Pubblicato il di Avv. Enrico Pelino

DPO: le linee guida in 10 punti

Ad esito della riunione plenaria del 16 dicembre 2016, il “Gruppo di lavoro ex art. 29”, ossia l’organismo consultivo che riunisce (tra l’altro) i Garanti europei, ha reso pubblico  un primo e assai atteso pacchetto di linee guida e FAQ sul cd. Regolamento Generale sulla Protezione dei Dati (“RGPD”), comunemente noto come regolamento privacy europeo.

Qui di seguito si analizzeranno in particolare le linee guida sul data protection officer o DPO, ossia il “responsabile della protezione dei dati”.

Il pacchetto non costituisce un approdo definitivo e ne è anzi prevista la revisione entro il mese di aprile 2017, che recepirà commenti e osservazioni pervenuti al 15 febbraio 2017. In ogni caso, il nucleo della riflessione appare già delineato nelle sue linee essenziali e vale la pena analizzarlo da subito.

Quanto alla “cornice” normativa, può essere utile ricordare che il Regolamento (reg. UE n. 2016/679) è già in vigore, essendo stato pubblicato nella Gazzetta Ufficiale dell’Unione Europea L 119 del 4 maggio 2016, ma sarà applicabile solo a partire dal 25 maggio 2018, come espressamente dispone l’art. 99.2.

È un atto normativo di una certa complessità, il termine di attuazione non è eccessivamente lontano, appare perciò fortemente raccomandabile avviare sin da subito processi di adeguamento e recepimento in modo da non farsi cogliere impreparati.

Le posizioni espresse dal cd. Gruppo di lavoro ex art. 29, vale la pena ricordarlo, non costituiscono interpretazioni autentiche e non sono vincolanti, tuttavia hanno primario e decisivo significato perché:

  • – provengono da una delle massime fonti istituzionali;
  • – si distinguono per autorevolezza e coerenza;
  • – per prassi consolidata, costituiscono uno dei principali formanti interpretativi.

Il ruolo del DPO e le norme che lo disciplinano

Per il nostro Paese, l’istituto del DPO costituisce indubbiamente una novità, benché in strutture particolarmente organizzate esistano già funzioni interne dedicate alla protezione dei dati personali e incaricate di vari aspetti concernenti la sicurezza dei dati, l’analisi del rischio, l’osservanza della normativa di settore.

Il Regolamento dà tuttavia una connotazione assai peculiare all’istituto e lo investe di una serie di compiti vasta e articolata, per molti versi innovativa rispetto alle esperienze oggi in essere.

In sintesi estrema, il DPO riveste una posizione che è nello stesso tempo di indipendenza e di collaborazione rispetto al titolare o al responsabile del trattamento che lo designano. Si tratta di linee tendenzialmente divergenti e di non facile composizione.

Il DPO può essere anche un consulente esterno alla struttura del preponente, posizione questa che in via tendenziale promette maggiore indipendenza.

Le disposizioni del Regolamento che disciplinano l’istituto sono principalmente gli artt. 37 – 39 e il considerando 97. Va tenuto presente anche il considerando 91, come rilevato dal Gruppo di lavoro.

Minori frammenti di disciplina si trovano negli articoli:

  • – 13.1.b) e 14.1.b) in materia di informativa all’interessato;
  • – 30.1.a) e 30.2.a) sui registri delle attività di trattamento;
  • – 33.3.b) e 34.2 in tema di violazione dei dati (data breach);
  • – 35.2 e considerando 77 sulla valutazione di impatto;
  • – 36.3.d) sulla consultazione preventiva;
  • – 47.1.h) a proposito di binding corporate rule (norme vincolanti d’impresa);
  • – 57.3 relativo ai compiti del Garante.

Quando è obbligatorio designare il DPO

Prima di entrare nel merito delle linee guida, giova ricordare in quali casi la designazione del DPO è obbligatoria (art. 37.1 e considerando 97). Occorre innanzitutto distinguere fra trattamenti svolti da soggetti pubblici e privati.

I soggetti pubblici, infatti, sono sempre tenuti alla designazione del DPO, con l’eccezione delle autorità giurisdizionali nell’esercizio delle loro funzioni.

Per i soggetti privati l’obbligo vale invece solo in casi particolari, quando cioè le attività principali («core activities») da essi svolte:

  • – richiedono monitoraggio regolare e sistematico degli interessati su larga scala; e/o
  • – consistono nel trattamento su larga scala di dati sensibili o giudiziari.

Alcune sintetiche osservazioni:

a) è irrilevante che il soggetto che designa il DPO sia titolare o responsabile del trattamento. Ci si può domandare tuttavia se l’obbligazione del titolare alla designazione si estenda oppure no  ipso facto anche al responsabile di trattamento;

b) ai sensi del considerando 97 «le attività principali [«core activities», n.d.a.] del titolare del trattamento riguardano le sue attività primarie ed esulano dal trattamento dei dati personali come attività accessoria». La formulazione non spicca per nitidezza espressiva e richiede precisazioni;

c) le due qualificazioni «regolare» e «sistematico» valgono solo per il monitoraggio, non per il trattamento di dati sensibili o giudiziari, che potrà perciò non avere né regolarità né sistematicità. Non è precisato tuttavia quale significato concreto dare ai due termini;

d) l’espressione «su larga scala» è decisiva ai fini dell’obbligo di nomina del DPO, tuttavia come determinarla in concreto costituisce questione aperta.

Orbene, le linee guida (di seguito anche “LG”) affrontano tutti questi punti e ne esaminano di ulteriori. Qui di seguito una sintesi in dieci punti.

1) Documentare la scelta di designare/non designare il DPO (§ 2.1 LG)

La soggezione all’obbligo di designare il DPO non è sempre auto-evidente ma può richiedere un’analisi preliminare. I Garanti europei sottolineano l’importanza di documentare tale analisi. La correttezza degli esiti dipende ovviamente dalla completezza dei fattori considerati e dalla loro ponderazione, passaggi di cui sarà necessario dare atto.

Questa documentazione riguarda naturalmente il settore privato. Tuttavia, ad avviso di chi scrive, non può escludersi l’opportunità di provvedervi anche in ambito pubblico, in relazione alla scelta di un’amministrazione di dotarsi di un DPO proprio oppure in condivisione con altre, come consentito dall’art. 37.3.

La scelta deve conformarsi con criteri organizzativi più ampi e non può prescindere da considerazioni economiche, che non possono tuttavia snaturare la fondamentale funzione di garanzia dell’istituto.

2) Casi di designazione fortemente suggerita, ancorché facoltativa (§ 2.1.1 LG)

I Garanti europei ritengono che anche gli enti, organismi, persone giuridiche e fisiche non qualificabili come soggetti pubblici secondo la legislazione nazionale dovrebbero comunque procedere a designare un DPO se svolgono un pubblico servizio o attività cui gli interessati non possono in linea generale sottrarsi.

La designazione in questi casi costituisce una prassi raccomandata, pur non rispondendo a stretto rigore ad alcun obbligo normativo.

L’invito riguarda espressamente gli organismi di disciplina degli ordini professionali (osservata beninteso, ove applicabile, la clausola di esonero di cui all’art. 37.1.a) e al considerando 97), i fornitori del servizio radio-televisivo pubblico, di servizi di trasporto pubblico, di somministrazione di acqua o energia (o gas), ecc.

La ratio è che in siffatte situazioni gli interessati non hanno la possibilità di decidere se e come i loro dati personali saranno trattati, analogamente a quanto avviene rispetto a soggetti pubblici propriamente detti, o la hanno in misura ridottissima.

Ciò giustifica il surplus di tutela garantito dalla designazione di un DPO.

3) «Attività principali» o «core activities» (§ 2.1.2 LG)

Il Gruppo di lavoro, confermando posizioni già emerse nei primi lavori di commento, conferma che le «core activities» non vanno intese soltanto come le attività tipiche (o «primarie») del titolare o del responsabile.

Esse includono altresì tutto ciò che con le attività primarie si trova «inestricabilmente connesso».

Per chiarire meglio il punto: attività tipica o primaria di una struttura sanitaria privata non è quella di trattare i dati sensibili dei pazienti, ma di fornire prestazioni sanitarie. Tuttavia, è evidente che questa attività presuppone necessariamente il trattamento dei dati sanitari dei pazienti, diversamente non potrebbe essere svolta.

Dunque, il trattamento dei dati sensibili costituisce qui core activity e concorre a determinare l’obbligo di designare il DPO.

Altro esempio è quello della fornitura di servizi di videosorveglianza: senza trattamento dei dati personali (nella specie immagini ed eventualmente audio, trasmessi e/o registrati dalle videocamere), l’attività tipica non può essere prestata.

Non sfugge all’interprete che l’espressione «inextricable part» scelta dal Gruppo di lavoro richiama immediatamente analoga terminologia utilizzata dalla Corte di Giustizia UE a proposito dell’applicazione territoriale della (tuttora vigente) direttiva 95/46/CE, cfr. CGUE, Google Spain, C-131/12, § 56 («inextricably linked»).

Secondo l’impostazione dei Garanti, non è invece considerata core activity ma mera «attività ancillare» quella relativa al pagamento dei dipendenti o quella di gestione ordinaria delle risorse informatiche. Come tale, essa è irrilevante ai fini della designazione del DPO.

L’esempio scelto non è dei più felici, poiché l’ordinaria gestione IT non rientrerebbe (nella casistica obbligatoria degli artt. 37.1.b) e 37.1.c). Ad ogni modo, il sottostante nucleo concettuale può dirsi chiaro.

4) Monitoraggio «regolare e sistematico» (§ 2.1.4 LG)

Ad avviso dei Garanti europei, “regolarità” non implica necessariamente “continuità”. È perciò regolare anche un monitoraggio periodico, dunque discontinuo. Ciò che rileva è che sia ripetuto nel tempo (meglio se a determinati intervalli).

«Sistematico» non va inteso in senso temporale (accezione peraltro inesistente in inglese), cosa che lo renderebbe una duplicazione di «regolare», ma in quella logica di: conforme a un sistema, a un piano, predefinito, metodico.

In definitiva, non casuale né estemporaneo.

Sono esempi di monitoraggio regolare e sistematico la fornitura di servizi di telefonia, la geolocalizzazione (si pensi a un’applicazione per cellulare), i programmi fedeltà, la raccolta di dati sanitari attraverso apparecchi di wellness indossabili, in generale l’Internet of Things, la videosorveglianza. In tutti questi casi, se sussiste il requisito della «larga scala» è necessaria la designazione del DPO.

5) «Su larga scala» (§ 2.1.3 LG)

È uno dei nodi più complessi. Sussiste un problema di quantificazione precisa, che a chi scrive appare ineludibile per ragioni di certezza del diritto. Basti osservare che la mancata designazione del DPO è sanzionabile ai sensi dell’art. 83.4.

I Garanti europei ammettono l’esistenza di un’«area grigia», nella quale è incerto se possa parlarsi di attività su larga scala. Forniscono tuttavia alcuni spunti operativi utili quantomeno a limitarla.

Innanzitutto non può parlarsi di larga scala nel caso di attività svolta da un professionista individuale. Il principio può essere desunto in via generale dal richiamo che i Garanti europei fanno al considerando 91.

In altro paragrafo delle linee guida (§ 2.2) il Gruppo di lavoro mostra di considerare collocata in questa zona franca anche la «piccola impresa familiare». Si tratta per la verità di un cenno quasi incidentale, ma vista la scarsità di elementi disponibili si è tentati di farne tesoro.

Più controverso il caso della «media impresa», la cui attività di trattamento potrebbe essere su larga scala a seconda del caso di specie. Lo si desume sempre da un esempio riportato al § 2.2 delle linee guida.

Vale ora la pena notare che la nozione di PMI è precisata a livello europeo in base a parametri oggettivi indicati nella raccomandazione n. 2003/361/CE, cui l’interprete è naturalmente portato a fare riferimento. Sinteticamente:

  • – è media impresa quella con meno di 250 dipendenti e fatturato totale annuo uguale o inferiore a 50 milioni di euro oppure un totale di bilancio annuo pari o inferiore a 43 milioni di euro;
  • – è piccola impresa quella con meno di 50 dipendenti e fatturato totale annuo uguale o inferiore a 10 milioni di euro oppure un totale di bilancio annuo pari o inferiore a 10 milioni di euro;
  • – è microimpresa quella con meno di 10 dipendenti e fatturato totale annuo uguale o inferiore a 2 milioni di euro oppure un totale di bilancio annuo pari o inferiore a 2 milioni di euro.

Il concetto di impresa familiare (a prescindere dalle dimensioni) riposa invece, a livello europeo, su una definizione, di ampio e costante seguito, messa a punto a partire dal rapporto finale 2009 dell’Expert Group on Family Business, cui si rimanda per approfondimenti.

Il collegamento del Regolamento con questi parametri dimensionali ben consolidati in ambito societario è certamente suggestivo, in quanto potrebbe aiutare a restringere i margini dell’«area grigia», tuttavia non trova supporto esplicito nelle linee guida.

Queste anzi indicano criteri del tutto diversi, esclusivamente basati sul volume del trattamento anziché sulle dimensioni della struttura che vi procede. Si tratta dei seguenti:

  • – numero degli interessati coinvolti dal trattamento (o percentuale della popolazione di riferimento);
  • – volume dei dati personali trattati e/o loro ampiezza tipologica;
  • – durata del trattamento;
  • – contesto geografico di quest’ultimo.

Tra gli esempi forniti di trattamento su larga scala figurano quelli di un ospedale (privato), di un’assicurazione o una banca, di un servizio di trasporto pubblico su abbonamento, di fornitori di telefonia o di servizi Internet.

Ci si potrebbe domandare se una grande farmacia, un’associazione tra professionisti o uno studio medico particolarmente strutturati possano rientrare o no, a seconda dei casi, nel concetto del trattamento su larga scala.

6) Esclusione di automatismi nella designazione del DPO (§ 2.2 LG)

L’obbligo di designazione del DPO da parte del titolare del trattamento non si estende automaticamente al responsabile di trattamento, ma occorre autonomamente valutare se questi si trovi oppure no nelle condizioni che lo fanno sorgere.

Vale anche il reciproco: l’obbligo di designazione del DPO da parte del responsabile non comporta automaticamente identico obbligo in capo al titolare.

7) DPO svolto da una struttura pluripersonale (§ 2.4 LG)

Il DPO va considerato come una funzione, pertanto potrà ben essere svolta da una struttura pluripersonale (DPO team) anziché necessariamente da una singola persona fisica. Il punto appare del tutto pacifico nell’analisi del Gruppo di lavoro.

Naturalmente, si richiede una precisa allocazione dei ruoli all’interno dell’organizzazione pluripersonale e l’individuazione di un referente per ciascun cliente (nell’ipotesi del DPO esterno).

8) Coinvolgimento nella struttura del titolare o del responsabile di trattamento (§ 3.1 LG)

I Garanti europei ribadiscono, ancorché il nucleo concettuale apparisse già chiaro alla luce degli artt. 38.1, 38.4, 39 e inoltre 33.3.b) e 34.2, che il DPO:

  • – va coinvolto fin dall’inizio in ogni attività che comporti trattamento di dati personali (dunque in pressoché tutte);
  • – va invitato a partecipare regolarmente alle riunioni con ruoli manageriali di medio e alto livello;
  • – va consultato tempestivamente nel caso di incidenti che determinino violazione dei dati (data breach).

Fondamentale rilievo assume anche la documentazione connessa con il coinvolgimento del DPO nell’organizzazione assistita.

Giova per esempio notare che dovrebbe essere documentata ogni scelta divergente dall’opinione del DPO (il che implica un’assunzione di responsabilità) e garantito a quest’ultimo di formulare chiaramente la propria posizione (cfr. § 3.3).

Il Gruppo di lavoro ribadisce, in particolare, l’obbligo di documentare l’eventuale posizione dissenziente rispetto a quella del DPO in materia di valutazione di impatto (DPIA, data protection impact assessment), cfr. § 4.2.

Nella pratica è prevedibile che queste raccomandazioni del Gruppo di lavoro, che importano precise allocazioni di responsabilità, rischieranno di essere disattese tutte le volte in cui collideranno con reali rapporti di forza e ossificate dinamiche aziendali o di ufficio (soprattutto nel caso di DPO interno).

Va notato da ultimo, sempre in materia di documentazione, che la tenuta dei registri del trattamento, in osservanza degli artt. 30.1 e 30.2, non compete al DPO ma al titolare e al responsabile del trattamento, inclusi (ove richiesto) i rispettivi rappresentanti. Ciò non esclude nella pratica che tale adempimento sia tuttavia affidato sul piano operativo al DPO, senza ovviamente che ciò valga come elisione di responsabilità per i soggetti cui compete normativamente.

In tali casi il DPO dovrà allora procedere concretamente alla documentazione. Si tratta di un passaggio particolarmente rilevante perché ai registri può avere accesso, fra l’altro, l’Autorità garante.

9) Dotazione di risorse (§ 3.2 LG)

La dotazione di risorse al DPO, precisano i Garanti europei, contempla:

  • – la disponibilità di strumenti (finanziari, umani, fisici e operativi, formativi e conoscitivi);
  • – l’accesso e la relazione con altri comparti (risorse umane, IT, legale, management, ecc.);
  • – l’accesso a informazioni;
  • – la disponibilità di tempo adeguato ai compiti richiesti.

Sotto quest’ultimo profilo, giova segnalare che potrebbero sorgere tensioni con la necessità del coinvolgimento totale del DPO nell’organizzazione del titolare e/o del responsabile del trattamento.

I Garanti europei precisano peraltro che il DPO dovrebbe operare secondo una precisa scala di priorità e con approccio pragmatico (§ 4.3 LG). In definitiva, appare lecito desumere, le questioni di minore importanza potranno essere posposte o comunque non trattate granularmente.

Si noti che non viene qui in considerazione una semplice strategia di metodo, ma si tocca un aspetto strettamente funzionale al corretto assolvimento dell’attività del DPO: la copertura omnia di qualsivoglia questione distrae da quelle principali.

La selezione delle priorità presenta peraltro aspetti insidiosi, dal momento che può non essere agevole determinare da subito quali temi avranno reale prevalenza su altri. Anche per questa ragione, è essenziale il coordinamento con i vari settori dell’organizzazione del titolare o del responsabile di trattamento e l’accesso a tutte le informazioni rilevanti.

10) Ruolo essenziale nella valutazione d’impatto (DPIA) (§ 4.3 LG)

Il parere del DPO deve riguardare i seguenti profili:

  • – innanzitutto, se procedere o no alla DPIA;
  • – quale metodologia seguire;
  • – se svolgere la DPIA all’interno o se esternalizzarla;
  • – quali misure di sicurezza porre in essere per ridurre i rischi per gli interessati di trattamento.

Inoltre il DPO deve effettuare una valutazione finale sulla correttezza della DPIA svolta e sulla sua coerenza con il Regolamento.

I Garanti europei non specificano se questa valutazione debba essere dinamica, ossia riveduta nel tempo seguendo gli sviluppi che di volta in volta si presentano, tuttavia questa appare certamente la lettura più coerente.

È palese che lo svolgimento delle attività sopra indicate richiede un alto profilo tecnico, un’adeguata formazione e una marcata specializzazione. Orbene, ad avviso di chi scrive, queste considerazioni, unitamente al principio di indipendenza del DPO, fanno apparire inadeguato e concettualmente disallineato rispetto alla reale portata dell’istituto in esame il disposto dell’art. 38.6, che consente una gestione per così dire “part-time” e “mista” del ruolo di DPO.

In conclusione

Le linee guida rappresentano un discreto avanzamento nella precisazione dell’istituto in commento. Chiariscono in effetti, e talvolta correggono, una serie di passaggi normativi e forniscono indicazioni pratico-operative, ancorché spesso solo con un taglio molto generale.

Restano comunque aperte questioni chiave: prima fra tutte quella di una efficace perimetrazione della nozione di monitoraggio o trattamento su larga scala. Anche il chiarimento sulle core activity, senz’altro pregevole, potrebbe essere tuttavia ulteriormente affinato.

Può notarsi, in via conclusiva, che restano comunque fuori dal raggio delle linee guida argomenti tutt’altro che secondari. Due tra tutti: il coordinamento tra più DPO (es. DPO del titolare e quello del responsabile di trattamento); il passaggio di consegne tra un DPO e un altro, tema estremamente delicato, che non dovrebbe essere lasciato alla prassi applicativa.

Avv. Enrico Pelino

(Il presente articolo può essere utilizzato e liberamente pubblicato o riprodotto, per intero o per estratto, purché si citi: autore (avv. Enrico Pelino), titolo (DPO: le linee guida in 10 punti), data (14.3.2017), sito (www.griecopelino.com) oppure link esatto all’articolo nel sito)