1.Introduzione

Con l’introduzione del Regolamento europeo sulla protezione dati personali n. 679/2016/UE (in seguito “Regolamento” o “GDPR”) è stata abrogata la Direttiva 95/46/CE, che per più di venti anni ha rappresentato la pietra angolare della normativa europea in materia di protezione dei dati personali[1]. In questo senso, la protezione dei dati personali si è affermata quale elemento indispensabile ed irrinunciabile per la protezione delle libertà fondamentali; dal punto di vista nazionale, ciò si è tradotto nella necessità di adeguare l’impianto normativo italiano al nuovo approccio adottato dal legislatore dell’Unione, imperniato sul principio di accountability, privacy by design e by default, nonché di uniforme applicazione in tutti gli Stati membri[2].

A distanza di un anno esatto dalla piena entrata in vigore del GDPR, i risvolti nel contesto nazionale italiano sono stati significativi: già a Settembre 2018, a distanza di soli 4 mesi, dall’entrata in vigore del nuovo regolamento, i reclami e le segnalazioni pervenuti al Garante Privacy sono stati 2.547, a fronte dei 1.795 pervenuti nello stesso periodo dello scorso anno, mentre le segnalazioni di data breach sono state 305.

Confrontando queste prime stime con i dati ricavabili dalla relazione del Garante privacy dello scorso marzo 2019, emergono cifre significativamente superiori. In particolare, i reclami presentati nel corso dell’anno all’Autorità sono stati 7219, mentre le notifiche di violazione dei dati (data breach) risultano 946, di cui 641 solo negli ultimi 6 mesi.

In ragione del mutamento paradigmatico generato dal Regolamento, verranno qui di seguito sintetizzate le principali novità normative e i principali fattori critici per favorire la GDPR compliance, analizzando, in particolare, la figura del Data Protection Officer.

2.Il percorso di riforma dal 2016 ad oggi

Dal punto di vista normativo, il regime introdotto dal Regolamento ha richiesto un intervento del legislatore italiano per garantire un quadro normativo più chiaro e coerente, attraverso l’abrogazione o la modifica delle disposizioni del d.lgs. n. 196/2003, non più compatibili con il GDPR, nonché mediante l’introduzione di nuove disposizioni.

L’iter di riforma, nel suo complesso, è stato alquanto diluito:

  • con l’articolo 13 della legge n. 163/2017 è stata conferita delega al Governo per l’adeguamento della normativa nazionale alle disposizioni del GDPR;
  • il 24 maggio 2018, all’indomani della piena applicazione del Regolamento, è stato invece pubblicato un altro decreto del 18 maggio 2018, n. 51, emanato in attuazione della direttiva 2016/680/UE del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativa alla protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, nonché alla libera circolazione di tali dati e che abrogava la decisione quadro 2008/977/GAI del Consiglio;
  • soltanto lo scorso 4 settembre 2018 è stato pubblicato nella Gazzetta Ufficiale n. 205 il lgs. n. 101 del 10 agosto 2018 (d’ora in avanti “Decreto”), contenente le disposizioni per “l’adeguamento della normativa nazionale alle disposizioni del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE”.

 

Tale Decreto, che si compone di 27 articoli, è entrato in vigore il 19 settembre 2018, quantunque sottoposto a successive modifiche e rettifiche. Il Decreto è suddiviso in sei Capi incidenti sul corpo normativo del precedente Codice della Privacy.

In particolare:

-il Capo I, composto da un solo articolo, reca modifiche al titolo e alle premesse del Codice Privacy;

-il Capo II con il suo unico articolo apporta modifiche alla Parte I del Codice (Disposizioni generali);

-il Capo III, che contiene gli articoli 3 a 12, incide invece sulla Parte II;

-il Capo IV – meno corposo del Capo precedente, essendo composto soltanto da 4 articoli -, modifica la Parte III del previgente Codice;

il Capo V modifica, con il suo unico articolo, il decreto legislativo del 1° settembre 2011, n.  150 (Disposizioni complementari al codice di procedura civile in materia di riduzione e semplificazione dei procedimenti civili di cognizione, ai sensi dell’art. 54 della legge 18 giugno 2009, n. 69);

il Capo VI, infine, contiene dieci disposizioni transitorie e finali.

  1. Le principali novità introdotte: il Data Protection Officer

Tra le principali novità introdotte dal Regolamento, la codificazione della figura del Data Protection Officer (in seguito “DPO”) ha acquisito un’indiscussa centralità e dirompenza, tanto a livello statuale, quanto a livello europeo:

  • Dalla Relazione annuale dell’Autorità, infatti, si evince che nel panorama nazionale italiano le comunicazioni dei dati di contatto dei responsabili della protezione dei dati siano state più di 48mila.
  • A livello europeo, invece, le stime sarebbero di gran lunga superiori: secondo uno studio condotto dall’IAPP (International Association of Privacy Professionals), il numero delle nomine a livello europeo supererebbe le soglie delle 500 mila unità[3].

 In effetti, il DPO rappresenta una figura posta a presidio della promozione della cultura e tutela della protezione dati, stimolando l’accountability dei titolari del trattamento, così da favorire il conseguimento della compliance.  Al contempo, tuttavia, l’apparato normativo predisposto dalle previsioni di cui agli articoli 37 – 39 ha sollevato molteplici criticità interpretative ed applicative, in ragione della vaghezza applicativa e dell’incertezza interpretativa, richiedendo l’intervento operativo – attraverso Guidelines – del Working Party 29[4] (ora European Data Protection Board)[5] e del Garante privacy nazionale[6].

Nonostante i molteplici interventi chiarificatori, molteplici incertezze sono permaste sul ruolo del Data Protection Officer. Verranno di seguito evidenziati i 5 errori più comuni da non commettere per conformarsi alla GDPR compliance.  

 4.Il ruolo del Data Protection Officer: 5 errori da non commettere

1) GDPR ≠ DPO. Quantunque l’attenzione sulla figura del DPO sia stata assorbente, il GDPR non si esaurisce nella figura del DPO. L’oggetto del Regolamento – come indicato dall’articolo 1 – si incentra sulla realizzazione di un nuovo regime normativo, posto a protezione delle persone fisiche con riguardo al trattamento e alla circolazione dei dati personali. In altre parole, il Regolamento inaugura un nuovo approccio per garantire la massimizzazione della protezione dei dati personali, attraverso un percorso di responsabilizzazione (accountability) dei soggetti coinvolti nel trattamento (art. 24): le attività di trattamento, di converso, devono essere gestite secondo precise modalità operative (art. 30) ed ispirate sin dalla progettazione e implementazione alla massima protezione dei dati, prevedendo, fin da subito, gli strumenti e le corrette impostazioni a tutela (art. 25), valutando opportunamente i rischi (art. 35).

2) DPO ≠ ADEMPIMENTO

Il DPO non è un mero adempimento, bensì un elemento – chiave all’interno del nuovo sistema di governance dei dati. Pertanto la sua designazione e la comunicazione dei relativi dati di contatto non vanno considerati alla stregua di un mero adempimento cartolare, spesso considerato unicamente nell’ottica dominante dell’economicità e del risparmio, né tanto meno esauriscono il ruolo e le funzioni del DPO. Al contrario, il DPO è una funzione lungo latente, che permane nel tempo indipendentemente dal soggetto chiamato a svolgere tale funzione.

3) Il DPO non gode di immunità assoluta. Quantunque l’art. 24, par. 1, del GDPR sancisca l’onere di garantire ed essere in grado di dimostrare che le operazioni di trattamento sono conformi alle disposizioni del regolamento stesso in capo al titolare o al responsabile del trattamento, ciò non implica alcun regime di immunità per il DPO. Questi, in particolare, risponde dell’inadempimento nei limiti del contratto/rapporto con il titolare o il responsabile.

4) Il DPO non richiede, tra i requisiti, il necessario possesso di certificazioni. L’articolo 37 del GDPR non fornisce un elenco analitico delle qualità professionali che dovrebbero essere considerate al momento della designazione del DPO. Pertanto, come affermato nella pronuncia del TAR Friuli Venezia Giulia, sent. 13/9/2018 n. 287 (nonché Cons. Stato Sez. III, Sent., 21-01-2019, n. 518), la certificazione di Auditor/Lead Auditor ISO/IEC/27001 non costituisce un titolo abilitante ai fini dell’assunzione e dello svolgimento delle funzioni di responsabile della sicurezza dei dati.

5) Il DPO non sostituisce il Titolare del trattamento. La funzione e il ruolo del DPO è nettamente distinta da quelle del Titolare del trattamento. Infatti, mentre spetta al Titolare la determinazione delle modalità e finalità del trattamento, oltre che all’ottemperanza degli adempimenti (come, ad esempio, il registro dei trattamenti), il DPO assolve, ai sensi dell’articolo 39 GDPR, una funzione controllo e monitoraggio degli adempimenti e del rispetto delle prescrizioni previste dal Regolamento, ad esempio per l’esecuzione della valutazione d’impatto, la definizione del registro dei trattamenti, o la gestione delle terze parti. In ogni caso, il controllo del rispetto della normativa non significa che il DPO sia personalmente responsabile in caso di non conformità.

[1]E. L. Guastalla, Il nuovo regolamento europeo sul trattamento dei dati personali: i principi ispiratori, in Contratto e Impr., 2018, 1, 106.

[2] Aa.Vv., Il nuovo Regolamento europeo sulla privacy e sulla protezione dei dati personali, diretto da Giu. Finocchiaro, Bologna, 2017;C. Bistolfi, L. Bolognini, E. Pelino, Il Regolamento Privacy europeo. Commentario alla nuova disciplina sulla protezione dei dati personali, Milano, 2016.

[3] IAPP White Paper, GDPR at One Year: What We Heard from Leading European Regulators, https://iapp.org/media/pdf/resource_center/GDPR_at_One_IAPPWhitePaper.pdf

[4] Il WP 29 o Art. 29 Working Party è un ente europeo di consultazione indipendente, istituito dall’art. 29 della Direttiva 95/46/CE, che raggruppa le autorità di protezione dei dati degli Stati membri.

[5] Guidelines on Data Protection Officers (‘DPOs’), adottate il 13 dicembre 2016 e modificate in data 5 aprile 2017, https://ec.europa.eu.

[6] Garante Privacy, Nuove Faq sul Responsabile della Protezione dei dati (RPD) in ambito pubblico e in ambito privato, entrambe consultabili all’indirizzo https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/8036793.

Alessia Palladino