Il Responsabile della protezione dei dati (in inglese, DPO: Data Protection Officer) gioca un ruolo primario nella governance della protezione dei dati personali, nell’ambito delle organizzazioni tenute a nominarlo e di quelle che hanno comunque ritenuto di farlo. Un ruolo a più dimensioni, lungo l’arco che va dalla consulenza alla sorveglianza del corretto trattamento dei dati personali e della loro libera circolazione.
Rappresenta una figura di riferimento e di contatto per tutti i soggetti coinvolti, dal titolare del trattamento agli interessati e all’Autorità Garante.
A oltre cinque anni di distanza dall’entrata sulla scena della privacy formato europeo, nella pratica organizzativa come nella dottrina, l’analisi della complessità di questa figura è stata oggetto di una articolata indagine a livello europeo coordinata dall’EDPB, “2023 Coordinated Enforcement Action – Designation and Position of Data Protection Officers” del 16 gennaio 2024, che comprende due allegati sulla rilevazione nei diversi Paesi e sulle evidenze statistiche.
Come armonizzare i controlli eseguiti dal DPO e dall’OdV per la compliance integrata in azienda
I dettagli dell’indagine EDPB sulla figura del DPO
Tale indagine, le cui risultanze sono ritenute incoraggianti, è corredata da alcune raccomandazioni e punti di attenzione per consolidare tale centrale figura, sinteticamente afferenti ai seguenti aspetti:
Le strategie che fanno bene al business e alla cyber security
- promuovere la nomina dell’RPD vs l’assenza anche quando obbligatoria;
- incentivare le organizzazioni a dotare gli RPD di risorse adeguate;
- sia a livello di Autorità privacy che a livello di titolari del trattamento, promozione della conoscenza specialistica e la formazione degli RPD;
- coerente coinvolgimento degli RPD rispetto alle previsioni del GDPR (e dell’analogo regolamento 1725/2018 per le Istituzioni europee);
- evitare situazioni di conflitto di interesse e garantire l’indipendenza per gli RPD;
- rafforzamento del reporting dell’RPD ai vertici organizzativi;
- implementazione delle linee guida per contribuire alla attività degli RPD.
Il documento si sofferma anche sulla circostanza che in una fase come quella attuale di sviluppo e approvazione di disposizioni europee in campo digitale (ad es. AI Act, Digital Services Act, Digital Market Act e Data Act) il ruolo degli RPD ne viene impattato anche con un coinvolgimento che può arrivare a ruoli chiave nell’ambito di queste legislazioni.
Alcuni degli aspetti menzionati, come il rischio di conflitti di interesse o di risorse insufficienti, rendono fondamentale che tutti i soggetti interessati pongano attenzione al modo in cui gli RPD vengono coinvolti, onde garantire le condizioni per loro per fornire valore aggiunto al trattamento dei dati personali.
Anche alla luce di tale indagine, quindi, emerge come ancora non si sia giunti a una definitiva valutazione del ruolo del DPO nell’architettura privacy.
La questione non è di poco momento in quanto sostrato per un pieno dispiegamento dei poteri e dei connessi doveri dell’RPD. In questo intervento, estremizzando alcune previsioni su questa figura in maniera che potrà apparire forse eccessiva, se ne propone una visione multidimensionale come contributo (non conclusivo) alla riflessione.
Come inquadrare la figura di Responsabile della protezione dei dati
Come ventilato in un alcune analisi, l’RPD potrebbe essere riconducibile alla figura di persona autorizzata al trattamento dei dati da parte del titolare, anche se nella forma più “corposa” di soggetto designato secondo quanto previsto dall’art. 2 quaterdecies dell’aggiornato Codice privacy (CP).
Tale norma, infatti, consente di ampliare la compagine organizzativa degli addetti alla privacy, con l’ipotesi di figure cui conferire specifici compiti e funzioni: è evidente che il designato in fondo è sempre una persona autorizzata al trattamento dei dati sebbene con maggiore autonomia e responsabilità nel contesto organizzativo.
Un esempio peculiare è quello dell’“Esercizio delle funzioni di titolare del trattamento dei dati personali” prevista presso la Presidenza del Consiglio dei Ministri in capo ai responsabili delle funzioni organizzative della PCM, fattispecie invero un po’ ibrida a metà fra titolare e delegato, ma che a prima vista sembra riconducibile a quest’ultimo atteso che la nomina dell’RPD è unica per tutta la PCM, a cura del Segretario generale che svolge funzione di coordinamento generale in tema di privacy.
DPO: un ruolo riconducibile al titolare autonomo del trattamento
Ma il Responsabile della protezione dei dati personali, si vuole qui cercare di dimostrare, è qualcosa di più di un parafulmine da coinvolgere per risolvere tutte le questioni privacy – piccole e grandi – di un’organizzazione, ma è anche qualcosa molto di più che un super-delegato.
Non peregrina appare l’ipotesi che il RPD svolga un ruolo di pari livello rispetto a quello di titolare (o anche responsabile) del trattamento.
Un ruolo che potrebbe essere ricondotto a quello di titolare autonomo del trattamento, con riguardo ai dati personali che si trova a trattare (se l’RPD non trattasse dati personali, allora tale figura sarebbe un mix di quelle di consulente e di revisore comunque altra rispetto alle restanti tipizzate dal GDPR).
Meno appropriata, invece, l’ulteriore ipotesi di contitolare del trattamento, che implicherebbe forme, gradi di corresponsabilità su finalità e i mezzi del trattamento con il titolare che lo ha nominato.
Ciò anche se la recente sentenza 683/21 della CGUE in ordine alla contitolarità afferma che “la partecipazione alla determinazione delle finalità e dei mezzi del trattamento può assumere forme diverse, potendo tale partecipazione risultare sia da una decisione comune adottata da due o più soggetti sia da decisioni convergenti di tali soggetti”: ma nel caso del Responsabile della protezione dei dati personali l’intervento si limita alla consulenza qualificata senza alcun potere codecisionale.
A supporto della configurazione come titolare autonomo (o anche contitolare) vi sono varie previsioni del quadro regolatorio di riferimento, di cui si riportano alcune delle più rilevanti:
- l’art. 4 del GDPR, sulle definizioni, non cita mai l’RPD che, pertanto, potrebbe rientrare nel perimetro di una delle altre figure ivi menzionate, dal titolare alla persona autorizzata al trattamento;
- ai sensi dell’art. 38 l’RPD deve godere di autonomia e indipendenza, infatti:
- è inibito al titolare di fornirgli istruzioni nonché la possibilità di rimuoverlo o penalizzarlo per l’adempimento dei propri compiti;
- all’RPD devono essere messe a disposizione le risorse necessarie per assolvere ai propri compiti, accedere ai dati personali e ai trattamenti e per mantenere la propria conoscenza specialistica;
- l’RPD, che ha un dialogo diretto con il titolare/vertice dell’organizzazione, è nel contempo un riferimento interno per gli incaricati del trattamento, ma anche esterno per gli interessati. Inoltre, è chiamato a cooperare con l’Autorità di controllo cui può anche autonomamente rivolgersi per consultazioni;
- il suo potere di sorveglianza sull’applicazione delle norme privacy, che implica un potere diverso da quello del titolare, come emerge in maniera ancor più icastica nel Regolamento UE 1725/2018 relativo alla privacy per le Istituzioni europee, secondo cui l’RPD oltre ad avere il compito, come per il GDPR, di informare e fornire consulenza al titolare può anche (art. 45):
- formulare delle raccomandazioni al titolare e
- di propria iniziativa (oltre che su richiesta, fra l’altro, del titolare ma anche di qualsiasi persona) condurre indagini su questioni e fatti ricadenti nell’ambito delle sue funzioni e riferirne alla persona che lo ha incaricato;
- oltre a essere “facilitatore” nei confronti dell’Autorità di controllo, all’RPD è riconosciuta la facoltà di poterla consultare non solo circa la consultazione preventiva prevista per i trattamenti che presentino un rischio elevato per gli interessati in assenza di misure per ridurlo ma anche “relativamente a qualunque altra questione” (art. 39.1.e del GDPR). In tale ambito potrebbe rientrare la consultazione del Garante, in casi estremi, per approfondimenti circa visioni confliggenti fra scelte del titolare e valutazioni dell’RPD: ma ciò sottolineerebbe la sua alterità rispetto al titolare;
- laddove si verificasse l’eventualità che il titolare perseguisse soluzioni di trattamento che ad avviso dell’RPD siano oltre i limiti del GDPR e illecite, fra le varie ipotesi che potrebbero coinvolgere l’RPD vi è quella di rappresentarlo formalmente al titolare e solo in seguito, in caso di mancata condivisione (tralasciando l’eventualità del whistleblowing esperibile peraltro da parte di ciascun elemento dell’organizzazione o che operi per questa, con possibilità se del caso di rivolgersi all’ANAC) potrebbe rivolgersi agli organi di garanzia – quali internal auditing, comitato etico – ma presumibilmente sarebbe legittimato anche ad adire nel suo ruolo il Garante e/o l’autorità giudiziaria con una denuncia esterna e con le tutele del GDPR (piuttosto che con quelle del whistleblowing) secondo cui l’RPD “non è rimosso o penalizzato dal titolare del trattamento o dal responsabile del trattamento per l’adempimento dei propri compiti”, senza dover necessariamente per questo lasciare d’iniziativa l’incarico di RPD (ma ovviamente valutandolo attesa la natura non fiduciaria ma di fiducia che connota l’incarico). E ciò sottolinea l’autonomia del ruolo rispetto al titolare.
Quali poteri ha il Responsabile della protezione dati
Premesso che il RPD non può essere ricondotto alla figura di responsabile del trattamento (RT) atteso che, come osservato dal Garante nel Documento di indirizzo sugli RPD in ambito pubblico (2021), il RT è destinatario di istruzioni da parte del titolare (aspetto non ammesso per il RPD) ed è soggetto alla sorveglianza del RPD, le connotazioni sopra elencate appaiono indizi non deboli per considerare il RPD dotato di poteri analoghi a quello di titolare.
All’osservazione che nessuna responsabilità ricade sul RPD atteso che sarà sempre il titolare a risponderne si potrebbe evidenziare che il RPD risponderà comunque:
- nei confronti del titolare per eventuale responsabilità civile per inadempimenti ed errori connessi all’incarico ricevuto (ma non ai sensi del GDPR);
- egli stesso come titolare (autonomo) del trattamento per i dati personali di cui viene a conoscenza e che tratta per l’esercizio delle proprie funzioni.
Certo, si tratterebbe di una contitolarità de facto atteso che, in particolare nel caso il Responsabile della protezione dei dati sia dipendente dell’organizzazione, non verrebbe stipulato uno specifico accordo essendo il rapporto normato dal GDPR e, per gli aspetti del trattamento dei dati incluso il ciclo di vita degli stessi andrebbero di norma osservate la previsioni del trattamento definite dal titolare (con la consulenza e supervisione dell’RPD) e comunque secondo le finalità del trattamento, analogamente a quanto previsto per le autorità pubbliche cui venissero conferiti i dati personali nell’ambito di una loro indagine: “il trattamento di tali dati da parte di dette autorità pubbliche è conforme alle norme applicabili in materia di protezione dei dati secondo le finalità del trattamento” (art. 4 punto 9).
Inoltre, la complessità privacy nell’ambito di una organizzazione già prevede la compresenza di un titolare autonomo del trattamento, il medico competente (con riguardo ai dati sulla salute degli interessati), come specificato dal Garante nella considerazione che la funzione di medico competente è individuata e disciplinata dalla legge e, in quanto tale, sottratta alla sfera di competenza del datore di lavoro e ai relativi poteri. Ma lo stesso, come visto, si può sostenere per il RPD.
DPO, medico del lavoro, consulente del lavoro e OdV
Se l’ipotesi proposta è meritevole di approfondimento, vanno accennate almeno le tre seguenti questioni:
- come detto, l’RPD sarebbe nel contempo anche titolare (autonomo) del trattamento per i dati personali che si trova a trattare che per certi versi potrebbero anche non essere (ancora) a conoscenza del titolare, si pensi a quelli che emergessero nell’ambito di indagini esperite di iniziativa e quindi dovrà applicare al suo set di dati (di norma solo una minimale quota parte rispetto a quelli trattati dal titolare) le previsioni del GDPR, avendo a riferimento primario le previsioni sul trattamento del titolare. È appena il caso di sottolineare che non si sostiene che l’RPD sia titolare tutti i dati personali trattati dal titolare dante causa, dati che possono anzi nella parte prevalente non essere noti all’RPD;
- (a maggior ragione se inteso come titolare) l’RPD dovrebbe essere visto, più che come una funzione di seconda linea nell’ambito dei modelli di gestione del rischio (ad es The IIA’s Three Lines Model), come una figura di terza linea – quella tipicamente dell’internal audit che, fra l’altro, non può auditare l’RPD ma se del caso la sua struttura di supporto – per la privacy o addirittura di quarta linea (in genere attribuita alle entità di supervisione). Ciò in quanto l’RPD, se è vero non ha poteri cogenti per imporre la sua visione nell’organizzazione e neanche responsabilità operative/applicative, ha comunque un forte ruolo di promotore della compliance in campo privacy. Ed è del tutto improprio (anzi erroneo) imputare in capo all’RPD dei rischi operativi, atteso che questi ultimi sono afferenti all’organizzazione (che non è che debba acriticamente avallare le posizioni dell’RPD: è il titolare che ha l’ultima parola);
- l’art. 38.3 del GDPR prevede che l’RPD “è tenuto al segreto o alla riservatezza in merito all’adempimento dei propri compiti, in conformità del diritto dell’Unione o degli Stati membri”. Come va intesa questa previsione?
- Con valore solo interno al circuito privacy dell’ente, verso l’alto (il titolare) e verso il basso (le persone coinvolte nel trattamento dei dati personali che a lui si rivolgono ai sensi dell’art. 39.1.a del GDPR)?
- Con riguardo a tutti gli altri soggetti portatori di interesse (con riferimento all’interlocuzione con gli interessati esterni ex-art. 38.4)?
- anche (come pure ventilato da un esperto della materia che, in maniera che può apparire provocatoria ma che invece pone luce su un aspetto serio e poco analizzato) l’RPD “può opporre il segreto a un giudice? Oppure può opporre il segreto al Garante?”.
Le peculiarità delle figure di Responsabili della protezione dati
Le peculiarità delle figure di RPD e di medico competente potrebbero poi essere estensibili anche ad altre figure di consulenza e di controllo previste dall’ordinamento, per inquadrarne il corretto ruolo a fini privacy.
È utile partire dalla figura di consulente del lavoro circa la quale il Garante, in risposta a un quesito del Consiglio nazionale dei consulenti del lavoro, si è espresso inquadrandolo come responsabile del trattamento (cfr doc web 90809703 del 2019) quando opera come delegato con riguardo ai dati della compagine dell’organizzazione titolare (viceversa di titolare, dei propri dipendenti oppure dei propri clienti quando siano persone fisiche).
Con riguardo all’Organismo interno di vigilanza (OdV) previsto dalla legge 231, che ha il compito di sorvegliare il funzionamento e l’osservanza dei modelli di organizzazione e gestione adottati dalle aziende per prevenire reati nonché la responsabilità di controllare l’aggiornamento di tali modelli, sempre il Garante si è espresso (cfr doc web 9420106 del 2020) riconducendone i componenti a persone autorizzate al trattamento (il parere non si esprime comunque con riguardo al ruolo nel whistleblowing).
Ciò nella considerazione che l’OIV è parte dell’ente stesso ed agisce per conto del titolare; ne consegue che gli “autonomi poteri di iniziativa e controllo” dell’OIV sono esercitabili nell’ambito dell’organizzazione dell’ente che, con l’adozione di propri dei modelli di organizzazione e di gestione, definisce il perimetro e le modalità di esercizio dei compiti dell’OIV. A quanto evidenziato da Garante va aggiunto che l’art 4.6 della 231 prevede che nelle piccole entità i compiti dell’OIV possano essere esercitati dall’organo dirigente, in una sorta di immedesimazione organica che sarebbe distonico estendere al GDPR, essendo il RPD una figura del tutto autonoma dal titolare ancorchè da questo nominato.
Sulla base del predetto parere del 2020 sull’OIV, si può poi far cenno al ruolo privacy dei revisori dei conti: la fissazione per legge delle competenze, la diversa autonomia rispetto al titolare, la responsabilità civile, amministrativa e penale cui può soggiacere inducono a ritenere il revisore dei conti come titolare autonomo del trattamento o, eventualmente a seconda dei casi, responsabile del trattamento.
Da queste prime considerazioni si può convenire che per l’esatta configurazione dei ruoli occorrerebbe far riferimento all’analisi concreta dei diversi ruoli e delle loro caratteristiche: dalle finalità (le definisce il titolare o la legge?) al perimetro di azione, dal grado di autonomia e di indipendenza alla possibilità che il titolare possa esercitare o meno direttamente uno specifico ruolo.
Quello che comunque sarebbe necessario, per il futuro, è che in occasione di interventi normativi e regolatori per tali figure venisse approfondita ed esplicitata la natura del ruolo privacy, al fine di evitare non solo la possibilità di comportamenti distonici fra i diversi titolari ma anche di trattamenti non disallineati rispetto con il quadro normativo di riferimento.
Conclusione
A meno di non affermare in maniera tranchant che l’RPD rappresenti una figura legibus (anzi: GDPR) solutus, due paiono le possibili alternative: 1) inquadrarlo in persona autorizzata al trattamento, con ciò realizzando, prima facie, un pericoloso cortocircuito nella dialettica fra gli organi che provvedono alla governance del trattamento dei dati personali (l’RPD sottoposto, sottomesso alle istruzioni del titolare) o 2) considerarlo un ulteriore titolare che, a un tempo:
- copartecipa (collabora, sorveglia l’applicazione delle norma privacy e l’engagement degli elementi coinvolti, fornisce pareri, coopera e funge da punto di contatto con il Garante) con il titolare – su cui si accentra la responsabilità dell’attuazione delle norme -, per realizzare la governance della privacy nell’interesse di tutte le parti in gioco per ciascuna organizzazione e, in definitiva, degli interessati;
- (con maggior evidenza per l’RPD per le Istituzioni europee in considerazione dell’espresso potere di indagine ex art. 45.2 del Regolamento UE 1725/2018) titolare del trattamento per i dati personali che raccoglie e comunque tratta nella sua attività.
Un’ipotesi che andrebbe vagliata – anche se non se ne condividessero le conclusioni – per consolidare, come merita e come necessario, il ruolo dell’RPD.
Le opinioni espresse sono a titolo esclusivamente personale e non coinvolgono l’Ente pubblico presso cui l’autore presta servizio.
Gestione documentale e firma digitale: abilita un processo full digital sicuro
@RIPRODUZIONE RISERVATA