A partire dal 25 maggio 2018, i titolari o i responsabili del trattamento, come previsto dall’articolo 37 del GDPR – General Data Protection Regulation, dovranno obbligatoriamente nominare un DPO – Data protection Officer, nei seguenti specifici tre casi:
1.quando il trattamento è effettuato da un’autorità/ente pubblico;
2.quando il “core business” del Titolare o del Responsabile consiste di operazioni di trattamento, che richiedono il monitoraggio regolare e sistematico di interessati su larga scala; o
3.quando il “core business” del Titolare o del Responsabile consiste nel trattamento su larga scala di particolari categorie di dati personali o giudiziari.
La materia è stata oggetto di un’autorevole analisi da parte del Gruppo di lavoro ex Articolo 29 dei Garanti UE[1] (wp29), che il 13 dicembre 2016 ha emanato delle Linee Guida sul Responsabile della protezione dei dati – DPO. Le linee guida approfondiscono i casi di nomina obbligatoria del DPO, i concetti di “core business”, “larga scala”[2], “monitoraggio regolare e sistematico”, “conflitto di interessi” nonché le competenze e le conoscenze che la figura professionale del DPO dovrà possedere.
In particolare, il wp29, all’interno delle linee guida, evidenzia che il DPO dovrà possedere competenze e capacità direttamente commisurate al livello di complessità delle attività di trattamento poste in essere dal titolare o dal responsabile del trattamento. Più in particolare il DPO dovrà essere un esperto della normativa europea in tema di data protection (GDPR), dovrà conoscere il settore in cui opera il titolare e la sua organizzazione, i processi e le operazioni poste in essere dallo stesso, nonché possedere competenze informatiche e di sicurezza. All’interno delle linee guida viene sottolineato altresì che il DPO dovrà possedere elevate qualità personali in quanto dovrà svolgere il suo ruolo con integrità ed etica professionale assicurando innanzi tutto il rispetto e l’osservanza delle norme in tema di data protection. Non appare superfluo ricordare che il diritto alla protezione dei dati personali è un principio sancito dalla “Carta dei diritti fondamentali dell’Unione europea”.
Quanto sopra detto evidenzia a mio parere che il DPO, per quanto competente, dovrà essere supportato da una struttura organizzativa volta a sostenerlo nell’adempimento dei suoi compiti e dovrà operare in assenza di conflitto di interessi. La figura professionale del DPO infatti è incompatibile con le figure di vertice che definiscono le finalità e le modalità di trattamento dei dati (amministratore delegato, direttore operativo, responsabile finanza, responsabile del marketing, responsabile delle risorse umane, responsabile IT etc.).
Per le aziende, la figura o meglio la “struttura” del DPO, rappresenterà un costo e un adempimento in termini organizzativi non trascurabile. Le grandi aziende, dotate di risorse economiche adeguate e di risorse competenti potranno strutturare le proprie organizzazioni in modo tale da garantire al DPO un ufficio ad hoc ove all’interno opereranno figure esperte di normativa, informatica, risk management, legale e sicurezza aziendale principalmente incaricate del controllo di conformità al GDPR (Nella tabella 1 si raffigura un esempio di organigramma con DPO di una grande impresa). Nel contempo, in queste aziende, dovranno essere presenti altresì strutture più operative, che si dovranno occupare della concreta realizzazione degli adempimenti normativi previsti dal GDPR, che potremo chiamare convenzionalmente struttura del “Privacy Officer”; pensiamo ad esempio alla redazione dei moduli d’informativa alla clientela, della cura delle nomine a responsabile esterno del trattamento dei dati, la realizzazione del Privacy impact assesment che verrà poi supervisionato dalla struttura del DPO etc.
Anche le aziende di medio grandi dimensioni, sono generalmente già dotate di risorse interne con competenze in risk management, legali, normative, IT, etc., anche se non specializzate in ambito data protection. Un secondo modello organizzativo che potrà quindi essere adottato in molte realtà medio/grandi si baserà su una figura di DPO indipendente, che insieme a un numero contenuto di collaboratori, nello svolgere le proprie attività, potrà avvalersi del supporto e della collaborazione dei vari uffici – compliance, legale, Sicurezza, IT, internal audit – che a diverso titolo e livello contribuiranno al pieno rispetto dei principi sanciti in ambito Privacy. Soprattutto in una fase di implementazione iniziale del nuovo modello organizzativo, il DPO potrà avvalersi altresì del supporto costante di una società di consulenza esterna, alla quale potrà rivolgersi affinché si possa rafforzare il presidio di conformità al nuovo Regolamento (Nella Tabella 2, un esempio di organigramma con DPO in aziende medio/grandi).
Inoltre, un ulteriore modello organizzativo esplicitamente previsto dalla normativa europea, da la possibilità al titolare o al responsabile di nominare un professionista o un’organizzazione esterna in qualità di DPO. E’ ipotizzabile che tale servizio venga offerto da una società di consulenza ben strutturata oppure da un gruppo di professionisti che uniranno singole competenze all’interno di un TEAM affinché possano seguire i propri clienti in modo efficiente.
Fermo restando quanto sopra esposto, per il contesto industriale italiano implementare uno dei modelli organizzativi sopra proposti rappresenterà un’utopia. Il 90% circa delle imprese italiane infatti, presenta un numero di addetti inferiori a 10 e soltanto l’onere di assumere una risorsa qualificata come un DPO comporterebbe dei costi troppo elevati per molte di queste. Da questo punto di vista, nella proposta di Regolamento europeo in tema di data protection, era stato ragionevolmente previsto che soltanto le imprese con più di 250 addetti sarebbero state tenute a nominare un DPO. Tale limite dimensionale non è più presente nella versione definitiva del GDPR. Ritengo che ampio dibattito e attenzione andranno dedicati al tema dell’ applicazione del GDPR nelle PMI in quanto la nuova disciplina europea potrebbe comportare dei costi di adempimento insostenibili per le stesse. Per contro, però, le stesse PMI potrebbero avere serie difficoltà a rimanere sul mercato, soprattutto quando le stesse opereranno in stretta connessione con aziende di grandi dimensioni che pretenderanno il rispetto di quanto sancito dal GDPR, in primo luogo in termini di sicurezza.
Conclusioni
L’ evoluzione della normativa europea in tema di Privacy, l’impatto della stessa su pressoché tutti gli ambiti aziendali, il crescente utilizzo e trattamento dei dati per scopi operativi e commerciali da parte delle aziende imporrà alle stesse di dotarsi di un’organizzazione consona al tipo di attività svolta. La figura del DPO sarà di fondamentale importanza per la compliance al Regolamento europeo nonché per diffondere la cultura della data protection in azienda. In un mondo sempre più fortemente interconnesso, il rispetto dei principi privacy potrà rappresentare un fattore competitivo rilevante per molte realtà aziendali e, per alcune di esse, un elemento essenziale per continuare a stare sul mercato nonostante sia innegabile che l’aumento della complessità organizzativa legata al GDPR porterà, soprattutto in una fase iniziale, ad un aumento dei costi che per realtà di piccole e piccolissime dimensioni potrà rivelarsi insostenibile.
[1] Il Gruppo è stato istituito dall’art. 29 della direttiva 95/46, è un organismo consultivo e indipendente, composto da un rappresentante delle autorità di protezione dei dati personali designate da ciascuno Stato membro, dal GEPD (Garante europeo della protezione dei dati), nonché da un rappresentante della Commissione. Il presidente è eletto dal Gruppo al suo interno ed ha un mandato di due anni, rinnovabile una volta. Per maggiori approfondimenti http://www.garanteprivacy.it/home/attivita-e-documenti/attivita-comunitarie-e-internazionali/cooperazione-in-ambito-ue/gruppo-di-lavoro-ex-articolo-29
[2] Le linee guida contengono degli esempi concreti dai quali si evince che banche, assicurazioni, ospedali, aziende che effettuano trattamenti di geo-localizzazione trattano dati su larga scala e quindi saranno tenute a nominare un DPO.
Interessante e condivisibile. Grazie del contributo.
Grazie molte per il commento.
bellissime le tabelle
grazie
concordo pienamente su un punto.
il vero problema per le azienda piccole che devono avere il DPO (o in generale rispettare il Regolamento) non saranno tanto i controlli del Garante (che comunque ha risorse ed energie limitate) quanto essere adempienti sotto il profilo contrattuale alle richieste della grande azienda con cui lavorano (cioè rapporto titolare – responsabile) .
segnalo sul punto che sono state di recente pubblicate dell’autorità Garante spagnola Linee guida per il contratto tra Titolare e Responsabile
sotto il link
https://www.agpd.es/portalwebAGPD/temas/reglamento/common/pdf/directricescontratos.pdf
Grazie molte Silvia per il commento e per le tue osservazioni che condivido pienamente. Prezioso documento quello da te segnalato che leggerò con interesse.
Concordo con la conclusione del post (e con le osservazioni di Silvia): la vera “autorità” sarà il mercato, in particolare per quelle PMI che dovranno interagire con “aziende di grandi dimensioni che pretenderanno il rispetto di quanto sancito dal GDPR”. Da questo punto di vista l’adozione di codici di condotta suggerita da Fumagalli (https://blog.europrivacy.org/it/2017/01/25/a-sustainable-and-effective-privacy-for-smes/) è certamente d’aiuto ma non risolve il problema della contrattualistica.
Aggiungerei che il tema è già di attualità oggi, ad esempio per una piccola azienda italiana che sto seguendo, fornitore di una grande azienda tedesca: il cliente gli sta chiedendo OGGI come mai non hanno un DPO!
Interessante anche il documento spagnolo. Attenzione, per chi non mastica il castigliano, che quello che loro chiamano “Responsable” è il Controller (il nostro Titolare) mentre il Processor (il nostro Responsabile) lo chiamano “Encargado”.
Grazie molte Paolo per il commento e per l’esempio concreto che hai fornito. Concordo con le tue osservazioni fatte sulle Pmi.