Sono passati solo pochi giorni dall’entrata in vigore del nuovo GDPR e, come era facile immaginare, non c’è chiarezza su molti aspetti della sua applicazione. Tra molte cose, si chiede quali siano esattamente le responsabilità del DPO ( Data Protection Officer), la figura non presente nelle precedenti normative e non coincidente con il Titolare del Trattamento Dati, che deve agire in maniera indipendente e senza vincoli di subordinazione. Tenuto presente che la nomina del DPO deve essere effettuata con atto scritto (consigliamo che sia estremamente dettagliato), è evidente la sua responsabilità di natura contrattuale nei confronti dell’impresa, del privato o della Pubblica Amministrazione che lo abbia nominato. 

La nuova disciplina sul GDPR lascia inalterato l’attuale quadro sanzionatorio in ordine ai reati di accesso abusivo ad un sistema informatico o telematico (art. 615 ter CP) o la detenzione e diffusione abusiva di codici di accesso a sistemi informatici o telematici (art. 615 quater CP), nonché i reati previsti dal c.d. Codice della Privacy (in particolare gli artt. 167, 168, 169 e 170 del D.lgs. 30 giugno 2003, n. 196). Non sembrerebbe quindi che queste norme vadano ad incidere sulla nuova disciplina, salvo nei casi in cui, in mala fede e in violazione dei propri doveri, il DPO si appropri dei dati di cui viene in possesso per utilizzi illeciti ma, come vedremo, potrebbe non essere così.

La nuova figura del DPO ha, tra gli altri, i seguenti compiti: 

È intuitivo come la qualifica di DPO difficilmente possa essere attribuita ad un membro interno di un ente o società, essendo anche previsto un vincolo di indipendenza e l’assenza di conflitti. Emerge inoltre chiaramente come il DPO debba disporre di competenze a più livelli e multidisciplinari, tenendo adeguatamente conto delle specifiche problematiche non solo pratiche, ma anche quelle eventuali e le criticità improvvise cui, quale front officer della privacy, dovrà far fronte. Inoltre nel caso delle pubbliche amministrazioni, avrà bisogno di una conoscenza approfondita delle norme e procedure amministrative applicabili. E’ inoltre indispensabile la conoscenza dello specifico settore di attività e della struttura dell’azienda /organizzazione in cui opera; inoltre, dovrà avere buona familiarità con le operazioni di trattamento svolte, nonché con i sistemi informativi e le esigenze di sicurezza e protezione dati manifestate dall’azienda.

 

Attualmente, come precisato dal Garante Privacy, la qualifica prescinde da attestati formali o iscrizione ad albi professionali, ma dovrà essere effettuata dalle aziende e dagli enti valutando autonomamente il possesso dei requisiti necessari per i compiti assegnati. La normativa, infatti, non prevede al momento l’istituzione di un albo dei “Responsabili della protezione dei dati” che possa attestare i requisiti e le caratteristiche di conoscenza, abilità e competenza di chi vi è iscritto. Eventuali certificazioni “rilasciate anche all’esito della partecipazione ad attività formative e al controllo dell’adempimento” pur “rappresentando, al pari di altri titoli, un valido strumento ai fini della verifica del possesso di un livello minimo di conoscenza della disciplina, tuttavia non equivalgono, di per sé, a una “abilitazione” allo svolgimento del ruolo del DPO né, allo stato, sono idonee a sostituire il giudizio rimesso alle PP.AA. nella valutazione dei requisiti necessari al DPO per svolgere i compiti previsti dall’art. 39 del GDPR.

 

Il DPO deve riferire direttamente al vertice in modo che quest’ultimo possa essere immediatamente a conoscenza delle indicazioni e delle raccomandazioni dal primo fornite nell’esercizio delle sue funzioni; dovrà inoltre disporre di risorse (finanziarie, umane e infrastrutturali) adeguate per assolvere tali compiti e si ritiene  sia suo dovere mantenere e aggiornare la propria conoscenza specialistica

 

Sembrerebbe che in capo al DPO non incombano obblighi penalmente rilevanti di vigilanza e sui controlli e non ha certo gli stessi obblighi di garanzia che incombono in capo al Titolare/Responsabile del trattamento, al dirigente e al preposto, nell’ambito delle loro rispettive attribuzioni. Tuttavia si ritiene abbia precisi doveri e oneri di attivazione e impulso anche rispetto al Titolare/Responsabile del trattamento che si riveli inerte, violando il disposto di cui all’art. 38 GDPR.

 

Inoltre, poiché ai sensi dell’art. 39, comma 1, lettera b) del GDPR, il DPO è incaricato di attribuire le responsabilità, sensibilizzare e formare il personale che partecipa ai trattamenti (dei dati) e alle connesse attività di controllo, come prima accennato, è suo compito anche stabilire, di concerto con il Titolare/Responsabile del trattamento, chi e in quale misura risponderà del buon andamento delle procedure interne di gestione dei dati. Saranno così i responsabili individuati ad avere il compito di “impedire il verificarsi dell’evento” dannoso o pericoloso, anche in ordine alle responsabilità penali, da cui potranno esimersi soltanto qualora dimostrino di aver correttamente adempiuto ai propri doveri e di aver fatto tutto quanto in loro potere per impedire il verificarsi dell’evento dannoso o pericoloso, quantomeno a titolo di colpa. Peraltro, oltre alle responsabilità civili, con ogni conseguenza economica e di risarcimento danni, si deve porre in evidenza che un profilo di responsabilità penale in capo al DPO permane nel caso in cui sia proprio la condotta del DPO a determinare l’evento dannoso in caso di violazione dei doveri imposti dal GDPR quale, ad esempio l'aver indotto il Titolare del trattamento ad omettere l’adozione di una doverosa misura organizzativa o di prevenzione.

Infine, ai sensi dell’art. 39, comma 1, lettere d) ed e) del GDPR, si ritiene sussistere in capo al DPO anche una responsabilità per quanto concerne la correttezza delle comunicazioni e notificazioni effettuate al Garante (Art. 168 D.lgs. 30 giugno 2003, n. 196), salvo dimostrare un affidamento incolpevolmente sulle informazioni ricevute dai vertici aziendali.