Data protection officer: una "nuova" figura dell'organizzazione aziendale. La difficile demarcazione tra mero controllo e garanzia

News 13/09/2012

di avv. Chiara Fantini - Studio Legale Frediani

La premessa necessaria a questa breve riflessione è che la figura del data protection officer non è nuova alla normativa comunitaria. L'art. 18 della Direttiva 95/46 CE del Parlamento Europeo e del Consiglio del 24 ottobre 1995 prevedeva la possibilità per gli Stati membri di semplificare o escludere l'obbligo di notificazione, poi tradotto negli artt. 37 e ss del nostro D.lgs n. 196/2003, nel caso in cui, compatibilmente con la legge nazionale applicabile, avessero designato un incaricato della protezione dei dati (secondo la traduzione pervenuta). Ad esso potevano essere demandati gli specifici compiti di: assicurare in maniera indipendente l'applicazione interna delle disposizioni nazionali di attuazione della presente direttiva; oltre che di tenere un registro dei trattamenti effettuati dal titolare contenente le informazioni richieste per legge.
La connotazione dei compiti dell'allora incaricato è confermata per il responsabile della protezione dei dati (secondo la nuova terminologia) e ulteriormente definita nella Proposta di Regolamento Europeo e del Consiglio sulla protezione dei dati, in fieri ormai dal 25 gennaio 2012.
La Proposta di Regolamento, a differenza della direttiva citata che lasciava la scelta al legislatore interno, impone e disciplina la presenza del responsabile della protezione dei dati (il data protection officer) nella compagine di organismi pubblici e di autorità pubbliche (anche raggruppate ai soli fini della scelta del responsabile) oppure di imprese (anche in gruppo) con più di 250 dipendenti.
La Proposta demarca l'obbligo anche per i titolari e/o i responsabili del trattamento (traduzione permettendo) che esercitino quali attività principali quelle che per loro natura, oggetto o finalità richiedono il controllo regolare e sistematico degli interessati (avente riguardo, tra l'altro, al loro comportamento economico, commerciale, alle loro abitudini di consumo, secondo le precisazioni della Proposta).
L'omissione in tali casi comporta, secondo le disposizioni del legislatore europeo, una sanzione amministrativa pecuniaria fino a 1.000.000 di euro, per le imprese, fino al 2% del fatturato mondiale annuo, se il trasgressore, con dolo o colpa, non designi un responsabile della protezione dei dati personali.
In specie il legislatore europeo opera una valutazione del rischio oggettivo e "quantitativo" legato alle attività loro riferite per la protezione dei dati personali (e/o alla maggiore esposizione alla violazione dei) che ne vengono coinvolti. Il rischio, più compiutamente, dipende dalla natura del trattamento medesimo, meritevole di particolare attenzione, e anche dalla capacità di organizzare la rete di controllo aziendale.
La capacità si conviene acquisita e comunque cogente nelle imprese di grandi dimensioni e di notevole ramificazione sul territorio e/o nel settore merceologico di competenza. Ma in astratto non è esclusa per gli altri titolari del trattamento che, anche in assenza delle caratteristiche che ne determinano l'obbligo, decidano di procedere alla designazione del responsabile della protezione dei dati personali (o data protection officer).
Altresì, l'art. 22 della Proposta, al comma 3, prevede che il titolare possa mettere in atto meccanismi per assicurare l'efficacia delle adottande misure di prevenzione e di sicurezza e, qualora ciò sia proporzionato, la verifica è effettuata da revisori interni o esterni indipendenti.
Alla luce delle imminenti novità normative il controllo assume un ruolo determinante ai fini della protezione dei dati personali trattati in azienda, sia essa pubblica o privata, di piccole o grandi dimensioni, e con esso il temperamento e la delimitazione del rischio.
La regola è: maggiore è il rischio maggiore è il controllo. L'entità del rischio viene oggettivizzata in una serie di attività di prevenzione, di valutazione e di garanzia (artt. 22, 23, 28, 30, 31, 32, 33, 34, della Proposta di Regolamento), che impegna i titolari del trattamento in base alle dimensioni della loro organizzazione, alle peculiarità dell'oggetto sociale o solo per essere riconosciuti come tali.
La pianificazione del rischio, del controllo e, quindi, delle garanzie stabilite per legge fissa anche i limiti della responsabilità degli attori coinvolti. 
Non vi è pianificazione senza risorse personali capaci di mantenerne l'efficacia. Le risorse umane impiegate nell'azienda sono organizzate in modo da garantire il rispetto delle istruzioni ricevute in materia di privacy e della normativa di riferimento. L'impianto di controllo è un prodotto dei diretti interessati, titolari e/o responsabili del trattamento, i quali, poiché tenuti o determinati alla scelta, lo rimettono al vaglio di soggetti esterni e altresì indipendenti.
Il data protection officer ovvero il responsabile della protezione dei dati (traduzione permettendo), si inquadra nelle esigenze di controllo ravvisate dal titolare del trattamento e negli obiettivi di trasparenza propri della nuova normativa.
Il suo ruolo si qualifica per i doveri di informazione, di sorveglianza e di controllo che non rimane confinato all'interno dell'azienda. Esso, infatti, funge da punto di contatto per l'autorità di controllo per questioni connesse al trattamento, per l'adempimento delle sue richieste e, se del caso, consulta l'autorità di propria iniziativa. Gli interessati al trattamento, altresì, hanno il diritto di riferirsi al responsabile per la protezione dei dati personali per tutte le questioni relative al trattamento dei loro dati personali e presentare richieste per esercitare i diritti ad essi riconosciuti.
Il suo apporto è fondamentale anche per la conservazione della documentazione che il titolare del trattamento, che lo ha designato, deve tenere a disposizione dell'autorità di controllo e consegnare in caso di richiesta. Mantiene i registri dei trattamenti che per legge discendono dagli obblighi di notificazione esercitati da questi in sostituzione di quelli tenuti dall'autorità garante. Crea e detiene altresì ulteriore documentazione relativa all'attività informativa ad esso demandata, esercitata con costanza e diligenza nei confronti dei titolari e/o responsabili che lo hanno designato nonché di quella di controllo della corretta applicazione del regolamento e della normativa di rilievo in materia.
Il riferimento al ruolo nodale attribuito al responsabile per la protezione dei dati non è casuale nella presente trattazione perché consente di fissare alcune questioni altrettanto cruciali che destano già per altri versi particolare attenzione nel nostro paese.
Il data protection officer è destinato a diventare l'ennesimo "controllore" in azienda. O meglio, ad esso è affidato il controllo del controllo.
Giustamente vien da dire.
La posizione è destinata ad assumere particolare incidenza in azienda fin dalla genesi del rapporto con il titolare/responsabile. La scelta e la designazione devono avvenire, infatti, con garanzia di indipendenza e di professionalità.
La collocazione del data protection officer nell'ambito dell'ente deve garantire l'autonomia dell'iniziativa di controllo da ogni forma d'interferenza e di condizionamento da parte di qualunque componente dell'ente medesimo.
In specie il responsabile della protezione dei dati può essere assunto oppure può adempiere ai suoi compiti in base ad un mandato o ad un contratto di servizio. I compiti sono quelli di cui all'art. 37 della Proposta di Regolamento ma possono altresì essere ampliati senza però tradursi in istruzioni specifiche da parte del designante, e senza quindi inficiare l'autonomia della funzione demandata. Né i compiti possono corrispondere ad attività operative che ne minerebbero l'obiettività di giudizio. Nell'ambito del rapporto il designato è tenuto a riferire direttamente ai superiori gerarchici del titolare o del responsabile del trattamento che lo ha designato.
Il data protection officer deve essere altresì qualificato professionalmente per poter svolgere efficacemente l'attività assegnata. Per ora e fino ad ulteriore definizione da parte della Commissione Europea (che agisce ai sensi e per gli effetti del combinato disposto di cui all'art. 86 della Proposta di Regolamento e dell'art. 290 TFUE) i requisiti professionali si riferiscono alla conoscenza specialistica della normativa e delle pratiche in materia di protezione dei dati e alla capacità di adempiere ai compiti affidati. Il livello necessario di conoscenza specialistica è determinato in particolare in base al trattamento di dati effettuato e alla protezione richiesta per i dati personali trattati da chi designa.
Quindi tutto e niente.
Il merito curriculare, i titoli accademici, l'esperienza sul campo e le referenze ottenute sono un buon parametro di scelta. Ma la preparazione del data protection officer deve essere in qualche modo certificata sulla base di parametri aggiornati alla luce anche dei nuovi obblighi ipotizzati dal legislatore europeo che ampliano le incombenze dei titolari, elevano il livello di attenzione e di protezione, e non solo, aggiungono il rigore dei rimedi ad eventuali comportamenti devianti, elaborando fattispecie criminose e di illecito fino ad ora insondate.
Le ulteriori difficoltà potrebbero indurre i titolari, sprovvisti degli strumenti necessari a governarle, ad affidarsi a professionalità acerbe e inattendibili. Con il rischio di subire le conseguenze di un'organizzazione inappropriata dei trattamenti dei dati e della protezione di questi e vanificare le garanzie, di sicurezza prima di tutto, cui è tenuto il titolare e/o il responsabile del trattamento.
La presenza del data protection officer dovrebbe essere di per sé garanzia del rispetto della normativa in materia di protezione dei dati personali per chi si relaziona con l'azienda che lo ha scelto o designato.
La funzione di controllo è sicuramente una funzione endosocietaria ma al contempo rivolge i suoi effetti anche all'esterno, rispetto ai terzi e alle autorità deputate alla verifica delle garanzie tecniche ed organizzative predisposte dai titolari per la protezione dei dati personali. Con tali ultime, per esempio, mantiene i contatti, ne soddisfa le eventuali richieste, e addirittura il responsabile della protezione dei dati può invocarle in situazioni che richiedono il loro sindacato. La posizione assunta non è perciò solo interlocutoria ma sembrerebbe particolarmente attiva nella gestione delle garanzie stabilite dal legislatore europeo e soprattutto nei risultati della stessa o – nel risvolto patologico dell'organizzazione aziendale del controllo - della malagestio.
Il data protection officer, infatti, fa parte esso stesso delle garanzie. Sia perché in alcuni casi le presidia (leggasi conservazione della documentazione privacy aziendale, notificazioni e comunicazioni delle violazioni privacy, esercizio dei diritti dell'interessato), sia perché ne è per alcuni versi l'esecutore (si pensi all'esercizio dei diritti da parte dell'interessato).
La cattiva gestione delle garanzie presidiate dal data protection officer comporta conseguenze di non poco conto per "chiunque" - (il trasgressore sembrerebbe comunque qualificato dai suoi doveri in materia di privacy) –"agisca al fine con dolo o colpa".
Qualche esempio: per l'omissione della conservazione o per la conservazione insufficiente della documentazione privacy richiesta per legge (art. 28 della Proposta di Regolamento), come detto rimessa al responsabile della protezione dei dati laddove designato,è prevista la sanzione amministrativa pecuniaria pari a 5.000.000 EUR o, per le imprese, raggiunge lo 0,5 % del fatturato mondiale; così anche per la mancata informazione o per insufficiente informazione all'interessato e per l'impedimento all'esercizio dei suoi diritti (che come visto può avvenire attraverso il data protection officer); se invece chi, pur essendone tenuto, non adotta politiche interne o non attua misure adeguate per garantire e dimostrare la conformità del trattamento, in violazione delle disposizioni della Proposta di Regolamento (artt. 22, 23 e 30) la sanzione arriva a 1.000.000 EUR e, per le imprese fino al 2% del fatturato mondiale annuo.
Il data protection officer non sembrerebbe immune dalla cc.dd. malagestio della privacy, poiché non completamente estraneo alle condotte sanzionate la cui gravità si misura anche in funzione della diligenza/negligenza di questi. Sul piano penalistico, nel nostro Paese, con riferimento ai doveri assunti dal responsabile della protezione dei dati, quantomeno si alimenterebbero le  - già colorite - diatribe giurisprudenziali sull'affermazione o meno della sua presunta posizione di garanzia, che, pertanto, potrebbe essere oggetto del giudizio per lo meno di correità, determinante agli effetti della responsabilità penale ai sensi e per gli effetti dell'art. 40, comma 2, c.p.
Ritorna, quindi, l'urgenza di una professionalità definita del data protection officer capace di sorreggere il suo ruolo anche in relazione alle diverse realtà aziendali in cui opera e alle esigenze peculiari che ne contraddistinguono il trattamento soggetto al suo controllo; e che sia capace altresì di delimitarne gli obblighi di garanzia, rimessi per ora a semplice interpretazione e ad un mero giudizio prospettico basato su un'esperienza ancora da maturare.
Fin tanto che la Proposta di Regolamento rimane tale sarà quindi il caso di seguire l'esempio di chi già si concede di aggiornare le sue conoscenze in materia di privacy e di procurarsi le professionalità necessarie. Per ora facendo leva sulle possibilità attuali e soprattutto sulla costruzione ordinata e normativamente orientata delle pattuizioni contrattuali chiamate a impegnare i nuovi attori della protezione dei dati personali. 

 

Tag: data protection officer, privacy, trattamento dati