Manca poco alla scadenza del 25 maggio 2018, data che sancisce l’entrata in vigore del Regolamento Europeo n. 679/2016 (GDPR) ed entro la quale circa 45 mila imprese pubbliche e private, tra le quali molte startup, adempiranno all’obbligo di designare un Data Protection Officer (c.d. “DPO” o “responsabile della protezione dei dati”).
Come abbiamo visto, il GDPR introduce diverse novità, tra cui il Registro dei Trattamenti, di cui abbiamo già parlato qui, e la figura del DPO, il fulcro del nuovo sistema di governance in tema di protezione dei dati personali. Tra i fondamentali compiti del DPO quello di facilitare l’osservanza della normativa, non solo attraverso attività di consulenza e supporto alle funzioni operative ma anche tramite processi di ispezione e controllo interno. Il DPO agisce quale intermediario fra i vari stakeholder (autorità di controllo, interessati e funzioni aziendali).
Qualsiasi entità giuridica, Titolare o Responsabile del Trattamento dei dati, che rientri nei parametri di applicazione dell’art. 37 del GDPR sarà tenuta a designare un Data Protection Officer.
L’obbligo ricade in particolare sulle Autorità e sugli Organismi pubblici (ad es. Amministrazioni dello Stato, Enti pubblici non economici nazionali, regionali e locali, Regioni ed Enti locali, Università, Camere di commercio, industria, artigianato e agricoltura, Aziende del Servizio Sanitario Nazionale), oltre che su tutti i soggetti che, come attività principale, effettuino un monitoraggio regolare e su larga scala delle persone fisiche ovvero trattino su larga scala categorie particolari di dati personali.
La stessa disposizione dell’art. 37 del GDPR, ricordando che anche coloro che non rientrano nelle suddette categorie possono avvalersi di un Responsabile della protezione dei dati, sembra in ogni caso suggerire o incoraggiare la diffusione della figura del DPO.
Vale la pena sottolineare le caratteristiche di indeterminatezza e genericità dei criteri e termini utilizzati nel GDPR (come ad esempio quello di “trattamento su larga scala” o di “attività principale”) che talvolta possono favorire dubbi interpretativi e creare incertezza sul piano giuridico.
In proposito, importanti indicazioni sui criteri e la terminologia utilizzata nell’art. 37 del GDPR sono fornite dal Gruppo di Lavoro articolo 29 in materia di protezione dei dati personali nelle Linee Guida sul DPO (“Guidelines on Data Protection Officers”), che però non consentono di fugare ogni dubbio in materia. Se ne rende conto lo stesso Organismo, che auspica lo sviluppo di standard practice che chiariscano più specificamente i casi di applicabilità.
Certamente l’obbligo del DPO può ricadere sulle startup avendo il legislatore europeo escluso qualsiasi criterio legato ad esempio alle dimensioni dell’azienda, in termini di personale, fatturato o altri indici. Queste potrebbero essere obbligate a nominare un DPO in quanto Titolari o Responsabili del trattamento (in caso di attività di fornitura di servizi), ad esempio nelle seguenti ipotesi di trattamento su larga scala fornite dal Gruppo di Lavoro articolo 29: trattamento di dati relativi agli spostamenti di utenti di un servizio di trasporto (ad es. carsharing); trattamento di dati di geolocalizzazione raccolti in tempo reale per finalità statistiche rispetto ai clienti di una catena di fast food; fornitore che svolge servizi di tracciamento degli utenti del sito web ed assistenza per attività di pubblicità e marketing mirati.
Conformemente alla nuova normativa in materia di protezione dei dati personali, il Data Protection Officer “è designato in funzione delle qualità professionali, in particolare della conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati, e della capacità di assolvere i (rispettivi) compiti”.
Si tratta di un ruolo multidisciplinare che richiede competenze giuridiche e tecniche diverse: conoscenza della normativa e delle prassi in materia di data protection, delle tecnologie informatiche e delle misure di sicurezza dei dati, dei sistemi di gestione aziendali e del mercato di riferimento in cui opera il Titolare/Responsabile.
Il Regolamento GDPR apre a due diverse soluzioni di nomina del DPO, a seconda che sia un soggetto dipendente della Società ovvero un soggetto esterno. La decisione del Titolare o del Responsabile è discrezionale e deriva da una ponderazione di fattori di natura quantitativa o qualitativa (necessità di una presenza full time o meno, la disponibilità di una risorsa interna con un profilo adeguato o la possibilità di reperire una risorsa adeguata da assumere, costo delle due soluzioni, dimensioni e complessità dell’azienda).
Conformemente al concetto di accountability espresso in più occasioni dal Legislatore europeo, il Titolare o il Responsabile del Trattamento dovrebbero documentare il processo decisionale ed i fattori che hanno determinato la scelta aziendale di nominare o non nominare un DPO. Tale analisi potrebbe peraltro essere oggetto di controlli da parte dell’Autorità Garante dei dati personali e dovrebbe essere aggiornata in caso di variazione dei presupposti di applicabilità definiti nell’art. 37 c.1, del GDPR (per esempio in caso di offerta di un nuovo servizio).
Una soluzione prospettabile con riferimento alle startup obbligate a nominare un DPO, o a quelle che pur non obbligate ne valutino positivamente l’opportunità, può essere sicuramente quella di affidare l’incarico ad una società di consulenza specializzata sulla base di un contratto di servizi.
Tale prospettiva offerta come detto dal Legislatore favorisce probabilmente le Società meno complesse dal punto di vista organizzativo e per le quali la nomina ad hoc di un soggetto responsabile della protezione dei dati personali potrebbe essere eccessivamente onerosa. Tale scelta è maggiormente giustificata considerando quanto espresso dal Garante per la protezione dei dati personali nelle FAQ pubblicate nel dicembre u.s., nelle quali suggerisce l’affidamento dell’incarico di DPO interno “a un dirigente ovvero a un funzionario di alta professionalità”.
Sulla base del medesimo documento del Garante, la designazione a Data Protection Officer viene formalizzata con apposito atto o come parte integrante del contratto di servizi. In entrambi i casi deve essere individuato in maniera inequivocabile il soggetto che opererà come tale e indicate le generalità, i compiti e le funzioni da svolgere in ausilio al Titolare/Responsabile.
Questi ultimi sono inoltre tenuti ad illustrare le motivazioni che hanno indotto la scelta della determinata persona fisica selezionata, anche al fine di verificarne i requisiti ed il processo di selezione. Tale attività, oltre a rappresentare una buona prassi di condotta è indice di trasparenza e costituisce, ancora una volta, elemento di valutazione del rispetto del principio dell’“accountability”.
Contributor: Michele Malagò – Senior Legal Consultant P4I
