L’Autorità Garante nazionale, con un comunicato del 19 dicembre u.s., ha pubblicato tre documenti approvati lo scorso 13 dicembre 2016 dal Gruppo dei Garanti UE (WP 29), contenenti alcune indicazioni e raccomandazioni sulle importanti novità introdotte del Regolamento 2016/679 sulla protezione dei dati (GDPR), in vista della sua prossima applicazione da parte degli Stati membri, a partire da maggio 2018.
Le linee guida affrontano tre temi molto importanti:
- il Responsabile per la Protezione dei Dati (“Data Protection Officer” o “DPO”);
- il Diritto alla portabilità dei dati;
- l’ “Autorità capofila”, che fungerà da “sportello unico” per i trattamenti transnazionali.
Le Linee guida sulla nomina del DPO, in particolare, chiariscono quali dovranno essere i requisiti soggettivi e oggettivi di questa nuova figura professionale, la cui designazione sarà obbligatoria per tutti i soggetti pubblici e per alcuni soggetti privati (anche su questa tematica –- il Gruppo ha fornito preziose indicazioni soprattutto sui criteri che dovranno guidare le aziende nella decisione se adottare o meno un DPO).
Nel documento si procede a una disamina delle competenze professionali e delle garanzie di indipendenza e inamovibilità di cui il DPO deve godere nello svolgimento delle proprie attività di indirizzo e controllo all’interno dell’organizzazione del titolare (o del responsabile) del trattamento.
Molto interessante, in particolare, è il paragrafo 2.4 delle Linee guida dedicate al DPO, laddove viene risolta la diatriba tra la scelta/nomina di un DPO interno o esterno e sono approfondite le competenze e le abilità professionali che deve possedere un DPO.
In primis, tra le qualità professionali si richiedono una conoscenza approfondita del diritto e delle pratiche in materia di protezione dei dati, nonché la capacità di svolgere i compiti che gli sono assegnati direttamente dal GDPR (art. 39). Esemplificativo al riguardo è il richiamo effettuato dal Gruppo di lavoro al Considerando n. 97), che specifica: “Il livello necessario di conoscenza specialistica dovrebbe essere determinato in particolare in base ai trattamenti di dati effettuati e alla protezione richiesta per i dati personali trattati dal titolare del trattamento o dal responsabile del trattamento”.
Pertanto, è stato chiarito che le competenze e le capacità si attestano su quattro livelli fondamentali:
– Livello di esperienza
– Qualità professionali
– Capacità di svolgimento dei compiti
– DPO sulla base di un contratto di servizio
Dal punto di vista del livello di esperienza, si precisa che il livello di competenza richiesto non è specificatamente definito, ma deve essere commisurato con la sensibilità, la complessità e la quantità di dati trattati all’interno dei processi organizzativi della struttura titolare o responsabile del trattamento (a maggiore complessità e quantità di dati scaturisce un più elevato livello di competenza e supporto).
Per quanto concerne le qualità professionali, sebbene non siano specificate nel GDPR, oltre ovviamente a una conoscenza approfondita dei contenuti del nuovo GDPR, è necessaria anche una consolidata esperienza sulle leggi in materia di protezione dei dati sia a livello nazionale che a livello europeo.
E’ utile anche la conoscenza del settore e/o dell’organizzazione del titolare del trattamento presso il quale il DPO andrà a svolge la propria attività professionale, nonché dei sistemi informatici/informativi e delle esigenze di sicurezza e di protezione dei dati dello stesso (nel caso degli enti pubblici occorre anche una buona conoscenza delle regole e delle procedure dell’organizzazione amministrativa).
La capacità di svolgere i compiti previsti dal GDPR rientra anch’essa tra i requisiti fondamentali che deve possedere un DPO (sia in riferimento alle sue qualità personali e alla conoscenza della materia che deve possedere per adempiere a quanto richiesto dalla normativa, sia per la posizione ricoperta all’interno dell’organizzazione presso cui svolgere l’attività di DPO). Si richiedono inoltre: integrità e alta etica professionale; rispetto della conformità al GDPR; promozione di una cultura della protezione dei dati all’interno dell’organizzazione di riferimento; ruolo di ausilio nell’implementare gli elementi essenziali del GDPR (dal rispetto dei principi generali, dei diritti degli interessati, della Privacy by Design e Privacy by Default, alla tenuta di un Registro delle attività di trattamento, alla verifica del rispetto della sicurezza nel trattamento e alla notificazione e comunicazione di eventuali “data breaches” verso l’Autorità di controllo e gli interessati).
Questi sono solo alcuni degli esempi riportati dai Garanti europei per descrivere le competenze di un DPO.
Con l’ultimo dei punti elencati: nomina del DPO sulla base di un contratto di servizio, le Linee guida chiariscono, infine, in maniera definitiva che: non solo il DPO può essere un soggetto (persona fisica) esterno, ma addirittura che la sua funzione può essere affidata mediante un contratto di servizi a una organizzazione esterna (quindi, non solo ad una singola persona fisica, ma anche a una persona giuridica/ente collettivo).
Ovviamente, in quest’ultimo caso, tale soggetto dovrà rispettare tutte le prescrizioni e i compiti che discendono dagli articoli 37-39 del GDPR e tali compiti potranno essere eseguiti ed espletati, non solo da un singolo professionista privacy, ma da una sorta di “team esterno” (un Team Privacy in definitiva) che fornisce il servizio di DPO. In ogni caso, tale servizio dovrà rimanere sotto la responsabilità di un capogruppo/referente del team DPO all’uopo designato e di un responsabile/delegato del cliente che ha deciso di esternalizzare il servizio di DPO in qualità di titolare o responsabile del trattamento.
In questo modo viene ammesso che diversi individui di uno stesso team di professionisti che lavorano insieme e offrono il servizio di DPO (es. una società, un’associazione di professionisti, uno studio legale), possano prestare lo stesso servizio per più clienti e in maniera più efficace nei confronti di ciascuno.
Tuttavia, dal punto di vista organizzativo e per garantire trasparenza dal punto di vista giuridico, si raccomanda di avere una chiara ripartizione dei compiti (per ciascun membro) all’interno del team di DPO e di individuare una sola persona fisica come referente/responsabile del team, così come una sola persona dovrà rappresentare il cliente (titolare o responsabile del trattamento) che abbia deciso di esternalizzare il servizio. Tutto ciò, ovviamente, può confluire ed essere ben dettagliato all’interno del contratto di servizi (si potrebbe definire DPO service) che si andrà a stipulare con ogni singolo cliente.
A queste prime Linee Guida dei Garanti europei presto seguiranno apposite schede di approfondimento, al fine di far comprendere meglio e utilizzare consapevolmente i nuovi strumenti introdotti dal Regolamento.
Il percorso di adeguamento è ancora molto lungo e non potrà essere garantito dalla sola nomina di un Data Protection Officer, che è solo uno dei passi, sebbene fondamentale, che porterà Enti Pubblici e Aziende verso una compliance alla nuova normativa europea.