L’art. 35 del Nuovo Regolamento europeo sulla Privacy prende in esame la figura del responsabile della protezione dei dati, precisandone ruolo e funzioni e sottolineandone la centralità rispetto all’osservanza dei principi di correttezza, liceità e adeguatezza del trattamento.
Gianluca Pomante
Avvocato
Esperto in tema di Privacy e IT
Con l'art. 35, il Nuovo Regolamento europeo sulla riservatezza e sul trattamento dei dati personali dei cittadini introduce la figura - obbligatoria per alcune tipologie di aziende pubbliche e private - del responsabile della protezione dei dati, che deve avere una professionalità adeguata a garantire il rispetto della normativa relativa al trattamento e delle best practice in materia di sicurezza informatica.
Tale figura risulta di natura chiaramente dirigenziale, poiché diversamente avrebbe difficoltà a imporre il rispetto di regole e procedure che, per loro natura, incidono sul funzionamento di ogni ufficio che procede al trattamento.
La designazione del responsabile della protezione dei dati è necessaria quando il trattamento è effettuato da un'autorità pubblica o da un organismo pubblico, da un'impresa che abbia più di duecentocinquanta dipendenti o nell'ipotesi in cui i trattamenti per loro natura richiedono il controllo sistematico e regolare degli interessati.
Quando si tratta di più imprese che fanno parte di un gruppo e condividono gli stessi database è consentita la nomina di un unico responsabile della protezione dei dati, circostanza che semplifica anche la stesura e gestione delle corporate rules già da tempo auspicate dai Garanti europei e oggi tradotte in prassi, per consentire alle aziende di dimensioni sovranazionali di utilizzare gli archivi informatici di cui sono dotate senza limiti territoriali.
Evitare i conflitti di interesse
Il regolamento precisa l'opportunità di evitare conflitti di interessi tra la funzione di responsabile della protezione dei dati e altre eventuali mansioni svolte dal nominato all'interno dell'azienda o del gruppo di aziende, evidenziando che la nomina ha durata almeno biennale, sebbene il soggetto che la ricopre possa essere sostituito in qualsiasi momento, qualora non sia più in grado di svolgere i suoi compiti, non soddisfi più le condizioni richieste per l'esercizio delle sue funzioni (perché, ad esempio, l'azienda ha cambiato sistema IT e sono necessarie altre professionalità) o siano sorte situazioni di incompatibilità che ne suggeriscono la rimozione/sostituzione.
La figura riveste una tale importanza nella struttura aziendale ipotizzata dagli estensori del Regolamento che la comunicazione dei suoi dati all'autorità di controllo e al pubblico viene resa obbligatoria e preciso onere del responsabile del trattamento.
La motivazione è comunque facilmente comprensibile, dato che si tratta del soggetto al quale vanno rivolte tutte le istanze relative all'adozione delle misure di sicurezza e alle rivendicazioni degli interessati dal trattamento operato dall'azienda.
Dal punto di vista procedurale, l'assetto organizzativo dell'azienda o del gruppo di aziende deve essere ricalibrato sull'esigenza di far partecipare il responsabile della protezione dei dati a tutte le attività che riguardino anche indirettamente la protezione dei dati personali.
Il Regolamento stabilisce anche, probabilmente per evitare che il compito del responsabile della protezione dei dati sia poi vanificato dalle esigenze di bilancio e che la figura diventi semplicemente un capro espiatorio sul quale far convergere l'attenzione dell'autorità di controllo o dei soggetti danneggiati, che il responsabile del trattamento provveda a garantire al responsabile della protezione ogni risorsa necessaria per adempiere alle sue funzioni, con ciò creando un rapporto di sostanziale parità contrattuale tra il superiore gerarchico e il sottoposto.
Funzioni tipiche
Dal punto di vista pratico, il Regolamento individua alcune funzioni tipiche del responsabile della protezione dei dati, che si riverberano, ovviamente, sugli oneri a carico dell'azienda e del responsabile del trattamento di cui al punto precedente, nel senso che, per garantire l'espletamento dei compiti affidatigli, il responsabile della protezione richiederà le risorse necessarie ad assicurare tali funzioni.
L'elenco dei compiti è dichiaratamente non esaustivo, indicando semplicemente le mansioni che il responsabile del trattamento ha l'obbligo di affidare, ma ciò non toglie che l'elenco possa essere esteso in base alle reali necessità dell'azienda, andando a integrare il mansionario del dipendente.
Il responsabile della protezione dei dati dovrà, quindi, espletare almeno i seguenti compiti:
- informare e consigliare il responsabile del trattamento o l'incaricato del trattamento in merito agli obblighi derivanti dal presente Regolamento e conservare la documentazione relativa a tale attività e alle risposte ricevute
- sollecitare l'applicazione delle politiche di gestione dei dati stabilite di concerto con il responsabile del trattamento o con l'incaricato del trattamento e verificare che siano effettivamente implementate e rese operative
- attribuire e richiedere l'attribuzione responsabilità agli incaricati del trattamento, assicurandone direttamente o indirettamente la formazione e le verifiche periodiche
- garantire l'attuazione del Regolamento, con particolare riguardo ai requisiti concernenti la protezione dei dati fin dalla progettazione del sistema, nonché i successivi sviluppi, sia in chiave manutentiva che evolutiva, assicurando non solo la protezione di default e la sicurezza dei dati dal punto di vista tecnico, ma sollecitando e realizzando l'adozione di misure organizzative per gestire l'informazione dell'interessato e le richieste degli interessati, affinché i diritti riconosciuti dal regolamento siano effettivamente esercitabili
- garantire la conservazione della documentazione di cui all'articolo 28
- controllare che le violazioni dei dati personali siano documentate, notificate agli interessati e comunicate alle autorità di controllo
- controllare che il responsabile del trattamento effettui la valutazione d'impatto sulla protezione dei dati e richieda l'autorizzazione preventiva o la consultazione preventiva nei casi espressamente previsti
- controllare che sia dato seguito alle richieste dell'autorità di controllo e, nell'ambito delle sue competenze, cooperare con l'autorità di controllo per ogni necessità, di propria iniziativa o su richiesta di quest'ultima
- fungere da punto di contatto per l'autorità di controllo per questioni connesse al trattamento
In sostanza, il Regolamento sottolinea la figura centrale del responsabile della protezione dei dati rispetto all'effettivo rispetto dei principi di correttezza, liceità e adeguatezza del trattamento, poiché solo con una politica di efficace ed effettiva garanzia dell'interessato dal trattamento si potrà realizzare quel processo di armonizzazione al quale mira il regolamento, anche per garantire che il trasferimento dei dati agli Stati extra UE segua le medesime regole.
E, infatti, dopo la sollecitazione agli Stati Membri ad adottare codici di condotta e certificazioni (artt. 38 e 39) per garantire la corretta applicazione del Regolamento, in relazione a un trattamento equo e trasparente, alla raccolta dei dati e al rilascio di informazioni secondo criteri etici, al puntuale riscontro delle richieste dell'interessato e dell'autorità, alla tutela dei minori e all'adozione di procedure di auditing e di risoluzione stragiudiziale delle controversie, la Commissione ha incentrato l'attenzione sulle varie modalità e possibilità di trasferimento dei dati verso Paesi esterni allo spazio europeo e alle sue regole.
Trasferimento dei dati
verso un Paese terzo
In linea generale, il trasferimento di dati personali oggetto di un trattamento verso un Paese terzo o un'organizzazione internazionale è ammesso soltanto se il responsabile del trattamento e l'incaricato del trattamento accertano l'adeguatezza delle norme e procedure del Paese/ organizzazione ricevente a garantire lo stesso livello di protezione dello spazio economico europeo, se il destinatario dei dati assume l'onere di garantire il rispetto di misure di sicurezza analoghe a quelle minime previste nello spazio europeo o se le corporate rules delle aziende che effettueranno il trattamento sono state realizzate e adottate nel rispetto delle condizioni indicate nel regolamento.
In assenza della verifica di adeguatezza, è ammesso il trasferimento soltanto a condizione che:
- il trasferimento sia necessario all'esecuzione di un contratto o di operazioni precontrattuali relative ad un rapporto tra l'interessato e il responsabile del trattamento ovvero tra il responsabile del trattamento e un terzo, ma con benefici per l'interessato
- il trasferimento sia necessario per motivi di interesse pubblico rilevante o per l'esercizio di diritti in sede giudiziaria o per la salvaguardia di un interesse vitale
- l'interessato abbia espressamente acconsentito al trasferimento dopo essere stato
dell'interessato
- il trasferimento sia relativo a un pubblico registro, purché sussista il controllo di legittimità dell'interesse all'accesso e dei requisiti per la consultazione previsti dal diritto dell'Unione o dello Stato membro
- il trasferimento sia necessario per il perseguimento dei legittimi interessi del responsabile del trattamento o dell'incaricato del trattamento e il responsabile abbia offerto garanzie adeguate per la protezione dei dati personali
Alcuni limiti non sono applicabili se il trattamento è svolto da un'autorità pubblica nell'esercizio di pubblici poteri, purché l'interesse pubblico sia riconosciuto tale dall'Unione Europea o da uno Stato Membro dell'Unione.
La Commissione e le autorità di controllo, ai sensi dell'art. 45, provvederanno all'adozione di misure di cooperazione internazionale per facilitare l'applicazione del regolamento per la tutela dei dati personali e per favorire l'armonizzazione delle norme transnazionali e lo scambio dei dati con i paesi che non aderiscono all'Unione Europea ma sono disponibili ad adottare misure di sicurezza adeguate.