A distanza di poco più di tre anni dal 25 maggio 2018, giorno in cui il Regolamento (UE) 2016/679 (“GDPR”) ha trovato definitiva applicazione in Europa, può essere interessante domandarsi quale sia la fisionomia e il ruolo operativo che il responsabile della protezione dei dati (“DPO”) ha via via assunto e consolidato nella prassi delle grandi aziende e degli enti pubblici nonché, soprattutto, chiedersi se la funzione ricoperta sia effettivamente in linea con la più autentica ratio sottesa agli artt. 38 e 39 del GDPR, che disciplinano rispettivamente la posizione e i compiti del DPO.

La giurisprudenza delle Autorità di Controllo europee e, in particolare, una recente pronuncia dell’Autorità lussemburghese potranno certamente assistere i professionisti e gli operatori del mercato nella ricerca di una risposta concreta ai suddetti interrogativi, fornendo importanti spunti di interesse e chiarimenti[1].

L’intervento dell’Autorità di Controllo lussemburghese: l’importanza dell’indipendenza del DPO

L’Autorità di Controllo lussemburghese ha reso noto di aver predisposto un piano ispettivo specificamente volto a verificare il rispetto delle norme poste a presidio della corretta operatività della funzione DPO nelle realtà pubbliche e private. Nel quadro di tali iniziative, accertando l’inosservanza da parte di una società di alcune rilevanti disposizioni intese a disciplinare la posizione e i compiti del DPO, giungeva a irrogare nel giugno 2021 una sanzione pecuniaria pari a € 15.000. Più nel dettaglio, alla società sanzionata è stata contestata l’inadeguatezza delle condizioni operative in cui il DPO si trovava ad espletare le sue funzioni, sul presupposto dell’assenza di meccanismi organizzativi capaci di garantire il suo tempestivo coinvolgimento nelle questioni più rilevanti, in contrasto con l’art. 38(1) del GDPR, nonché in ragione dell’impossibilità per il DPO stesso di riferire direttamente al vertice gerarchico della società, in violazione dell’art. 38(3) del GDPR.

Sulla base di tali rilievi, l’Autorità di Controllo lussemburghese evidenziava altresì l’inidoneità e l’inefficacia dell’adempimento da parte del DPO dei compiti di consulenza e sorveglianza previsti dall’art. 39(1), lett. a) e b) del GDPR.

Nella pronuncia, sopra brevemente ripercorsa nei suoi passaggi salienti, sembra trovare conferma l’idea che il DPO configuri una misura a garanzia dell’accountability del titolare. La figura in esame costituisce, cioè, uno strumento capace di rafforzare – attraverso varie e multiformi attività consulenziali, formative, di controllo e di supporto nella valutazione dei rischi di rilevanza privacy – la garanzia del corretto adempimento di tutti gli obblighi di compliance in materia di protezione dei dati personali[2]. Tale inquadramento funzionale del ruolo del DPO parrebbe scoprire ed esaltare la più autentica ratio sottesa agli artt. 38 e 39 del GDPR.

Non solo: in questa prospettiva, sembra possibile individuare e tratteggiare con precisione anche la linea di demarcazione tra il suo peculiare ruolo e quello degli altri uffici e funzioni aziendali dell’organizzazione in cui si inserisce la figura del DPO. Al riguardo, occorre infatti evidenziare che il DPO è tenuto a rivestire un ruolo meramente consulenziale e privo di poteri decisionali e di intervento, mentre l’organizzazione – soprattutto nel momento in cui, in qualità di titolare del trattamento, determina le finalità e i mezzi del trattamento – costituisce il principale centro di imputazione di tutte le volontà decisionali e di ogni connessa responsabilità (artt. 4, n. 7), 5(2), 24, 82 e 83 del GDPR).

Ebbene, anche alla luce delle indicazioni dell’Autorità lussemburghese, deve ritenersi che il presupposto fondamentale del più efficace e corretto esercizio della complessa funzione di DPO consista nel rispetto della garanzia della sua stessa indipendenza, come confermato dal considerando 97 del GDPR e dalle indicazioni provenienti dalle Autorità di controllo europee e dallo stesso Gruppo di lavoro articolo 29 (oggi Comitato europeo per la protezione dei dati)[3]. Come si avrà modo di constatare nel paragrafo che segue, la garanzia del rispetto dell’indipendenza del DPO passa a sua volta attraverso l’osservanza da parte dell’organizzazione che lo ha designato di alcuni obblighi normativi, perlopiù previsti dall’art. 38 del GDPR.

L’indipendenza del DPO e strumenti di presidio della stessa

Anzitutto, va evidenziato che l’indipendenza del DPO può essere definita come una forma di estraneità del DPO stesso agli interessi sostanziali sottesi alle finalità perseguite dall’organizzazione che lo ha designato, nonché come una condizione di autonomia e integrità di valutazione rispetto alle questioni relative al trattamento dei dati personali.

Tra i principali obblighi a garanzia dell’indipendenza del DPO non può che rimarcarsi l’obbligo ai sensi dell’art. 38(3) (ult. prop.) del GDPR di assicurare che il DPO riferisca direttamente al vertice gerarchico, senza l’interposizione di filtri, diaframmi decisionali e altri meccanismi procedurali e organizzativi che possano depotenziare l’efficacia dei suoi pareri e delle sue comunicazioni[4]. Evidentemente, l’adempimento di tale obbligo è inteso a contenere il rischio che la voce della figura, in particolare quando dissenziente, si disperda negli uffici aziendali prima di sopraggiungere alle figure apicali e, in tal modo, smarrisca la sua autenticità e la sua efficacia; tale lettura interpretativa del richiamato obbligo sembra essere confermata anche dalla giurisprudenza amministrativa che si è formata sul tema[5].

Ancora, assume essenziale rilevanza nella logica della garanzia dell’indipendenza del DPO l’art. 38(6) del GDPR, che impone che gli obblighi contrattualmente assunti dal DPO – aggiuntivi rispetto a quelli normativamente disposti dall’art. 39 del GDPR – non determinino rischi di conflitti di interessi rispetto alla posizione e ai compiti riconosciuti al medesimo ex lege[6].

In base alle indicazioni del Gruppo di lavoro articolo 29[7], deve ritenersi che i conflitti di interessi ricorrano ogniqualvolta il DPO si trovi a rivestire un ruolo che lo porti a concorrere alle dinamiche decisionali e genetiche delle attività di trattamento; questa impostazione trova riscontro anche nelle molteplici pronunce delle Autorità di controllo europee sul punto[8] .

Tra gli altri obblighi posti a garanzia dell’indipendenza del DPO possono in questa sede ricordarsi, a titolo esemplificativo, oltre all’obbligo di cui all’art. 38(1) del GDPR di assicurare, tramite appositi meccanismi organizzativi, il tempestivo coinvolgimento del DPO nella gestione delle questioni in materia di protezione dei dati personali[9], anche gli obblighi di garantire che il DPO non riceva alcuna istruzione per quanto riguarda l’esecuzione dei suoi compiti e che lo stesso non venga in alcun modo rimosso o penalizzato dal titolare per motivi connessi all’espletamento delle sue funzioni (art. 38(3) (1° e 2° prop.) del GDPR)[10].

Considerazioni conclusive e raccomandazioni pratiche

Il corretto adempimento degli obblighi di cui sopra, concorre in misura determinante, come detto, a garantire l’indipendenza del DPO, la quale costituisce a sua volta la condizione principale dell’efficacia del suo stesso contributo nelle dinamiche dell’attuazione delle misure di compliance in materia di protezione dei dati personali.

In questo senso, appare molto significativo il fatto che l’intervento dell’Autorità di Controllo lussemburghese si innesti proprio nel quadro di un programma ispettivo specificamente finalizzato ad accertare l’osservanza delle norme poste a presidio dell’operatività del DPO. Non è irragionevole ritenere, infatti, che le altre Autorità di Controllo europee possano indirizzarsi nella medesima direzione, assumendo un approccio analogo nella verifica della concreta ed effettiva utilità dell’azione del DPO quale strumento di garanzia dell’accountability dell’organizzazione che lo ha designato.

Ciò stante, è fortemente raccomandato alle aziende e agli enti pubblici di implementare misure volte a preservare l’indipendenza del DPO e a garantire, in tal modo, la sua stessa operatività. Tra gli accorgimenti più utili, conclusivamente, possono ricordarsi i seguenti:

  • garantire, mediante linee guida o altri adeguati meccanismi organizzativi, che il DPO venga tempestivamente coinvolto nelle questioni attinenti alla protezione dei dati personali e che quotidianamente lo stesso possa dialogare e confrontarsi con le funzioni principalmente coinvolte nelle attività di trattamento di dati personali (si pensi agli uffici IT, HR, marketing, ecc.);
  • attribuire al DPO una collocazione organizzativa tale da consentire che lo stesso possa, altresì, interfacciarsi con il vertice gerarchico in modo diretto e immediato, agile e snello, senza filtri organizzativi e diaframmi decisionali;
  • prevedere – e riflettere adeguatamente all’interno dell’organigramma aziendale/amministrativo/funzionale – una separazione strutturale tra l’ufficio del DPO e gli altri uffici aziendali/amministrativi;
  • predisporre – in particolare laddove non risulti possibile addivenire ad una separazione strutturale nel senso sopra evidenziato – linee guida e procedure interne contenenti indicazioni pratiche e di principio in merito alla individuazione e alla neutralizzazione dei conflitti di interesse tra la funzione del DPO e gli altri incarichi eventualmente assunti.