L’art. 37 del Regolamento UE 679/2016 (GDPR) prevede la nomina obbligatoria di un Data Protection Officer (DPO) in tre casi:
- quando il trattamento dei dati è effettuato da un’autorità pubblica o da un organismo pubblico;
- quando le attività principali consistono in trattamenti di dati che, per loro natura, ambito, applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala;
- quando le attività principali consistono nel trattamento su larga scala di dati sensibili, genetici, giudiziari o biometrici.
La figura del DPO, novità introdotta dal GDPR, ha acceso moltissimi dibattiti in merito alle caratteristiche che dovrà avere questo “specialista” che, secondo l’art. 37, comma 5 del GDPR, dovrà essere individuato “in funzione delle qualità professionali, in particolare della conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati, delle capacità di assolvere ai compiti di cui all’articolo 39″.
Secondo le linee guida del Garante Privacy , così come integrate in un recente intervento del 15 settembre 2017, per ricoprire il ruolo di DPO non sono richieste attestazioni formali in merito al possesso delle dovute conoscenze in tema di privacy né occorre l’iscrizione in appositi albi.
Il DPO dovrà, comunque, avere ampia ed approfondita conoscenza della materia, dovrà possedere integrità ed alti standard deontologici, dovrà godere di totale indipendenza e avere a disposizione risorse sufficienti per poter svolgere i propri compiti.
Dalle caratteristiche sopra tratteggiate appare, quindi, probabile che, per la nomina del DPO, molte aziende si rivolgeranno a giuristi o comunque a soggetti con un forte background giuridico, considerato che i compiti assegnati dall’art. 39 al DPO implicano un’attenta e corretta analisi della norme del GDPR.
Tra le funzioni assegnate al DPO ricordo, ad esempio, il compito di fornire consulenza generale al titolare del trattamento; di sorvegliare l’osservanza del Regolamento; di fornire pareri in merito alla valutazione di impatto sulla protezione dei dati; di considerare debitamente i rischi inerenti al trattamento in ogni sua fase, etc..
Se molti sono stati gli interventi finalizzati ad individuare quale sia la figura ideale per rivestire questa funzione, dentro o fuori l’azienda, non altrettanto, mi pare, ci si è soffermati a valutare i profili di responsabilità che incombono sul DPO.
E’ pur vero, infatti, che il DPO non risponde direttamente e personalmente per il caso di inosservanza dell’azienda alle prescrizioni del GDPR (l’art. 24, infatti, prevede che gli unici responsabili siano il titolare del trattamento o, al più, il responsabile del trattamento), ma è altrettanto innegabile che il DPO è legato all’impresa in forza di un contratto nel quale verosimilmente si farà riferimento a determinati – elevati – standard di diligenza nell’esecuzione dell’incarico.
Se, pertanto, al titolare del trattamento verrà contestata la violazione di una o più norme del GDPR su temi in relazione ai quali era stato, in ipotesi, acquisito il parere del DPO che, mal valutando una norma del Regolamento o un processo aziendale, ha commesso un errore o è incorso in una svista, facilmente , dopo aver pagato la sanzione e/o riparato il danno, agirà in rivalsa verso il proprio DPO deducendo la colpa di quest’ultimo per cercare di ottenere il rimborso dei costi sostenuti.
La questione, come si può intuire, non è di poco conto perché, se pensiamo, ad esempio, a quale ammontare di danni può giungere un’ipotesi di data breach, ci rendiamo facilmente conto di come l’errore del DPO possa avere conseguenza potenzialmente catastrofiche per un’impresa.
Se così è, appare ineludibile che i soggetti che si apprestano ad assumere la funzione di DPO siano, non solo adeguatamente preparati e formati, ma anche sufficientemente tutelati nell’eventualità di errore professionale.
Ma, in presenza di uno scenario risarcitorio e/o sanzionatorio potenzialmente enorme, a quale prezzo le Compagnie assicurative saranno disposte ad offrire massimali adeguati? Con quali franchigie ed esclusioni?
Saranno, forse, le Compagnie stesse a richiedere quelle certificazioni e/o attestati – che il Garante Privacy non ritiene necessarie per assumere l’incarico di DPO – come prova delle reali competenze del professionista e, quindi, per acconsentire ad una riduzione del premio o all’aumento dei massimali e/o delle garanzie?
Sarà, in ogni caso, importante monitorare le dinamiche tra il titolare del trattamento, il DPO e la Compagnia assicurativa di quest’ultimo, soprattutto in caso di nomina di un professionista esterno all’azienda con una sua propria copertura assicurativa.
In questi casi, infatti, è immaginabile che l’impresa sarà facilmente tentata di addossare la colpa sul DPO per cercare di ridurre, in tutto o in parte, gli effetti economici negativi delle violazioni del GDPR ottenendo il rimborso tramite l’attivazione della polizza del professionista.
In situazioni di questo tipo, giocherà un ruolo cruciale anche l’aspetto probatorio: il DPO dovrà aver cura di conservare attentamente tutta la documentazione necessaria a dimostrare la propria diligenza e perizia in ogni singola occasione di intervento.
Si tratta, a mio avviso, di un profilo molto delicato, soprattutto in questa prima fase di attuazione del GDPR, nella quale mancano ancora solidi punti di riferimento e prassi consolidate.
Cosa ne pensate?
Lasciate i vostri commenti nel form qui di seguito!