Data Protection Officer, il rapporto con il Titolare del trattamento.

Come già anticipato, la figura del DPO riveste un ruolo fondamentale soprattutto per quei titolari del trattamento che si trovano nella circostanza di doverlo obbligatoriamente nominare. Se in merito alla nomina non vi sono dubbi di particolare rilievo risulta, invece, afflitto da coni d’ombra il rapporto tra il Titolare o il Responsabile e il DPO.

L’operazione inclusiva e di coinvolgimento

L’art. 38 del Reg. UE 679/19 disciplina il rapporto che intercorre tra Titolare o Responsabile e DPO evidenziando in via principale, poiché elemento di cruciale importanza, il coinvolgimento tempestivo e adeguato del DPO in tutte quelle tematiche e questioni relative al trattamento dei dati¹. Questa operazione inclusiva del Data Protection Officer è opportuno che avvenga ab origine, soprattutto per ciò che concerne la “valutazione di impatto”².
In tal senso, il “Gruppo di Lavoro articolo 29 per la protezione dei dati” (da adesso WP29)³ ha sottolineato l’importanza di coinvolgere sin dall’inizio il DPO in questioni legate al trattamento dei dati, così da rendere più agevole, efficace e aderente il trattamento al GDPR già in fase embrionale, attuandone così i principi fondamentali.
Nel dettaglio, il WP29 sostiene che “occorrerà garantire, per esempio:
– Che il DPO sia invitato a partecipare su base regolare alle riunioni del management di alto e medio livello;
– La presenza del DPO ogniqualvolta debbano essere assunte decisioni che impattano sulla protezione dei dati. Il RPD deve disporre tempestivamente di tutte le informazioni pertinenti in modo da poter rendere una consulenza idonea;
– Che il parere del RPD riceva sempre la dovuta considerazione. In caso di disaccordi, il Gruppo di lavoro raccomanda, quale buona prassi, di documentare le motivazioni che hanno portato a condotte difformi da quelle raccomandate dal RPD;
– Che il RPD sia consultato tempestivamente qualora si verifichi una violazione dei dati o un altro incidente. Ove opportuno, il titolare del trattamento o il responsabile del trattamento potrebbero mettere a punto linee guida ovvero programmazioni in materia di protezione dei dati che indichino i casi di consultazione obbligatoria del RPD”⁴.

Le risorse necessarie all’assolvimento dei compiti

Naturale conseguenza del processo inclusivo è la fornitura, che il Titolare e il Responsabile del trattamento dovranno sostenere, di “risorse necessarie per assolvere i compiti”⁵ indicati all’art. 39 del GDPR.
Il WP29 sottolinea l’importanza nel fornire tempestivamente le risorse di cui necessita il DPO così da espletare la propria funzione al meglio. Ad ogni modo, non solo si dovrà considerare la tempestività della fornitura, ma anche il genus di risorse da mettere a disposizione, tenendo ad esempio in considerazione il personale da affiancare al DPO, le risorse strettamente finanziarie, le postazioni di lavoro o le infrastrutture.
Altro aspetto che non va trascurato sarà quello di rendere edotto il personale della presenza di un DPO all’interno della struttura in cui opera, così da rendere il Responsabile delle Protezione dei Dati un serio punto di riferimento.
Al DPO dovrà essere garantito un aggiornamento professionale costante, mantenendo in tal misura una competenze ad alti livelli. Inoltre, potrà accedere a tutti gli uffici presenti, così da poter meglio espletare la sua funzione.

Indipendenza e conflitto di interessi

L’articolo 38, paragrafo 3, evidenzia la necessità di rendere autonomo ed indipendente il DPO all’interno della struttura del Titolare o del Responsabile del trattamento. Il GDPR sottolinea che il DPO non debba ricevere “alcuna istruzione per quanto riguarda l’esecuzione di tali compiti”⁶. Il considerando 97, che opera a fortiori ratione, sottolinea come i DPO, “dipendenti o meno del Titolare del trattamento, dovrebbero poter adempiere alle funzioni e ai compiti loro incombenti in maniera indipendente”⁷.
Dunque, nell’espletamento delle proprie funzioni il DPO non “deve ricevere istruzioni sull’approccio da seguire nel caso specifico […], ne ricevere istruzioni sull’interpretazione da dare ad una specifica questione”⁸. Va da sé la possibilità del DPO di dissentire in merito a quelle operazioni in contrasto con il GDPR poste in essere dal Titolare o dal Responsabile. Ad ogni modo, l’operato del DPO non potrà eccedere quanto delineato dall’art. 39 del GDPR. Potrà anzi dissentire qualora il Titolare o il Responsabile del trattamento pongano in essere atti contrari alla normativa in tema di trattamento dei dati personali.
A coronare l’indipendenza e l’autonomia del DPO si aggiunge il paragrafo 3 dell’art. 38 che sancisce come il responsabile per il trattamento dei dati non possa essere “rimosso o penalizzato dal titolare del trattamento o dal responsabile del trattamento per l’adempimento dei propri compiti”. È, a ben vedere, una “prescrizione che mira a potenziare l’autonomia de DPO e ad assicurarne l’indipendenza nell’adempimento dei compiti assegnatigli, attraverso la previsione di un adeguata tutela”⁹.

Conflitto di interessi

Al DPO non è precluso lo svolgimento di “altri compiti e funzioni”¹⁰ purché, stabilisce l’art. 38 al paragrafo 6, “tali compiti e funzioni non diano adito a un conflitto di interessi”¹¹.
Dunque il Responsabile per la protezione dei dati potrà svolgere altri incarichi sempreché non diano adito a conflitto di interessi, cosa assai frequente nel caso in cui il DPO rivesta ruoli di spicco all’interno della organizzazione del Titolare o del Responsabile del Trattamento. Onde evitare conflitto di interessi il DPO non dovrebbe ricoprire “ruoli che comportino la definizione delle finalità o modalità del trattamento di dati personali” . Il WP29, sottolineando che si dovrà comunque tener conto dell’attività, delle dimensioni e della struttura organizzativa del Titolare del trattamento o del Responsabile, ha indicato alcuni aspetti da tenere in considerazione per evitare il conflitto di interessi:

• individuare le qualifiche e funzioni che sarebbero incompatibili con quella di RPD;
• redigere regole interne a tale scopo onde evitare conflitti di interessi;
• prevedere un’illustrazione più articolata dei casi di conflitto di interessi;
• dichiarare che il RPD non versa in alcuna situazione di conflitto di interessi con riguardo alle funzioni di RPD, al fine di sensibilizzare rispetto al requisito in questione;
• prevedere specifiche garanzie nelle regole interne e fare in modo che nel segnalare la disponibilità di una posizione lavorativa quale RPD ovvero nel redigere il contratto di servizi si utilizzino formulazioni sufficientemente precise e dettagliate così da prevenire conflitti di interessi. Al riguardo, si deve ricordare, inoltre, che un conflitto di interessi può assumere varie configurazioni a seconda che il RPD sia designato fra soggetti interni o esterni all’organizzazione.(12)

1. Reg. Ue 6679/2016 art. 38, par 1;
2. Così M. Soffientini – PRIVACY Protezione e Trattamento dei dati – Wolters Kluwer – Ipsoa 2018;
3. “Gruppo di lavoro articolo 29 per la protezione dei dati” – Linee guida sui responsabili della protezione dei dati;
4. “Gruppo di lavoro articolo 29 per la protezione dei dati” – Linee guida sui responsabili della protezione dei dati, pag.
5. Reg. Ue 6679/2016 art. 38;
6. Reg. Ue 6679/2016 art. 38, par. 3;
7. Reg. Ue 6679/2016 Considerando 97;
8. “Gruppo di lavoro articolo 29 per la protezione dei dati” – Linee guida sui responsabili della protezione dei dati, pag.
9. “Gruppo di lavoro articolo 29 per la protezione dei dati” – Linee guida sui responsabili della protezione dei dati, pag. 20;
10. Reg. Ue 6679/2016 art. 38, par. 6;
11. Ibidem;
12. “Gruppo di lavoro articolo 29 per la protezione dei dati” – Linee guida sui responsabili della protezione dei dati, pag.