0
Data Protection Officer - DPO

Data Protection Officer: esperto giurista o esperto informatico

Il Data Protection Officer (DPO) è una nuova figura professionale introdotta dal Reg. UE n. 679/2016 del Parlamento europeo (c.d. GDPR, General Data Protection Regulation), e oggi prevista anche nel nostro ordinamento, a seguito dell’entrata in vigore del GDPR in data 25.05.2018 in tutto il territorio dell’Unione europea.

Il GDPR (art. 39) impone al DPO degli obblighi importanti in seno all’organismo che lo ha nominato; egli infatti è incaricato (e quindi è ritenuto responsabile di):

  • Informare e consigliare il titolare o il responsabile del trattamento dei dati personali, e i loro dipendenti;
  • Assicurare il rispetto del regolamento e della legge nazionale in merito alla protezione dei dati;
  • Informare l’organizzazione sulla realizzazione di studi di impatto sulla protezione dati e verificarne l’esecuzione;
  • Collaborare con il Garante ed esserne il punto di contatto;
  • Collaborare nell’adeguamento agli obblighi imposti dal regolamento europeo, fornendo informazioni sul contenuto dei nuovi obblighi imposti dal regolamento europeo;
  • Condurre un inventario del trattamento dei dati della propria organizzazione;
  • Progettare azioni di sensibilizzazione;
  • Gestire in maniera continuativa la conformità dell’organizzazione al regolamento.

E’ evidente, da questo breve elenco, che le responsabilità che sorgono in capo alla persona designata come Data Protection Officer sono quindi rilevantissime. Inoltre, una volta nominato, i dati di contatto del DPO dovranno essere pubblicati dal Titolare o dal Responsabile del trattamento (in modo che gli interessati possano contattarlo per tutte le questioni relative al trattamento dei loro dati personali e all’esercizio dei loro diritti) e comunicati al Garante della privacy (l’Autorità garante per la protezione dei dati personali).

Ci si potrebbe quindi chiedere se, effettivamente, un avvocato possa essere la persona più indicata a rivestire il ruolo di Data Protection Officer, una nomina che comporta necessariamente il possesso di nozioni tecniche maggiori e diverse rispetto alle semplici competenze legali.

Laddove l’avvocato dovesse svolgere funzioni di DPO dovrà, infatti, tenere presente che i compiti, le funzioni e le verifiche imposti dal GDPR non richiedono conoscenze di esclusiva natura legale.

Inoltre, l’assimilazione delle due funzioni di avvocato difensore e di Data Protection Officer è un elemento da valutare con grande attenzione. L’avvocato, infatti, oltre a essere sempre capace di garantire la propria autonomia e indipendenza, dovrebbe anche evitare di essere coinvolto in conflitti di interesse, i quali potrebbero derivare dall’essere egli, contemporaneamente, sia la persona di contatto dell’autorità di protezione dei dati (un ruolo che comporta l’obbligo di riferire all’Autorità di vigilanza informazioni che, nel concreto, potrebbero essere in contrasto con l’interesse del cliente) sia colui che, in qualità di legale nominato, tutela e rappresenta gli interessi dei clienti in sede giudiziaria e stragiudiziale.

In considerazione di questo potenziale conflitto di interessi, sarebbe opportuno che l’avvocato assumesse il ruolo di Data Protection Officer solo laddove non abbia agito come legale di fiducia in questioni che potrebbero rientrare nella responsabilità del Data Protection Officer. Egli, inoltre, durante il mandato come DPO, non dovrebbe assumere compiti di difesa in questioni in cui dovesse essere coinvolto in qualità di Data Protection Officer.

Al di là di questi principi-guida, che all’avvocato – anche il meno esperto – non sono certo estranei, occorre però chiedersi se il sapere scientifico da cui attingere per svolgere il ruolo di DPO sia più quello tecnico-informatico oppure quello giuridico.

Al riguardo, una sentenza del Tar Friuli Venezia Giulia, la n. 287/2018 del 13.09.2018, nell’annullare un avviso pubblico per l’affidamento dell’incarico di DPO in un’azienda sanitaria, è intervenuta sui requisiti richiesti per ricoprire tale figura.

I giudici amministrativi, in particolare, hanno escluso che un bando pubblico possa richiedere il possesso, in capo al DPO, della certificazione di Auditor/Lead Auditor ISO/IEC/27001 quale requisito di ammissione alla procedura selettiva.

Infatti, la figura del DPO richiede la scrupolosa conoscenza e applicazione delle norme di legge speciali (europee e nazionali) in materia di tutela dei dati personali e della riservatezza, oltre che, dobbiamo aggiungere, le indicazioni del Garante privacy (almeno) nazionale che periodicamente vengono pubblicizzate anche in forma di pareri giuridici e pubblicati sul sito istituzionale dell’Autorità di vigilanza, che spesso contengono utili – se non cogenti – opinioni circa i modi in cui dare piena garanzia ai diritti dei titolari dei dati.

Ciò che i giudici rilevano, quindi, è la specifica funzione di garanzia insita nell’incarico di DPO, il cui precipuo oggetto non è costituito dalla predisposizione dei meccanismi tecnici e/o informatici volti a incrementare i livelli di efficienza e di sicurezza nella gestione delle informazioni; al contrario, la funzione del DPO è volta alla “tutela del diritto fondamentale dell’individuo alla protezione dei dati personali indipendentemente dalle modalità della loro propagazione e dalle forme, ancorché lecite, di utilizzo”. Tematiche, queste, che non sono garantite dal possesso della certificazione ISO/IEC/27001, i cui programmi di corso sono caratterizzati da una durata particolarmente contenuta (2/5 giorni) per un massimo di 40 ore, dalla netta prevalenza delle tematiche attinenti all’organizzazione aziendale (a discapito dei profili giuridici) e dall’assenza di contenuti riferibili all’attività e alla struttura degli enti pubblici.

Da qui, la conclusione che il nucleo essenziale e irriducibile della figura professionale del Data Protection Officer non può che qualificarsi come eminentemente giuridico.

Circostanza sicuramente da tenere conto visto che, proprio nell’ambito della pubblica amministrazione, può essere designato un unico Data Protection Officer per più enti pubblici o PA, in ragione della loro dimensione e struttura organizzativa. In questi casi, il DPO potrà essere individuato sia tra il personale dipendente in organico, sia tra professionisti esterni all’azienda a cui sarà possibile affidare tale incarico in base a un contratto di servizi.

In entrambi i casi però, il ruolo (che potrà essere rivestito anche da un team di professionisti, non essendoci nel GDPR preclusioni al riguardo) dovrà necessariamente possedere expertise in ambito giuridico.

1 Star2 Stars3 Stars4 Stars5 Stars (5 votes, average: 5,00 out of 5)
Loading...

Lascia un commento

Your email address will not be published.