RDP/DPO: Il Responsabile dei Dati personali e le sue Competenze professionali
L’art. 37 del Reg. UE 679/2016[1] principia, come già anticipato in altra sede[2], la disciplina relativa il Responsabile della protezione dei dati (alias DPO).
Poiché figura di un certo rilievo all’interno della normativa europea, il soggetto che andrà a ricoprire il ruolo di DPO dovrebbe possedere le necessarie capacità professionali e conoscenze specialistiche.
Sarà lo stesso art. 37 al paragrafo 5 ad esplicitare tale esigenza, stabilendo infatti che il DPO “è designato in funzione delle qualità professionali, in particolare della conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati, e della capacità di assolvere i compiti di cui all’art. 39”.
Anche il Considerando 97 si esprime in tal senso laddove sostiene che “il titolare del trattamento o il responsabile del trattamento dovrebbe essere assistito da una persona che abbia una conoscenza specialistica della normativa e delle pratiche in materia di protezione di dati nel controllo del rispetto a livello interno del presente regolamento.” e aggiunge “ il livello necessario di conoscenza specialistica dovrebbe essere determinato in particolare in base ai trattamenti di dati effettuati e alla protezione richiesta per i dati personali trattati dal titolare del trattamento o dal responsabile del trattamento. Tali responsabili della protezione dei dati, dipendenti o meno del titolare del trattamento, dovrebbero poter adempiere alle funzioni e ai compiti loro incombenti in maniera indipendente”.
Conoscenze Specialistiche e Qualità Professionali
Si rinviene spesso l’utilizzo di espressioni quali “conoscenza specialistica”, “qualità professionali” e “assolvere i compiti” o “adempiere alle funzioni e ai compiti”. Anche in questo caso, come per altri, il Legislatore Europeo non ha fornito ulteriori specificazioni in merito, ma non serve coraggio o spirito interpretativo per comprendere che il DPO deve avere un più alto livello di conoscenze in base al tipo di trattamento effettuato (e alla protezione richiesta dal titolare o dal responsabile). Dunque più particolare sarà il tipo di trattamento, e così anche il tipo di protezione richiesta, maggiori saranno le conoscenze specialistiche del soggetto designato a rivestire idoneamente il ruolo di DPO[3].
Lo stesso “Gruppo di lavoro articolo 29 per la protezione dei dati” (da adesso WP29) ritiene che “il livello di conoscenze specialistiche richiesto non trova una definizione tassativa” di talché “deve essere proporzionato alla sensibilità, complessità e quantità dei dati sottoposti a trattamento”.[4]
In merito poi alle “qualità professionali” non solo va considerata la conoscenza che il futuro e potenziale DPO ha della normativa europea e nazionale in materia di trattamento dei dati personali, ma andrà altresì tenuto conto della sua particolare competenza e conoscenza in relazione allo “specifico settore di attività e della struttura organizzativa del titolare del trattamento”[5].
Integrità personale e elevati standard deontologici
“Assolvere i compiti” o “adempiere le funzioni” sono attività strettamente legate non solo alle conoscenze e alle capacità professionali ma anche al ruolo svolto all’interno della struttura in cui opera il DPO.
Segnatamente, il WP29 precisa che per “capacità di assolvere i propri compiti si deve intendere quanto legato alle qualità personali e alle conoscenze del RPD […]. Le qualità personali dovrebbero comprendere, per esempio, l’integrità ed elevati standard deontologici; il RPD svolge un ruolo chiave nel promuovere la cultura della protezione dei dati all’interno dell’azienda o dell’organismo e contribuisce a dare attuazione a elementi essenziali del regolamento quali i principi fondamentali del trattamento, i diritti degli interessati, la protezione dei dati sin dalla fase di progettazione e per impostazione predefinita, i registri delle attività di trattamento, la sicurezza dei trattamenti e la notifica e comunicazione delle violazioni di dati personali”.[6]
Conoscenza legale e dei sistemi informatici
Ad ogni modo, il soggetto che rivestirà il ruolo di DPO è opportuno che abbia non solum una discreta conoscenza dei sistemi informatici sed etiam un fondamentale profilo giuridico[7], sì da permettergli quella capacità operativa tanto agognata dal Legislatore Europeo.
Infine, al paragrafo 6 l’art. 37 statuisce come il responsabile della protezione dei dati non debba, pur potendo, essere un dipendente del titolare o del responsabile, può anche assolvere i suoi compiti e le sue funzioni esternamente all’organismo e all’azienda tramite un cd contratto di servizi.
In questa circostanza non manca il soccorso del WP29 che, per offrire maggior chiarezza, osserva come “la funzione di DPO si possa esercitare anche in base ad un contratto di servizi stipulato sia con una persona giuridica che con una persona fisica esterna all’organismo o all’azienda titolare/responsabile del trattamento.”[8]
Note:
[1]Il Reg. UE 679/2016 è entrato in vigore il 25 maggio 2018. Per un seio adeguamento del Codice della Privacy (D.Lgs 196/2003) alla normativa europea si dovrà attendere, in Italia, il D.lgs 101/2018;
[2] https://www.dmprivacyconsulting.it/2019/02/18/il-data-protection-officer-la-designazione-del-dpo
[3]Così anche M. Soffientini – PRIVACY Protezione e Trattamento dei dati – Wolters Kluwer – Ipsoa 2018 & E. Bassoli – La Nuova Privacy GDPR dopo il D.lgs. 10 agosto 2018, n.101– DIKE giuridica editrice 2018;
[4]“Gruppo di lavoro articolo 29 per la protezione dei dati” – Linee guida sui responsabili della protezione dei dati – pag. 14-15;
[5]Ibidem;
[6]Ibidem;
[7]Così anche M. Soffientini – PRIVACY Protezione e Trattamento dei dati – Wolters Kluwer – Ipsoa 2018;
[8]Segnatamente, il “WP29” continua affermando che “In tal caso, è indispensabile che ciascun soggetto appartenente alla persona giuridica e operante quale RPD soddisfi tutti i requisiti applicabili come fissati nella Sezione 4 del RGPD; per esempio, è indispensabile che nessuno di tali soggetti versi in situazioni di conflitto di interessi. Pari importanza riveste il fatto che ciascuno dei soggetti in questione goda delle tutele previste dal RGPD: per esempio, non è ammissibile la risoluzione ingiustificata del contratto di servizi in rapporto alle attività svolte in quanto RPD, né è ammissibile l’ingiustificata rimozione di un singolo appartenente alla persona giuridica che svolga funzioni di RPD. Al contempo, si potranno associare le competenze e le capacità individuali affinché il contributo collettivo fornito da più soggetti consenta di rendere alla clientela un servizio più efficiente”.