(di Lorenzo Perino – Articolo pubblicato su NT+ Diritto (ilsole24ore.com) in data 26 gennaio 2023
Chi si occupa di privacy fin dall’entrata in vigore della prima normativa, ormai venticinque anni fa, sa che il principale problema per tutti i soggetti economici che si sono adeguati alle prescrizioni obbligatorie in questi anni è sempre stato quello di dare continuità a quanto fatto. In moltissimi casi le aziende si sono armate di buona volontà, hanno adottato gli adempimenti obbligatori con diligenza, facendosi supportare magari da professionisti di qualità e poi però hanno seppellito tutto quanto fatto in un cassetto, fino a che una nuova esigenza specifica non si fosse ripresentata.
Purtroppo però questa modalità operativa risulta essere molto pericolosa, oltre che antieconomica. La gestione degli adempimenti deve essere infatti vista come un corpo vivo e in perenne evoluzione, in relazione a novità normative e organizzative interne sopravvenute.
Se si lascia morire la compliance privacy dentro a un cassetto sarà come non avere mai investito quelle risorse economiche, esponendo l’azienda anche ad un rischio di pesanti sanzioni. Quindi decisamente il danno accompagnato dalla proverbiale beffa.
Questo generalmente accade perché la materia del trattamento dati personali non è considerata “core business” e quindi tutti i dipartimenti aziendali sono costantemente impegnati in altre direzioni e, in aggiunta, spesso vedono la gestione della privacy come un’inutile complicazione delle proprie attività quotidiane e tendono, anche comprensibilmente, a nascondere la polvere sotto al tappeto.
Qui deve intervenire la direzione aziendale, sensibilizzando tutti alla corretta gestione dei dati personali e a fare emergere le situazioni che abbiano implicazioni privacy affinché siano correttamente e tempestivamente gestite, in ossequio al principio della “privacy by design“.
Un decisivo aiuto in questa direzione è arrivato dall’introduzione nel nostro ordinamento della figura del Responsabile della Protezione dei dati personali (RPD) o Data Protection Officer (DPO) regolato dall’ art. 37 e seguenti del Regolamento Europeo n. 679/2016 General Data Protection Regulation – GDPR. Per la norma citata il titolare del trattamento e il responsabile sono tenuti a nominare questa figura in una serie di casi determinati, individuati sulla base di condizioni soggettive, quali l’essere un ente pubblico, esercitare attività che per loro natura e ambito di applicazione o finalità richiedano il monitoraggio regolare e sistematico degli interessati su larga scala ovvero comportino il trattamento su larga scala di categorie particolari di dati di cui all’art. 9 o di dati relativi a condanne penali o reati di cui all’art. 10.
Sulle categorie per cui la nomina del DPO risulta obbligatoria ormai, a più di quattro anni dall’entrata in vigore del Regolamento, sussistono pochi dubbi: certamente lo sono tutta la Pubblica Amministrazione e poi, anche grazie alle indicazioni fornite dalle Linee Guida emanate dal GRUPPO DI LAVORO ART. 29 PER LA PROTEZIONE DEI DATI, il settore sanitario, bancario, assicurativo, la GDO, i gestori di servizi telefonici e Internet e qualsiasi altro soggetto che tratti dati personali, a maggior ragione se particolari, in quantità rilevante. Tutti gli altri soggetti che non sono tenuti alla nomina obbligatoria possono procedere comunque alla nomina del DPO su base volontaria, essendo stata esplicitamente individuata come misura idonea a garantire il corretto trattamento dei dati personali degli interessati.
Il ruolo di DPO può essere ricoperto da un soggetto interno all’azienda o da un soggetto esterno indifferentemente, l’importante che sia individuato in funzione delle sue qualità professionali, in particolare della conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati e delle capacità di assolvere ai compiti indicati all’art. 39.
Pertanto non possono certamente essere considerate efficaci delle nomine meramente formali in capo a soggetti interni che non abbiano competenze ed esperienza specifica in ambito privacy, spesso quasi perfezionate “ad insaputa”del lavoratore con il solo fine di poter dire di avere adempiuto all’obbligo.
I dati del DPO nominato devono essere resi pubblici affinché ciascun interessato possa prendere contatto diretto con questo soggetto e devono essere anche comunicati all’Autorità Garante attraverso la pagina Web a questo scopo attivata, con invio sottoscritto digitalmente a cura del titolare del trattamento. Il Garante, in caso di necessità, prenderà contatto direttamente con il DPO potendo così ottenere risposte puntuali e circostanziate.
I compiti di questa figura sono indicati esplicitamente all’interno dell’art. 39 e possono essere così sintetizzati: informare e fornire consulenza al titolare e al responsabile, ma anche al personale dipendente della società o dell’ente, in merito agli obblighi stabiliti dal Regolamento.
Questo significa avere a disposizione in modo continuativo un professionista esperto in materia di privacy che possa supportare tutte le funzioni aziendali, fornendo indicazioni operative prima che ciascuna decisione venga presa, in ossequio al principio fondamentale della privacy by design.
Oltre a questo il DPO deve sorvegliarel’osservanza degli obblighi privacy da parte di tutti i soggetti coinvolti dalla catena delle responsabilità. Viene anche fatto un esplicito riferimento alla sensibilizzazione e alla formazione del personale in materia di trattamento dati personali, aspetti molto spesso pesantemente trascurati in molti contesti lavorativi, mentre è dall’avere operatori consapevoli che parte la vera tutela dei diritti degli interessati. Ulteriore compito individuato è quello di fornire pareri in merito alla valutazione d’impatto di cui all’art. 35 e di sorvegliarne lo svolgimento ad opera del titolare.
Il DPO ha poi obblighi specifici rispetto all’autorità di controllo, essendo tenuto al collaborare in caso di richieste di informazioni o ispezioni e fungere da punto di contatto con la stessa per qualsiasi questione inerente al trattamento dei dati personali.
Il vero valore aggiunto di questa figura aziendale è la sua presenza effettiva e continuativa all’interno dell’ente e il supporto consulenziale, al di là dei contenuti tecnici giuridici che vengono trasferiti al cliente, soprattutto credo che aiuti il titolare del trattamento a non “perdersi dei pezzi”, a non trascurare le implicazioni privacy della propria attività per mancanza di tempo o di competenza.
E l’attività si dovrà produrre secondo il celebre ciclo di Deming, “plan – do – check – act” ovvero pianificando i miglioramenti continui della compliance, rendendoli effettivi all’interno delle procedure interne, verificando che quanto pianificato sia stato effettivamente svolto e, in caso contrario, intervenendo per correggere inerzie o errori.
Questo schema operativo sarà poi registrato all’interno di riunioni a cadenza regolare, comunque almeno trimestrali, che saranno verbalizzate per poter rendere tracciabile tutto quanto fatto in tema di privacy in ossequio al principio dell’accountability.
Per fare sì che tutto questo possa avere luogo in modo efficiente, assumono un ruolo essenziale i flussi informativi verso il DPO, ovvero come l’ente mette al corrente in modo tempestivo il responsabile della protezione dei dati delle situazioni che possono avere un impatto in materia di privacy. Questo aspetto è esplicitato dall’articolo 38 del GDPR al comma 1 dove si dice che il titolare e il responsabile sono tenuti a coinvolgere tempestivamente e adeguatamente il DPO in tutte le questioni riguardanti che impattano la privacy.
Qui spesso però ci troviamo davanti ad un paradosso, e cioè quando l’azienda deliberatamente tiene nascosti alcuni aspetti operativi al DPO per evitare che questi possa ostacolare o rallentare i processi decisionali. Ma l’equivoco in questo caso è profondo, se il DPO non è coinvolto nei processi rilevanti non potrà esercitare la propria funzione di supporto e quindi guidare il titolare nelle scelte corrette. E il costo del servizio andrà sprecato, esponendo l’ente anche a pesanti sanzioni con aggravio di spese e rischi reputazionali.
Un’ultima considerazione deve essere fatta circa l’opportunità o meno di designare un dipendente interno o un professionista esterno per ricoprire il ruolo in esame. Innanzitutto bisogna considerare che al DPO deve essere garantita autonomia e indipendenza, deve poter essere messo nelle condizioni di operare senza temere alcuna conseguenza negativa in caso di divergenza con la direzione aziendale.
Questo aspetto certamente farebbe propendere per il ricorso ad una figura esterna, un professionista specializzato che possa garantire di essere autonomo e indipendente più di un lavoratore subordinato assunto dal titolare. Dall’altro lato anche il professionista, essendo comunque remunerato attraverso il compenso professionale, potrebbe essere oggetto di condizionamenti.
Quindi una regola generale ritengo che non ci sia, in entrambi casi sarà il DPO che dovrà orientare il proprio comportamento ai principi di autonomia e indipendenza e non fare sconti a nessuno, se vorrà incarnare lo spirito delineato dagli estensori del GDPR.
Un’indicazione di massima potrebbe essere che nelle strutture medio piccole risulti essere preferibile la nomina di un DPO esterno, infatti potrebbe essere difficile trovare professionalità adeguate all’interno dell’organico. Le strutture più grandi potranno invece investire nella creazione di un ufficio del DPO interno, magari composto da più professionisti, e garantire loro autonomia e indipendenza di azione.
Quindi per le società e gli enti che sono tenuti alla nomina in base ad un obbligo normativo, direi nessun dubbio se non quello di evitare nomine fittizie e meramente formali che non resisterebbero al vaglio degli organi di controllo neanche per un minuto.
Quello che mi preme evidenziare in conclusione sono gli enormi vantaggi che la nomina del DPO si porta dietro per i soggetti che possono nominarlo su base volontaria. Della continuità di supporto tecnico giuridico e del controllo interno sull’effettività della compliance e delle misure di sicurezza adottate abbiamo già detto in precedenza e la prevenzione di sanzioni e di richieste di risarcimento danni da parte di terzi già basterebbe di per sé a convincere qualsiasi imprenditore o dirigente avveduto. Ma è proprio sul vantaggio economico della nomina l’aspetto su cui mi voglio soffermare in conclusione. Nominare un DPO su base volontaria è un ottimo investimento, indipendentemente dall’ammontare del compenso pattuito con il professionista.
I dati personali costituiscono, oggi molto più che in passato, un enorme patrimonio su cui ormai tutti gli operatori economici investono. Avere database di clienti non a norma, senza il consenso marketing tracciabile, li rende inutilizzabili e quindi privi di valore. Ma la compliance privacy attribuisce valore all’azienda in generale, regolando correttamente i rapporti con i dipendenti, i fornitori, gli azionisti e il mercato e questi aspetti oggi sono considerati come elementi fondamentali nella determinazione del valore di un’azienda in caso di operazioni straordinarie.
Meno compliance significa meno valore e l’attenzione su questi aspetti è aumentata tantissimo negli ultimi anni. Anche i clienti finali cominciano a valutare questi aspetti, un operatore economico che non abbia un DPO oggi è un operatore disattento alle tematiche privacy e, di conseguenza, probabilmente disattento sulle tematiche di compliance e quindi meno affidabile di altri. Perdere una commessa o l’aggiudicazione di una gara d’appalto per questi aspetti non è per nulla raro al giorno d’oggi. E poi c’è l’aspetto reputazionale, essere oggetto di sanzioni da parte del Garante e vedere la notizia pubblicata sugli organi di stampa e i social network costituisce un danno spesso irreparabile e il consumatore finale comincia oggi a orientare le proprie scelte anche in base a questi aspetti.
Nominare un DPO quindi conviene, ove non strettamente obbligatorio, non solo da un punto di vista di prevenzione del rischio legale dell’attività d’impresa ma, spero di averlo dimostrato, rappresenta anche un ottimo investimento da punto di vista economico e di un corretto sviluppo del business aziendale.
A cura dell’Avv. Lorenzo Perino, Of Counsel di Lexpertise – Legal Network
Articolo raggiungibile al seguente link: https://ntplusdiritto.ilsole24ore.com/art/compliance-privacy-vantaggi-nomina-dpo-obbligo-e-opportunita-AEVHPvaC