Nuovo Regolamento privacy UE e DPO: nomina obbligatoria anche per gli Ordini professionali?

Il 25 maggio 2018 diventerà direttamente applicabile nel nostro ordinamento il Regolamento dell’Unione europea 2016/679 sulla protezione dei dati personali (General Data Protection Regulation – GDPR), che ha modificato il quadro normativo in tema di privacy, realizzando un sistema di regole uniformi a livello europeo, al quale dovranno essere adeguate le singole legislazioni nazionali.

Una delle più importanti novità introdotte dal GDPR, è la ridefinizione dei ruoli e delle responsabilità spettanti ai soggetti che, a vario titolo, presidiano i trattamenti di dati personali. Particolarmente significativa, in questo contesto, è la disciplina sul Data Protection Officer o Responsabile della protezione dei dati (in seguito, DPO o RPD, da non confondere con il Responsabile del trattamento, che è attualmente previsto all’art. 29 del nostro Codice privacy e nel Regolamento disciplinato dall’art. 28): una figura innovativa per il nostro ordinamento, ma già conosciuta in altri Stati membri che, sviluppando le indicazioni contenute nella Direttiva 95/46, hanno disciplinato i compiti e la posizione del DPO, ponendo in suo capo un ruolo di affiancamento operativo del Titolare nella gestione dei trattamenti più delicati e complessi.

Ma quali sono i compiti del DPO alla luce degli articoli 37-39 del Regolamento 679/2016 e quali sono i soggetti giuridici tenuti a nominarlo? Soprattutto: siamo in grado di discernere, nella prassi, i casi in cui sussiste tale obbligo?

Innanzitutto, appare utile chiarire che il DPO rappresenta uno degli elementi-chiave nell’ottica del principio di accountability (ossia, di responsabilizzazione), che permea di sé tutto il sistema di governance dei dati delineato nel nuovo Regolamento e che si traduce in un ordito normativo meno tassativo, in termini di obblighi e divieti, spostando sul Titolare e sul Responsabile del trattamento la responsabilità di compiere, caso per caso, le scelte organizzative più idonee ad assicurare la massima protezione possibile dei dati oggetto di trattamento. A cominciare dall’assegnazione del ruolo di DPO, che può essere rivestito da una persona fisica o giuridica, ma anche da un team multidisciplinare e può agire in qualità di “dipendente del Titolare del trattamento o del Responsabile del trattamento oppure assolvere i suoi compiti in base a un contratto di servizi” (cfr. art. 37, par. 6 del Regolamento). E, in ogni caso, deve essere in possesso delle competenze professionali e delle capacità necessarie ad assolvere i propri compiti.

Dalle disposizioni contenute nel Regolamento europeo (art. 39 e Considerando n. 97) e nelle Linee guida del Gruppo di lavoro “Articolo 29” (di seguito anche Working Party o WP29)[1] sui Responsabili della protezione dei dati[2], emerge che il DPO, in sintesi, dovrebbe:

–       individuare e mappare le attività di trattamento;

–       analizzare e verificare la conformità delle attività di trattamento ai principi di protezione stabiliti dal GDPR;

–       informare, consigliare e fornire raccomandazioni al Titolare e al Responsabile del trattamento, assicurando la formazione del personale che partecipa ai trattamenti e fungendo da punto di contatto con l’Autorità Garante per la privacy.

Nello specifico, il DPO è tenuto a:

a) informare e consigliare il Titolare o il Responsabile del trattamento, nonché i dipendenti dell’organizzazione di appartenenza, in merito agli obblighi derivanti dal Regolamento europeo e da altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati;

b) verificare l’attuazione e l’applicazione del Regolamento, delle altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati nonché delle politiche del Titolare o del Responsabile del trattamento in materia di protezione dei dati personali, inclusi l’attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale coinvolto nelle operazioni di trattamento, e i relativi audit;

c) fornire, se richiesto, pareri in merito alla valutazione d’impatto sulla protezione dei dati e sorvegliare i relativi adempimenti;

d) fungere da punto di contatto per gli interessati in merito a qualunque problematica connessa al trattamento dei loro dati o all’esercizio dei loro diritti;

e) fungere da punto di contatto per il Garante per la protezione dei dati personali oppure, eventualmente, consultare il Garante di propria iniziativa.

Una volta chiarito chi è, cosa fa e come si colloca il DPO rispetto agli altri soggetti del trattamento, resta da verificare quando la nomina del DPO è obbligatoria.

Secondo l’art. 37 del GDPR, il DPO deve essere “designato sistematicamente” ogniqualvolta ricorra una delle seguenti ipotesi:

  1. se il trattamento è svolto da un’autorità pubblica o da un organismo pubblico[3];
  2. se le attività principali del Titolare o del Responsabile del trattamento consistono in trattamenti che richiedono il monitoraggio regolare e sistematico di interessati su larga scala;
  3. se le attività principali del Titolare o del Responsabile del trattamento consistono nel trattamento su larga scala di categorie particolari di dati o di dati personali relativi a condanne penali e reati.

Coerentemente con il principio di accountability, anche i casi di obbligatorietà della nomina di un DPO non hanno il carattere di prescrizioni perentorie e inderogabili, ma richiedono un’interpretazione di tipo empirico, non soltanto alla stregua della normativa nazionale di riferimento, ma anche in considerazione delle peculiarità delle singole organizzazioni che trattano dati personali. Ne deriva, per logica conseguenza, che la soggezione all’obbligo di designare il DPO non sempre appare auto-evidente, spettando al Titolare e al Responsabile del trattamento l’onere di valutarne l’opportunità con lo spirito, diremmo, del bonus pater familias.

Questo vale, in modo particolare, per la definizione di “autorità pubblica o organismo pubblico” (lettera a) dell’art. 37), certamente applicabile agli Enti pubblici nazionali, regionali e locali, ma che, a seconda del diritto nazionale applicabile, può ricomprendere anche altri organismi, variamente caratterizzati, che partecipino alla gestione del bene pubblico.

E in effetti, come sottolineato nelle già richiamate Linee guida del WP29 sui Data Protection Officer, lo svolgimento di funzioni pubbliche e l’esercizio di pubblici poteri non attengono esclusivamente alle autorità pubbliche e agli organismi pubblici, potendo riferirsi anche ad altre persone fisiche o giuridiche, di diritto pubblico o privato, in ambiti che variano a seconda delle disposizioni fissate nel diritto interno di ciascuno Stato membro, come ad esempio, trasporti pubblici, forniture idriche ed elettriche, infrastrutture stradali, emittenti radiotelevisive pubbliche, istituti per l’edilizia pubblica o organismi di disciplina professionale. In questi casi, la nomina di un RPD, anche se non obbligatoria è fortemente raccomandata. Il comune denominatore delle ipotesi considerate nelle Linee Guida, che giustifica l’assimilazione agli Enti di diritto pubblico propriamente detti, è il ridotto margine di autodeterminazione degli Interessati, rispetto all’eventualità che i propri dati personali siano oggetto di trattamento e alle modalità con le quali tale trattamento sarà realizzato, non diversamente da quanto accade rispetto ai trattamenti svolti dalla Pubblica Autorità. È precisamente per questo, in definiva, che si rende necessaria una figura di garanzia, che presieda e coordini le attività di trattamento. Appunto, il Data Protection Officer.

Per quanto specificamente attiene, però, agli Ordini professionali del nostro ordinamento, come ormai riconosciuto da autorevole dottrina[4] e giurisprudenza, questi possono essere definiti come “enti pubblici non economici di natura associativa”. Senza ripercorrere, per motivi di sintesi, i diversi iter argomentativi e le successive pronunce della Corte di Cassazione[5] e della Corte di Giustizia europea[6] sull’argomento, è sufficiente ricordare che le più recenti statuizioni giurisprudenziali confermano la necessità di applicare solo selettivamente agli Ordini professionali il regime giuridico proprio delle pubbliche amministrazioni (elencate all’art. 1, comma 2, del D. Lgs. 165/2001): occorre, dunque, valutare di volta in volta l’applicabilità della disciplina propria dell’apparato amministrativo pubblico anche agli Ordini professionali[7].

In effetti, atteso che la lett. a) dell’art. 37 del GDPR impone l’obbligo di nomina di DPO alle “autorità pubbliche” e agli “organismi di diritto pubblico”, secondo un’impostazione interpretativa rigorosa non sembrerebbe corretto ricomprendere nel novero degli “organismo di diritto pubblico” anche gli Ordini professionali. Diversamente, in via interpretativa, potrebbe sostenersi la tesi per cui tali enti possano qualificarsi come “autorità pubbliche”, in quanto esercenti un potere autoritativo, che si traduce, nello specifico, nel potere di adottare atti incidenti in via autoritativa nella sfera giuridica dei propri iscritti.

In argomento, tuttavia, appare utile anche procedere a una riflessione circa il contenuto e le finalità delle norme dettate dal GDPR in tema di nomina del DPO, declinate sulle attività peculiari degli Ordini professionali.

In particolare, a sostegno della tesi per cui gli Ordini professionali sarebbero ricompresi nel novero dei soggetti tenuti alla nomina di un DPO, sembra deporre la considerazione per cui gli Ordini professionali non operano solo nell’interesse generale (ovvero l’interesse pubblico al corretto esercizio di una determinata professione, al fine di fornire garanzie al cittadino circa la professionalità e la competenza dei professionisti che svolgono attività nel campo della tecnica, della salute, della legge), ma anche nell’interesse dei rispettivi iscritti (in quanto enti portatori di interessi esponenziali). In questa prospettiva, sembra corretto ritenere che lo svolgimento delle attività istituzionali degli Ordini professionali rientri inevitabilmente nelle ipotesi di trattamenti che richiedono un monitoraggio regolare e sistematico di interessati (ossia, gli Iscritti all’Ordine professionale) su larga scala (ai sensi della lett. b) dell’art. 37 del GDPR): è ragionevole ritenere, dunque, che l’obbligo di nomina di DPO sussista in capo agli Ordini professionali anche in virtù di tale disposizione.

In effetti, sulla scorta delle menzionate Linee guida del WP29, sembrano ricorrere tutti gli elementi richiesti dalla lett. b) dell’art. 37 del Regolamento 2016/679/UE. Innanzitutto, il requisito dell’“attività principale”, in quanto gli Ordini professionali trattano i dati di categorie di soggetti interessati curando la tenuta e l’aggiornamento di appositi Albi ed elenchi dei propri iscritti, attività che possono sicuramente ritenersi necessarie ed essenziali ai fini dell’espletamento dei compiti istituzionali a cui sono preposti. In secondo luogo, il “monitoraggio regolare[8] e sistematico[9] degli interessati su larga scala[10]”, effettuato nei confronti degli Iscritti, quanto meno sotto i profili deontologici e a quelli legati alla formazione continua obbligatoria.

In ogni caso, appare utile considerare che, per espressa indicazione fornita dal WP29[11] nelle Linee guida sui responsabili della protezione dei dati[12], “tranne quando sia evidente che un soggetto non è tenuto a nominare un Responsabile della protezione dei dati, il WP 29 raccomanda a Titolari e Responsabili di documentare le valutazioni compiute all’interno dell’azienda o dell’ente per stabilire se si applichi o meno l’obbligo di nomina di un DPO, così da poter dimostrare che l’analisi abbia preso in esame correttamente i fattori pertinenti”. Nel caso degli Ordini professionali, sarebbe auspicabile che tale onere di documentazione fosse svolto, in termini generali e riferibili ai singoli Ordini circondariali, dalle rispettive Associazioni nazionali di categoria, come pure sembra suggerire il Legislatore europeo, incoraggiando “le associazioni e gli altri organismi rappresentanti le categorie di titolari del trattamento o responsabili del trattamento” all’elaborazione di codici di condotta, “destinati a contribuire alla corretta applicazione del presente regolamento, in funzione delle specificità dei vari settori di trattamento” (art. 40 GDPR).

 


[1] Il Gruppo è stato istituito dall’art. 29 della direttiva 95/46, è un organismo consultivo e indipendente, composto da un rappresentante delle autorità di protezione dei dati personali designate da ciascuno Stato membro, dal GEPD (Garante europeo della protezione dei dati), nonché da un rappresentante della Commissione.

[2] Adottate il 13 dicembre 2016 ed emendate il 5 aprile 2017.

[3] Ad eccezione delle autorità giurisdizionali nell’esercizio delle funzioni giurisdizionali.

[4] Per tutti, si richiama il parere pro veritate di P.A. Capotosti reso in favore del Consiglio Nazionale Forense e disponibile sul sito dell’Ordine degli Avvocati di Firenze: http://www.ordineavvocatifirenze.eu/wp-content/uploads/2014/08/Parere-Prof.-Avv.-Pier-Alberto-Capotosti.pdf

[5] Tra le tante, cfr. Cassazione Civile, sez. I, sentenza 14/10/2011 n° 21226: “La natura degli ordini professionali è quella di enti pubblici non economici, che operano sotto la vigilanza dello Stato per scopi di carattere generale; le prestazioni lavorative subordinate integrano quindi un rapporto di pubblico impiego ed è indubitabile la qualificazione pubblica del patrimonio dell’ente, affermazioni tutte che però non valgono a fondare l’obbligo di sottoposizione al controllo di gestione da parte della Corte dei Conti. Infatti, incontestata la circostanza che gli ordini professionali non beneficiano di alcun contributo pubblico, non è dato comprendere quale possa essere l’interesse dello Stato (che giustificherebbe poi le eventuali iniziative conseguenti) ad esercitare un controllo sulla correttezza della gestione degli enti in questione, al semplice fine di accertare la rispondenza fra gli obiettivi programmati ed i risultati conseguiti. Nè può desumersi l’esistenza di un siffatto interesse dalla qualità di ente pubblico non economico rivestita anche dall’Ordine dei Farmacisti”.

[6] Da ultimo, cfr. CGUE, sentenza 12 settembre 2013, causa C-526/11.

[7] Sintomatica della difficile ricognizione circa le ipotesi di applicabilità delle norme dettate per la PA agli Ordini professionali risulta essere la recente vicenda legata all’applicabilità delle norme del D.lgs. 33/2013, questione sulla quale sono si sono confrontati, con tesi contrapposte, il Consiglio Nazionale Forense e l’Autorità Nazionale Anticorruzione. Anticipando la pronuncia definitiva sulla questione del TAR Lazio (che aveva inizialmente sospeso l’applicabilità della delibera ANAC che imponeva il rispetto delle norme sulla c.d. trasparenza amministrativa anche agli Ordini professionali), è intervenuto il D. Lgs. 97/2016, che ha espressamente ricompreso nel testo del D. Lgs. 33/2013 anche gli Ordini professionali fra i soggetti tenuti al rispetto degli obblighi di pubblicazione.

[8] Secondo le citate Linee guida, il requisito di regolarità del monitoraggio, richiesto dalla lett. b) dell’art. 37 del GDPR sussiste qualora presenti almeno una delle seguenti caratteristiche:

–          avvenga in modo continuo oppure a intervalli definiti per un arco di tempo definito;

–          sia ricorrente o ripetuto a intervalli costanti;

–          avvenga in modo costante o a intervalli periodici.

[9] Sempre in base alle Linee guida del WP29, il requisito di sistematicità del monitoraggio, richiesto dalla lett. b) dell’art. 37 del GDPR sussiste qualora ricorra almeno una delle seguenti caratteristiche:

–          avvenga per sistema;

–          sia predeterminato, organizzato o metodico;

–          abbia luogo nell’ambito di un progetto complessivo di raccolta dati;

–          sia svolto nell’ambito di una strategia.

[10] Per individuare la sussistenza del requisito del trattamento effettuato su “larga scala”, le Linee guida del WP29 raccomandano di tenere conto dei seguenti fattori:

–          il numero dei soggetti interessati al trattamento, in termini assoluti ovvero espressi in percentuale della popolazione di riferimento;

–          il volume dei dati e/o le diverse tipologie di dati oggetto di trattamento;

–          la durata, ovvero la persistenza, delle attività di trattamento;

–          la portata geografica delle attività di trattamento.

[11] Il Gruppo è stato istituito dall’art. 29 della direttiva 95/46, è un organismo consultivo e indipendente, composto da un rappresentante delle autorità di protezione dei dati personali designate da ciascuno Stato membro, dal GEPD (Garante europeo della protezione dei dati), nonché da un rappresentante della Commissione.

[12] Adottate il 13 dicembre 2016 ed emendate il 5 aprile 2017.