La scelta di nominare o meno un DPO va adeguatamente ponderata

Il Regolamento Europeo 679/2016 è improntato al principio di responsabilizzazione e la nuova figura del DPO (Data Protection Officer o RPD Responsabile della Protezione dei Dati) è appunto finalizzata a favorire l’osservanza della normativa in materia di protezione dei dati, svolgendo, tra l’altro, il ruolo di interfaccia tra i soggetti coinvolti (l’Autorità Garante per la Protezione dei Dati Personali, gli interessati e le divisioni operative di un’azienda o ente).

Nomina obbligatoria (art. 37 GDPR, comma 1, lett. a,b,c)

Il Regolamento impone obbligatoriamente la nomina del DPO nei casi previsti all’art 37:

“1.Il titolare del trattamento e il responsabile del trattamento designano sistematicamente un responsabile della protezione dei dati ogniqualvolta:

a) il trattamento è effettuato da un’autorità pubblica o da un organismo pubblico, eccettuate le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali;

b) le attività principali del titolare del trattamento o del responsabile del trattamento consistono in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala; oppure

c) le attività principali del titolare del trattamento o del responsabile del trattamento consistono nel trattamento, su larga scala, di categorie particolari di dati personali di cui all’articolo 9 o di dati relativi a condanne penali e a reati di cui all’articolo 10.

2.Un gruppo imprenditoriale può nominare un unico responsabile della protezione dei dati, a condizione che un responsabile della protezione dei dati sia facilmente raggiungibile da ciascuno stabilimento.

3…

4.Nei casi diversi da quelli di cui al paragrafo 1, il titolare e del trattamento, il responsabile del trattamento o le associazioni e gli altri organismi rappresentanti le categorie di titolari del trattamento o di responsabili del trattamento possono o, se previsto dal diritto dell’Unione o degli Stati membri, devono designare un responsabile della protezione dei dati. Il responsabile della protezione dei dati può agire per dette associazioni e altri organismi rappresentanti i titolari del trattamento o i responsabili del trattamento….”

La nomina deve essere formalizzata in via telematica direttamente sul sito del Garante e secondo le modalità ivi predisposte.

Nomina facoltativa

Fuori dei casi di cui alle lettera a), b) e c), la nomina del DPO è facoltativa ma, tenuto conto del disposto del comma 4 (secondo cui l’obbligatorietà della nomina può essere  disposta dal diritto dell’Unione o del singolo Stato membro, anche nei casi diversi da quelli di cui al comma 1), avrebbe potuto essere resa obbligatoria da normative europee o nazionali.

Il Decreto attuativo del GDPR (D.Lgs n. 101/2018) nulla ha previsto al riguardo. Pertanto, attualmente la nomina del DPO risulta obbligatoria nei soli casi previsti dalle lettere a, b e c del comma 1 dell’art 37 del Regolamento 679/2016.

Tuttavia, la laconicità delle citate definizioni normative non consente di definire con esattezza il perimetro entro cui la nomina del DPO debba ritenersi obbligatoria.

Quindi, attesa la labilità dei confini, ben può sussistere in alcune fattispecie il concreto rischio che la scelta di un ente di non nominare un DPO possa risultare contraria al Regolamento.

Linee-guida del Gruppo di lavoro Art. 29 (WP243) del 13 dicembre 2016

Quanto dianzi affermato trova evidente conferma nel documento WP243 redatto dal cd. Gruppo di lavoro Art 29 (costituito al fine di fornire indicazioni utili per la conformità al Regolamento GDPR) che se da un lato ha maggiormente chiarito le laconiche definizioni normative, fornendo indicazioni esplicative sul significato da attribuire alle locuzioni “monitoraggio regolare e sistematico” e “trattamento su larga scala”, dall’altro lato si è premurato di affermare che:

“Tranne quando sia evidente che un soggetto non è tenuto a nominare un RPD, il Gruppo di lavoro raccomanda a titolari del trattamento e responsabili del trattamento di documentare le valutazioni compiute all’interno dell’azienda o dell’ente per stabilire se si applichi o meno l’obbligo di nomina di un RPD, così da poter dimostrare che l’analisi ha preso in esame correttamente i fattori pertinenti”.

La scelta di non nominare un DPO (tranne che per i casi in cui sia evidente la non obbligatorietà della nomina) – in ossequio al principio di responsabilizzazione – deve essere, quindi, necessariamente frutto di una ragionata analisi di cui l’ente deve essere in grado di dimostrare lo svolgimento.

A ogni modo, il Gruppo di lavoro, richiamando il considerando 91 del Regolamento, al fine di stabilire se un trattamento sia effettuato su larga scala raccomanda di tenere conto, in particolare, dei fattori qui elencati:

– il numero di soggetti interessati dal trattamento, in termini assoluti ovvero espressi in percentuale della popolazione di riferimento;

– il volume dei dati e/o le diverse tipologie di dati oggetto di trattamento;

– la durata, ovvero la persistenza, dell’attività di trattamento;

– la portata geografica dell’attività di trattamento

Faq sul DPO e risposte del Garante

“Ricorrendo i suddetti presupposti, sono tenuti alla nomina, a titolo esemplificativo e non esaustivo: istituti di credito; imprese assicurative; sistemi di informazione creditizia; società finanziarie; società di informazioni commerciali; società di revisione contabile; società di recupero crediti;  istituti  di  vigilanza;  partiti e movimenti  politici; sindacati;  caf e patronati; società operanti nel settore delle “utilities” (telecomunicazioni, distribuzione di energia elettrica o gas); imprese di somministrazione di lavoro e ricerca del personale; società operanti nel settore della cura della salute, della prevenzione/diagnostica sanitaria quali ospedali privati, terme, laboratori di analisi mediche e centri di riabilitazione; società di call center; società che forniscono servizi informatici; società che erogano servizi televisivi a pagamento.

Nei casi diversi da quelli previsti dall’art. 37, par. 1, lett. b) e c), del Regolamento (UE) 2016/679, la designazione del responsabile del trattamento non è obbligatoria (ad esempio, in relazione a trattamenti effettuati da liberi professionisti operanti in forma individuale; agenti, rappresentanti e mediatori operanti non su larga scala; imprese individuali o familiari; piccole e medie imprese, con riferimento ai trattamenti dei dati personali connessi alla gestione corrente dei rapporti con fornitori e dipendenti: v. anche considerando 97 del Regolamento, in relazione alla definizione di attività “accessoria”).

Nelle risposte alle nuove FAQ riguardo al DPO del marzo 2018, oltre alle esemplificazioni sopra riportate il Garante ribadisce senza mezzi termini che:

“In ogni caso,  resta comunque raccomandata, anche alla luce del principio di  “accountability” che permea il Regolamento, la designazione di tale figura” (cfr. Linee Guida sui Responsabili della Protezione dei Dati).

Il DPO di gruppo o di sistema

L’art. 37 comma 2 del Regolamento GDPR prevede che  “Un gruppo imprenditoriale può nominare un unico responsabile della protezione dei dati”.

Al riguardo si rammenta la definizione di “gruppo” e di “impresa” di cui ai numeri 19 e 18 dell’art. 4 del Regolamento, ove è specificato che tra le “imprese” devono intendersi ricomprese  “le società di persone o le associazioni che esercitano regolarmente un’attività economica”).

* * *

La scelta ponderata di nominare o meno un DPO (anche di gruppo o di sistema)

In ragione di quanto sopra esposto, circa la labilità dei confini entro i quali la nomina di un DPO debba considerarsi necessaria in quanto obbligatoria, deve qui ribadirsi che – in ossequio al principio di responsabilizzazione –  la scelta di non nominare un DPO  necessita comunque di una ragionata analisi di cui l’ente deve essere in grado di dimostrare lo svolgimento, in quanto sussiste il rischio che tale scelta possa risultare in concreto contraria al Regolamento.

E ciò soprattutto quando in ambito di un gruppo di enti sia stato già nominato un DPO di gruppo o di sistema.

Infatti, una volta che sia stato nominato un DPO di gruppo o di sistema dalla maggior parte degli enti che, in ragione dei loro collegamenti, rientrano in un medesimo gruppo di imprese (come più sopra definito), nell’analisi che deve corredare la scelta di non procedere alla nomina di un DPO dovrà pure darsi adeguata e documentata giustificazione di tale scelta, non solo in termini assoluti  ma anche in relazione alla appartenenza al gruppo, fornendo un idoneo razionale della volontà dell’ente di rimanerne ai margini riguardo alla nomina del DPO di sistema.

In conclusione – pur rimanendo in capo a ciascun ente la scelta di nominare o meno un DPO – tale scelta importa necessariamente una ponderata analisi del rischio ad essa conseguente, che rimane di responsabilità dell’ente che tale scelta abbia assunto.

Articolo di Michele Centrone

Avvocato del Foro di Roma con ultra ventennale esperienza nel contenzioso giudiziario in ambito del diritto civile, societario, lavoro e famiglia. Formato “Auditor 231, Componente OdV 231 e Specialista 231”. Cultore della materia in ambito Privacy e GDPR. Cura la progettazione, l’implementazione e l’aggiornamento di sistemi di controllo interno in materia di Responsabilità Amministrativa degli Enti, Anticorruzione e Protezione dei dati personali (GDPR). È Professional presso PK Consulting S.r.l. e Probitas S.r.l..

Contattaci:

Accetto le condizioni sulla Privacy. [Leggi]