Background/Scenario

Il 26 marzo 2018, l’Autorità Garante per la protezione dei dati personali (d’ora in avanti, “Garante”) ha pubblicato le nuove “frequently asked questions” (“FAQ”) relative al responsabile della protezione dei dati (“DPO”) in ambito privato.

Si tratta di uno strumento utile che può fungere da guida più specifica, in aggiunta alle linee guida sul DPO del Gruppo di lavoro Articolo 29 (“WP29”), per chiarire ulteriormente il ruolo del DPO nel settore privato.

Questioni principali

  • Chi è e quali sono i compiti del DPO?

In linea con quanto stabilito dall’art. 37 del Regolamento UE 2016/679 (“GDPR”), il DPO è designato dal titolare o dal responsabile del trattamento dei dati personali e ha funzioni di supporto e controllo, funzioni consultive, formative ed informative, oltre che funzioni di cooperazione con l’Autorità, per la quale costituisce il punto di contatto per le questioni connesse al trattamento dei dati personali. A tale scopo il nominativo del DPO deve essere comunicato al Garante tramite un apposito modello di comunicazione.

  • Quali requisiti deve avere un DPO assunto nel settore privato?

Trattandosi di una “professione non regolamentata” per la quale non non sono richieste specifiche attestazioni formali o iscrizioni in appositi albi, il Garante ribadisce quanto affermato precedentemente nelle FAQ relative al DPO in ambito pubblico. Pertanto, anche il DPO in ambito privato deve avere un’approfondita conoscenza della normativa e delle prassi in materia di privacy, nonché delle norme e delle procedure amministrative del relativo settore di riferimento, tali da poter offrire la consulenza necessaria per progettare, verificare e mantenere un sistema organizzato di gestione dei dati personali.

Inoltre, il DPO deve operare indipendentemente ed in via autonoma, senza ricevere o riferire direttamente ai vertici, e deve poter disporre di risorse (personale, locali, attrezzature, ecc.) necessarie per l’espletamento dei propri compiti.

  • Quali soggetti privati sono obbligati a designare un DPO?

Ai sensi dell’art. 37(1) lett. b) e c) GDPR, il titolare e il responsabile del trattamento sono tenuti a designare un DPO quando le attività principali (il cd. “core business”):

  • consistono in trattamenti che richiedono il monitoraggio regolare e sistematico degli interessati su larga scala;
  • oppure consistono in trattamenti su larga scala di categorie particolari di dati personali o di dati relative a condanne penali e a reati.

Una lista non esaustiva, fornita dal Garante a titolo esemplificativo, comprende, tra l’altro, istituti di credito, imprese assicurative, sistemi di informazione creditizia, società finanziarie, società di informazioni commerciali, società di revisione contabile, società di recupero crediti, istituti di vigilanza, partiti e movimenti politici, sindacati, caf e patronati, società operanti nel settore delle “utilities” (telecomunicazioni, distribuzione di energia elettrica o gas), imprese di somministrazione di lavoro e ricerca del personale, società operanti nel settore della cura della salute, della prevenzione/diagnostica sanitaria quali ospedali privati, terme, laboratori di analisi mediche e centri di riabilitazione, società di call center, società che forniscono servizi informatici e società che erogano servizi televisivi a pagamento.

  • Chi invece non è tenuto a designare un DPO?

Non devono designare un DPO i soggetti che effettuano trattamenti diversi da quelli previsti dall’art.37(1) lett. b) e c), come ad esempio i liberi professionisti operanti in forma individuale, agenti, rappresentanti e mediatori operanti non su larga scala, imprese individuali o familiari, piccole e medie imprese, con riferimento ai trattamenti dei dati personali connessi alla gestione corrente dei rapporti con fornitori e dipendenti.

Tuttavia, alla luce del principio cardine di “accountability”, il Garante raccomanda comunque la designazione di un DPO anche in questi casi.

  • È possibile nominare un unico DPO nell’ambito di un gruppo imprenditoriale?

Il comma 2 dell’art. 37 GDPR consente al gruppo imprenditoriale di nominare un unico DPO, a condizione che questo sia facilmente raggiungibile da ciascuno stabilimento. Secondo le linee guida della WP29, questo criterio è soddisfatto quando il DPO è localizzato all’interno del territorio dell’Unione europea. Il Garante aggiunge inoltre che il DPO dovrà essere in grado di comunicare in modo efficace con gli interessati e di collaborare con le Autorità di controllo.

  • È possibile nominare un DPO esterno e quale atto è necessario per designarlo?

In conformità al GDPR, il ruolo di DPO può essere affidato anche a soggetti esterni, che non siano dipendenti del titolare o del responsabile, a condizione che garantiscano l’effettivo assolvimento dei compiti previsti dal GDPR.

Mentre il DPO cd. interno deve essere nominato con specifico atto di designazione, il DPO cd. esterno dovrà operare sulla base di un contratto di servizi. Entrambi gli atti di nomina devono essere redatti in forma scritta ed indicare espressamente i compiti attribuiti, le risorse assegnate per il loro svolgimento, nonché ogni altra utile informazione in rapporto al contesto di riferimento.

In ogni caso, il titolare o il responsabile del trattamento resta anche dopo la designazione pienamente responsabile dell’osservanza della normativa e deve essere in grado di dimostrarla (cd. principio di “accountability”).

Il Garante specifica inoltre che il titolare o responsabile del trattamento devono pubblicare i dati di contatto del DPO e raccomanda la pubblicazione, purché facoltativa, del nominativo. Resta invece obbligatoria la comunicazione delle informazioni all’Autorità.

  • Il ruolo di DPO è compatibile con altri incarichi?

Con riguardo alle ipotesi di incompatibilità per conflitto di interesse, il Garante chiarisce che tale rischio sussiste per soggetti che, oltre a ricoprire il ruolo di DPO, hanno incarichi di alta direzione (es. amministratore delegato, membro del consiglio di amministrazione, direttore generale) ovvero hanno potere decisionale in ordine alle finalità e alle modalità del trattamento (es. direzione risorse umane, direzione marketing, direzione finanziaria, responsabile IT). Rimane da valutare l’ipotesi in cui tale ruolo venga assegnato ai responsabili delle funzioni di staff.

  • Il DPO può anche essere un soggetto diverso dalla persona fisica?

Mentre il DPO cd. interno dovrà essere individuato in una persona fisica, eventualmente supportata da un ufficio, il DPO cd. esterno, invece, potrà essere anche una persona giuridica.

Il Garante consiglia, in ogni caso, di procedere ad una chiara ripartizione di competenze, individuando una sola persona fisica atta a fungere da punto di contatto con gli interessati e l’Autorità.

Azioni / implicazioni pratiche

Al fine di allinearsi alle indicazioni del Garante, il titolare o responsabile del trattamento dovrà:

  • Verificare se il trattamento nel caso specifico richiede la designazione di un DPO;
  • Designare un DPO (interno o esterno) con atto scritto, indicando espressamente i compiti attribuiti e le risorse attribuite;
  • Comunicare i dati di contatto e il nominativo al Garante tramite l’apposito modello di comunicazione;
  • Pubblicare i dati di contatto del DPO;
  • Predisporre al DPO le risorse finanziarie, infrastrutturali e, ove opportuno, personali necessarie per l’esecuzione dei propri compiti.