CHI È IL RESPONSABILE DELLA PROTEZIONE DEI DATI?
La figura del Responsabile della Protezione dei Dati Personali , sebbene fosse già conosciuta in altri paesi europei, è stata introdotta con la nuova normativa europea in materia privacy, il GDPR.
A differenza della mera formalità che contraddistingueva le nomine in materia di protezione dei dati personali nella vigenza del vecchio codice privacy, la scelta del soggetto da nominare come Responsabile della Protezione dei Dati deve avvenire nell’ottica di risultare quanto più compliant possibile rispetto alle disposizioni europee, Il GDPR al punto 5 dell’art. 37 esplicitamente, impone di scegliere il RPD in funzione delle qualità professionali:
Il responsabile della protezione dei dati è designato in funzione delle qualità professionali, in particolare della conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati, e della capacità di assolvere i compiti di cui all’articolo 39.
e guardando all’elencazione dei compiti di questo ed alle situazioni nelle quali la sua nomina è obbligatoria, non potrebbe essere diversamente.
Infatti, l’attività del RPD si sostanzia in quella di una sorta di superconsulente del titolare, in grado si assisterlo nel rispetto della normativa e nell’eventuale redazione della DPIA, di vigilare sull’operato di questo, di fornire la formazione adeguata agli incaricati, e di fungere da intermediario nei rapporti con il garante.
Si tratta quindi di un soggetto che, interno o esterno all’organizzazione aziendale, deve garantire al titolare od al responsabile un solido e reale sostegno nella gestione dei dati trattati e nella definizione di un impianto aziendale, appunto, compliant.
Risulta di conseguenza fondamentale che il Responsabile della Protezione dei Dati designato sia in possesso di una conoscenza approfondita della normativa e della prassi, delle procedure utilizzate per i trattamenti nel caso specifico e sia in possesso di strumenti adeguati che permettano l’immediato adeguamento ad eventuali evoluzioni o mutamenti sia normativi sia dei trattamenti effettuati dal titolare o responsabile che assiste.
CHI DEVE NOMINARE IL RESPONSABILE DELLA PROTEZIONE DEI DATI?
Le ipotesi che il legislatore europeo ha ritenuto particolarmente meritevoli di protezione tanto da imporre al titolare o al responsabile del trattamento la nomina del si trovano al primo punto dell art. 37 del GDPR:
Qualora il titolare od il responsabile del trattamento sia un’autorità pubblica o un organismo pubblico, eccettuate le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali.
Il GDPR non da nessuna definizione di autorità od organismo pubblico, sarà quindi necessario far riferimento alle definizioni fornite dagli ordinamenti nazionali, tuttavia è raccomandabile una interpretazione estensiva, che ricomprenda anche quegli organismi formalmente privati ma che svolgano attività di natura pubblica, come raccomandato dal gruppo di lavoro “Articolo 29”.
Questo perché, ad avviso del WP 29, la situazione dell’interessato di fronte ad un tale soggetto privato sarebbe paragonabile a quella nella quale si troverebbe di fronte ad un soggetto anche formalmente pubblico, più in particolare, la protezione offerta dalla nomina del RPD si renderebbe necessaria in quanto i margini di decisione in capo all’interessato riguardo al trattamento dei propri dati risulterebbero molto risicati, similmente a quanto accade nel caso del trattamento effettuato da una autorità pubblica.
Qualora le attività principali del titolare o responsabile consistano in trattamenti che, per loro natura, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala.
Risulta evidente che questo caso specifico possa prestarsi a molteplici interpretazioni: innanzitutto il concetto di larga scala non è ricollegabile a precisi dati quantitativi, andrà quindi valutata caso per caso, il gruppo di lavoro ha fornito alcuni parametri utili in questa valutazione:
- Il numero di soggetti interessati dal trattamento, in termini assoluti ovvero espressi in percentuale della popolazione di riferimento;
- Il volume dei dati e/o le diverse tipologie di dati oggetto di trattamento;
- La durata, ovvero la persistenza, dell’attività di trattamento;
- La portata geografica dell’attività di trattamento.
In secondo luogo, non è del tutto immediato definire quale sia una trattamento che preveda il “monitoraggio regolare e sistematico”, l’attività di profilazione ne è un esempio cristallino ma di certo non esaustivo, anche in questo caso la determinazione relativa alla nomina di un Responsabile della Protezione dei Dati dovrà prudentemente tenere conto del caso concreto, il WP29 fornisce ancora una volta delle linee guida utili, soffermandosi in particolare sul significato delle parole “regolare” e “sistematico”
L’aggettivo regolare avrebbe uno di questi significati:
- Che avviene in modo continuo ovvero a intervalli definiti per un arco di tempo definito;
- Ricorrente o ripetuto a intervalli costanti;
- Che avviene in modo costante o a intervalli periodici.
Mentre sistematico significherebbe:
- Che avviene per sistema;
- Predeterminato, organizzato o metodico;
- Che ha luogo nell’ambito di un progetto complessivo di raccolta di dati;
- Svolto nell’ambito di una strategia.
Qualora le attività principali del titolare o del responsabile consistano nel trattamento di dati particolari (art. 9 GDPR) o relativi a condanne penali e a reati (art.10 GDPR).
Se l’elencazione delle categorie di dati particolarmente meritevoli di attenzione contenute nei due articoli appena richiamati non pone particolari problemi, bisogna tenere presente che con “attività principale” si intendono anche le attività che, pur accessorie, risultino totalmente inscindibili rispetto all’attività principale, l’esempio tipico è quello dell’ospedale, la sua attività principale è l’assistenza sanitaria, che però non può prescindere dal trattamento di dati sanitari.
PERCHÉ È OPPORTUNO NOMINARE UN RPD PUR NON ESSENDOVI OBBLIGATI?
Nonostante, come detto, la norma non imponga l’onere della designazione del Responsabile della protezione dei Dati a chiunque, Il WP29 comunque raccomanda di documentare prudentemente i parametri tenuti in considerazione nel determinare la non necessarietà della nomina, indirettamente quindi incoraggia la nomina anche per i soggetti non obbligati.
Il principio di responsabilizzazione, poi, considerata anche la fumosità dei criteri forniti dalla norma, impone di esaminare con estrema attenzione tutti i trattamenti che si effettuano tanto in qualità di titolare quanto in qualità di responsabile, per valutare come e quanto questi impattino sui diritti e le libertà degli interessati.
Non è di certo scontato prendere la decisione più corretta, tanto più nel caso di un soggetto italiano, abituato alla deresponsabilizzazione attraverso adempimenti puramente formali e poco avvezzo alla prospettiva della compliance.
Se si considera inoltre che l’ordinamento Italiano qualifica il trattamento dei dati personali come attività pericolosa (Qualificazione già presente nella normativa nazionale d.lgs 196/2003 ed a più riprese ribadita dalla corte di cassazione Cass. civ., sez. I, 3 settembre 2015, n. 17547 e Cass. civ., sez. VI, 5 settembre 2014, n. 18812), sottoposta quindi al particolare onere probatorio previsto dall’art. 2050 c.c. secondo il quale, se sussiste la prova, da parte del danneggiato, dell’esistenza del danno e del nesso di causalità tra la condotta pericolosa e il danno medesimo, l’autore di tale condotta è tenuto a provare di aver adottato tutte le misure idonee ad evitare il danno, verrà altrimenti condannato al risarcimento dei danni.
La nomina di un RPD è di certo e già di per sé una delle possibili misure idonee ad evitare di provocare danni a terzi nel trattamento dei dati personali, di più, la consulenza qualificata di un RPD sarà di certo d’aiuto nell’individuazione di ulteriori sistemi utili a rendere sicuro il trattamento dei dati personali e, indirettamente, alla difesa in giudizio.
Per questo motivo l’opportunità di nominare un Responsabile della Protezione dei Dati personali va oltre allo stretto rispetto di un obbligazione, giungendo ad essere un investimento nell’ottica di limitare le possibilità di condanne a risarcimenti pecuniari.