente decidere di non nominare un DPO, semplicemente perché non siamo strettamente obbligati a farlo.