Data Protection Officer: perché bisogna avere questa figura
L’autonomia decisionale e l’estraneità del DPO rispetto alla determinazione delle finalità e delle modalità del trattamento sono mezzi di fondamentale importanza per restituire agli interessati quella sovranità sulla circolazione dei propri dati
Lo scenario
È questo lo scenario in cui si inserisce il Data Protection Officer o Responsabile della protezione dei dati personali (in seguito DPO o RPD): una figura complessa, che riassume in sé la trama dei principi, etici prima che giuridici, che ammanta il Regolamento europeo.
Una cosa deve essere chiara: i compiti e le responsabilità del DPO non possono dipendere unicamente dalle logiche di mercato. Logiche che, tra l’altro, hanno recentemente alimentato il proliferare di proposte formative, tra le quali è spesso difficile distinguere, con sufficiente chiarezza, quelle realmente orientate a plasmare le qualità e le competenze professionali di questa nuova figura e quelle invece mirate unicamente al rilascio dei cosiddetti “bollini di qualità” (spesso di dubbio valore) da appuntare sul curriculum. Il ruolo del DPO è troppo delicato per essere svilito attraverso un’opera di mercificazione (anche delle certificazioni) che ha accompagnato (purtroppo) tanti ruoli/modelli di “responsabilità” in altri settori del diritto.
Meccanismi di certificazione
È pur vero, infatti, che il Regolamento UE 2016/679 prevede e incentiva l’istituzione di meccanismi di certificazione della protezione dei dati allo scopo di dimostrare la conformità al Regolamento dei trattamenti effettuati (art. 42, par. 1) ma, come giustamente ricordato dall’Autorità Garante per la Protezione dei Dati con comunicato stampa del 18 luglio scorso, in Italia non è ancora stato individuato alcun ente di accreditamento ai fini del Regolamento, né sono stati definiti i requisiti aggiuntivi per l’accreditamento degli organismi di certificazione (art. 43, par. 1, lett. b) e i criteri di certificazione (art. 42 par. 5).
La designazione del DPO
Occorre sottolineare che, anche quando non obbligatoria, la designazione del DPO è particolarmente raccomandata per tutti i casi in cui le attività di trattamento costituiscano probabili fonti di rischio per i diritti e le libertà delle persone fisiche, in base a valutazioni affidate, nei singoli casi, ai Titolari e ai Responsabili, in attuazione del fondamentale principio dell’accountability. È evidente, dunque, che al Data Protection Officer non può e non deve spettare una funzione di tutela degli interessi del Titolare e del Responsabile, ma un ruolo esclusivamente dedicato alla protezione dei dati personali.
Requisiti essenziali
Ecco dunque che diventa essenziale il requisito dell’autonomia e indipendenza del DPO nell’esercizio delle sue funzioni, riprendendo in parte lo spirito del sistema previsto in Italia dal D. Lgs. 231/2002, in materia di responsabilità amministrativa degli enti. Come sappiamo, assicurare l’assenza di condizionamenti nell’esercizio di compiti complessi è tutt’altro che banale. Certamente, l’ipotesi di inquadrare il DPO in un rapporto di dipendenza con il Titolare (o con il Responsabile) del trattamento prospetterebbe rischi più evidenti di asimmetria di poteri e di conflitto di interesse in ambito lavorativo, nonostante l’espressa copertura normativa. Tuttavia, anche in assenza di vincoli gerarchici, il dovere di agire in modo indipendente potrebbe essere compromesso se l’incarico conferito al DPO esterno assumesse, di fatto, la forma di un semplice mandato professionale o di un affidamento di servizi.
Fonte: www.agendadigitale.eu