Data Protection Officer: perché serve una figura autonoma e indipendente

L’autonomia decisionale e l’estraneità del DPO rispetto alla determinazione delle finalità e delle modalità del trattamento sono mezzi di fondamentale importanza per restituire agli interessati quella sovranità sulla circolazione dei propri dati.

Il Regolamento europeo n. 2016/679 sulla protezione dei dati personali (General Data Protection Regulation – GDPR ), ha ridisegnato il “sistema normativo della privacy” sedimentato nella legislazione dei singoli Stati europei, instaurando, anzitutto, una redistribuzione dei ruoli e delle responsabilità.

È questo lo scenario in cui si inserisce il Data Protection Officer o Responsabile della protezione dei dati personali (in seguito DPO o RPD): una figura complessa, che riassume in sé la trama dei principi, etici prima che giuridici, che ammanta il Regolamento europeo.

Per questo, vorremmo provare, in questa sede, a inquadrare la figura del Data Protection Officer in una prospettiva diversa da quella che, troppo spesso, anima i dibattiti degli interpreti, riprendendo e sintetizzando alcuni spunti di approfondimento già sviluppati, per proporre una riflessione costruttiva, guidata dallo spirito del GDPR, incentrato sulla tutela della persona.

Una cosa deve essere chiara: i compiti e le responsabilità del DPO non possono dipendere unicamente dalle logiche di mercato. Logiche che, tra l’altro, hanno recentemente alimentato il proliferare di proposte formative, tra le quali è spesso difficile distinguere, con sufficiente chiarezza, quelle realmente orientate a plasmare le qualità e le competenze professionali di questa nuova figura e quelle invece mirate unicamente al rilascio dei cosiddetti “bollini di qualità” (spesso di dubbio valore) da appuntare sul curriculum. Il ruolo del DPO è troppo delicato per essere svilito attraverso un’opera di mercificazione (anche delle certificazioni) che ha accompagnato (purtroppo) tanti ruoli/modelli di “responsabilità” in altri settori del diritto.

È pur vero, infatti, che il Regolamento UE 2016/679 prevede e incentiva l’istituzione di meccanismi di certificazione della protezione dei dati allo scopo di dimostrare la conformità al Regolamento dei trattamenti effettuati (art. 42, par. 1) ma, come giustamente ricordato dall’Autorità Garante per la Protezione dei Dati con comunicato stampa del 18 luglio scorso, in Italia non è ancora stato individuato alcun ente di accreditamento ai fini del Regolamento, né sono stati definiti i requisiti aggiuntivi per l’accreditamento degli organismi di certificazione (art. 43, par. 1, lett. b) e i criteri di certificazione (art. 42 par. 5).

È il caso di ricordare che la protezione dei dati personali è un diritto fondamentale, che converge nella tutela dell’identità personale, imprescindibile in questa nostra società dell’informazione, tanto più libera, quanto più vulnerabile. È precisamente questa, d’altra parte, la ratiodell’obbligo di nomina del DPO posto in capo a Titolari e Responsabili, nel caso in cui si tratti di autorità o organismi pubblici, indipendentemente dai dati personali oggetto di trattamento, e per altri soggetti che, come attività principale, effettuino un monitoraggio regolare e su larga scala delle persone fisiche o trattino su larga scala categorie particolari di dati personali (art. 37, par.1).

Occorre sottolineare che, anche quando non obbligatoria, la designazione del DPO è particolarmente raccomandata per tutti i casi in cui le attività di trattamento costituiscano probabili fonti di rischio per i diritti e le libertà delle persone fisiche, in base a valutazioni affidate, nei singoli casi, ai Titolari e ai Responsabili, in attuazione del fondamentale principio dell’accountability. È evidente, dunque, che al Data Protection Officer non può e non deve spettare una funzione di tutela degli interessi del Titolare e del Responsabile, ma un ruolo esclusivamente dedicato alla protezione dei dati personali.

Ecco dunque che diventa essenziale il requisito dell’autonomia e indipendenza del DPO nell’esercizio delle sue funzioni, riprendendo in parte lo spirito del sistema previsto in Italia dal D. Lgs. 231/2002, in materia di responsabilità amministrativa degli enti. Come sappiamo, assicurare l’assenza di condizionamenti nell’esercizio di compiti complessi è tutt’altro che banale. Certamente, l’ipotesi di inquadrare il DPO in un rapporto di dipendenza con il Titolare (o con il Responsabile) del trattamento prospetterebbe rischi più evidenti di asimmetria di poteri e di conflitto di interesse in ambito lavorativo, nonostante l’espressa copertura normativa. Tuttavia, anche in assenza di vincoli gerarchici, il dovere di agire in modo indipendente potrebbe essere compromesso se l’incarico conferito al DPO esterno assumesse, di fatto, la forma di un semplice mandato professionale o di un affidamento di servizi. (Segue)