Pagine a cura di Antonio Ciccia Messina
Poker di compiti per il Responsabile della protezione dei dati. Una funzione cruciale per la privacy a tinte Ue. Operativo dal 25 maggio 2018 (data in cui entra a regime il regolamento europeo 2016/679 sulla protezione dei dati), si occuperà di:
1) informare e consigliare imprese e p.a.;
2) sorvegliare sull’osservanza degli obblighi del regolamento, compresa la formazione del personale;
3) dare pareri sulla valutazione di impatto privacy;
4) essere interlocutore diretto del garante della privacy e degli interessati.
L’identikit dell’Rpd si arricchisce di giorno in giorno e a definire il profilo di questa funzione ha dato il suo contributo il garante della privacy italiano, con una batteria di risposte alle domande più frequenti e con un facsimile dell’atto di designazione (il tutto rintracciabile sul sito www.garanteprivacy.it).
Non tutto è ancora chiaro. Particolare non trascurabile: non risultano parametri per la definizione del compenso dell’attività dell’Rpd (o Dpo, Data protection officer, se si usa l’acronimo inglese). Ma molto può essere già detto con certezza.
Vediamo tutti i chiarimenti forniti dal garante, su una funzione che deve essere obbligatoriamente attivata in tutte le pubbliche amministrazioni e in molte (non tutte) le imprese. E, cioè, quelle che, su larga scala, trattano dati sensibili o fanno monitoraggio sistematico delle persone.
Dirigente. Qual è la posizione dell’Rpd? Deve essere una figura apicale che riferisce direttamente al vertice aziendale o dell’organizzazione, senza intermediari. Non prende ordini da nessuno.
Nel caso in cui si opti per un Rpd interno, è preferibile individuare un dirigente o un funzionario di alta professionalità, che possa svolgere le proprie funzioni in autonomia e indipendenza, in collaborazione diretta con il vertice dell’organizzazione.
Certificazione. C’è un albo o un elenco di Rpd? Facile constatare che non c’è un titolo di studio apposito: non esiste un diploma o una laurea di Dpo. Eppure, dice il regolamento Ue n. 2016/679 l’Rpd deve avere conoscenze giuridiche specialistiche. A questo punto si pone il problema di come fare a valutare se un tale professionista sia idoneo. Sul mercato c’è un’abbondanza di corsi, master, convegni e così via, al cui esito ci sono attestati con nomi diversi. Alcuni percorsi sono inseriti nel quadro di certificazioni. Il problema è capire se e quanto valgono queste certificazioni e se siano obbligatorie per poter fare il Dpo.
La risposta del garante è di realistico e assoluto buon senso. Le certificazioni non equivalgono, di per sé, a una «abilitazione» allo svolgimento del ruolo dell’Rpd, abilitazione che non esiste. Semplicemente di per sé non sono tali da riservare la funzione di Rpd ai soggetti che abbiano conseguito una certificazione. Questo non significa, però, che corsi e master e certificazioni volontarie non valgano nulla. Anzi, dice il garante, le certificazioni sono, certo al pari di altri titoli, un valido strumento di verifica delle conoscenze.
Lo stesso garante aggiunge che le certificazioni di persone possono costituire una garanzia e atto di diligenza.
Soprattutto (aggiungiamo noi) quando sono rilasciate, dopo la frequenza di corsi seri e impegnativi, da soggetti diversi dagli organizzatori dei corsi stessi.
Le certificazioni possono avere, dunque, per oggetto le competenze e non un profilo professionale e sono utili e meritevoli e danno un valore aggiunto a chi le consegue, purché abbiano ottimi programmi, buone docenze e buone metodi di apprendimento e di valutazione delle competenze. A questo proposito il garante dice che l’ente (pubblico o privato) deve comunque valutare il candidato Rpd; per fare ciò deve imparare a selezionare sul mercato le competenze, anche sulla base del curriculum formativo dei soggetti.
Nomina. Nel caso di scelta di un Rpd interno all’ente, occorre formalizzare un atto di designazione (un facsimile è disponibile sul sito www.garanteprivacy.it). In caso, invece, di ricorso a soggetti esterni all’ente, la designazione è parte integrante di un contratto di servizi.
Tra l’altro il contratto di servizi potrà essere concluso anche con una persona giuridica, ma bisogna individuare sempre una persona fisica che faccia da referente.
Indipendentemente dalla natura e dalla forma dell’atto utilizzato, è necessario che nello stesso sia individuato in maniera inequivocabile il soggetto che opererà come Rpd, riportandone espressamente le generalità, i compiti e le funzioni che questi sarà chiamato a svolgere in ausilio al titolare/responsabile del trattamento, in conformità a quanto previsto dal quadro normativo di riferimento.
Se la funzione di Rpd è svolta da un fornitore esterno di servizi, i compiti stabiliti per l’Rpd potranno essere assolti efficacemente da un team operante sotto l’autorità di un contatto principale designato e «responsabile» per il singolo cliente. In particolare, «per favorire una corretta e trasparente organizzazione interna e prevenire conflitti di interesse a carico dei componenti il team Rpd, si raccomanda di procedere a una chiara ripartizione dei compiti all’interno del team Rpd e di prevedere che sia un solo soggetto a fungere da contatto principale e «incaricato» per ciascun cliente. Sarà utile, in via generale, inserire specifiche disposizioni in merito nel contratto di servizi.
L’eventuale assegnazione di compiti aggiuntivi, rispetto a quelli originariamente previsti nell’atto di designazione, dovrà comportare la modifica e/o l’integrazione dello stesso o delle clausole contrattuali.
Nell’atto di designazione o nel contratto di servizi devono risultare succintamente indicate anche le motivazioni che hanno indotto l’ente a individuare, nella persona fisica selezionata, il proprio Rpd, al fine di consentire la verifica del rispetto dei requisiti previsti dal regolamento Ue 2016/679: si deve fare riferimento agli esiti delle eventuali procedure di selezione interna
Informativa. Una volta individuato, il titolare o il responsabile del trattamento è tenuto a indicare, nell’informativa fornita agli interessati, i dati di contatto dell’Rpd, pubblicando gli stessi anche sui siti web. Per le p.a. è opportuno inserire i riferimenti dell’Rpd nella sezione «amministrazione trasparente», oltre che nella sezione «privacy» eventualmente già presente.
Notizia al garante. Mentre non è necessario, anche se potrebbe costituire una buona prassi, in ambito pubblico, pubblicare anche il nominativo dell’Rpd, occorre che il nome sia comunicato al garante per agevolare i contatti con l’autorità.
Il garante ha predisposto un modello di comunicazione. Resta invece fermo l’obbligo di comunicare il nominativo del Dpo agli interessati in caso di violazione dei dati personali (data breach).
Responsabilità, medaglia a due lati
Un contratto pieno di responsabilità: al Responsabile della protezione dei dati l’impresa e l’ente pubblico possono chiedere conto se l’esperto di privacy dà un parere o un consiglio sbagliato. La medaglia della responsabilità dell’Rpd ha due facce. Da un lato molti sottolineano con enfasi che l’Rpd non ha responsabilità nel caso di irregolarità o inadempienze rispetto al regolamento Ue 2016\679. Dall’altro lato, però, non bisogna assolutamente dimenticare che il Responsabile della protezione dei dati ha responsabilità contrattuale nei confronti del suo committente. Pertanto se sbaglia e se dal suo errore deriva l’esposizione dell’ente pubblico o dell’impresa al rischio di risarcire danni, non è da escludere la rivalsa nei confronti del cattivo consigliere. A questo proposito vanno ricordati i compiti dell’Rpd. Questi deve informare e consigliare il titolare del trattamento su come eseguire le prescrizioni in materia di privacy. In secondo luogo deve sorvegliare sulla esatta osservanza delle norme in materia di protezione dei dati, compresa la formazione del personale. Terzo compito dell’Rpd è dare pareri sulla valutazione d’impatto privacy. L’Rpd infine è punto di contatto del garante della privacy e degli interessati. A questo punto si ipotizzi che il titolare del trattamento chieda lumi all’Rdp e che quest’ultimo dia una risposta errata. Ricordando che tra titolare del trattamento e Rpd c’è un rapporto contrattuale, la correttezza delle informazioni, dei consigli, e dei pareri è un preciso obbligo del responsabile della protezione dei dati. Una informazione sbagliata è, quindi, un inadempimento degli obblighi contrattuali. Questa situazione legittima l’impresa o l’ente pubblico a sciogliere il contratto e chiedere i danni al responsabile della protezione dei dati. Più difficile è, invece, pensare a una responsabilità extracontrattuale dell’Rpd nei confronti di terzi danneggiati. Ma non può essere esclusa, soprattutto in caso di condotte dolose.
© Riproduzione riservata
Fonte: