In quattro lettere, Gdpr, è racchiuso uno dei più importanti cambiamenti piombati addosso alle aziende europee negli ultimi anni relativamente alla raccolta, all'utilizzo e alla custodia dei dati personali. Tanti sono gli obblighi e tante le implicazioni del nuovo regolamento europeo General Data Protection Regulation, un testo che cala i principi della riservatezza e della sicurezza delle informazioni nell'era dei Big Data e del cloud. Spesso ve ne abbiamo parlato, ma c'è un aspetto particolare del Gdpr non frequentemente messo in luce e invece ricco di conseguenze per le aziende: il Data Protection Officer. Chi è, quando e come sceglierlo, e soprattutto perché? Si tratta soltanto di un obbligo, oppure può tradursi anche in un'opportunità? Ce ne parlano due esperte dello studio legale milanese Bird & Bird, Debora Stella (head of privacy and data protection Italy) e Theodora Dragan (associate privacy and data protection Italy).

 

 

Debora Stella (head of privacy and data protection Italy) e Theodora Dragan (associate privacy and data protection Italy), dello studio legale Bird & Bird

 

Tra le principali novità introdotte dal 25 maggio 2018 dal Regolamento Generale in materia di protezione dei dati personali (Reg. (UE) 2016/679 o “GDPR”) c'è la figura del Data Protection Officer (Dpo). Essa rappresenta una delle principali declinazioni pratiche del principio di responsabilizzazione introdotto dal Gdpr che riconosce maggior autonomia ai titolari e ai responsabili del trattamento dei dati personali, fermo restando che vengano rispettati gli obblighi e i principi fondamentali di liceità e correttezza del trattamento. Il Gruppo di Lavoro Art. 29, costituito da rappresentanti dei Garanti europei, ha infatti più volte ribadito l’importanza della figura del Dpo, che ha chiamato “pilastro della responsabilizzazione” e “compliance orchestrator”. In sostanza questa figura, se individuata e interpretata correttamente, può essere uno strumento fondamentale per adeguarsi al Gdpr.

 

Un obbligo e un'opportunità

A differenza delle aziende pubbliche, che sono sempre tenute a nominare un Dpo, l'Art. 37 del Gdpr prevede che le aziende private debbano nominarlo se la loro attività principale consiste nel monitoraggio regolare e sistematico degli interessati su larga scala oppure nel trattamento su larga scala di categorie particolari di dati personali (quelli sensibili) o relativi a condanne penali e reati. La legge italiana potrà prevedere anche altre circostanze in cui è richiesta la nomina del Data Protection Officer, ma al momento non è stata esercitata questa riserva.

In alcuni casi può essere palese capire se un’azienda rientri in una delle due categorie, per esempio nel caso delle assicurazioni che trattano dati relativi allo stato di salute degli interessati su larga scala come parte principale della propria attività. In molti altri casi, però, può non essere così evidente se sia necessario nominare un Dpo perché occorre interpretare i concetti di “attività principale” e di “trattamento sistematico su larga scala”. Le Linee Guida del Gruppo di Lavoro Art. 29 forniscono alcuni importanti chiarimenti in merito:2

 

Per “attività principale” si intendono le operazioni essenziali al raggiungimento degli obiettivi perseguiti dall’azienda. Se il database di dati personali costituisce uno dei principali asset dell’azienda (ad esempio in caso di database clienti nelle agenzie di viaggio online), la gestione della base dati clienti rappresenta l'attività principale. Diverso è il caso degli istituti di credito: per costoro dovrà essere valutata l’importanza del trattamento dei dati personali nell’ambito della propria attività e del target market. Per esempio, in caso di attività bancarie rivolte esclusivamente alle imprese, ove ci si limiti a trattare i dati identificativi dei rappresentanti dell'azienda per esclusive ragioni di antiriciclaggio, potrebbe non essere richiesta la nomina di un Dpo. Il “trattamento sistematico su larga scala”, invece, comprende tutte le forme di tracciamento e profilazione su Internet, ad esempio per finalità di pubblicità comportamentale, ma anche molte attività svolte al di fuori dal contesto online sulla base di un’analisi di numerosi dati personali, come ad esempio la profilazione e lo scoring a fini di valutazione del rischio creditizio, i programmi mirati di fidelizzazione dei clienti, il trattamento di dati eseguito attraverso dispositivi smart, eccetera.

 

Una volta valutata la necessità di nominare un Dpo, si dovrebbe procedere alla scelta o a documentare le valutazioni condotte per determinare che l’azienda non è tenuta a tale nomina. In tale ultima circostanza, potrebbe essere comunque valutata la designazione di un Dpo su base volontaria per ragioni di organizzazione interna, nell’ottica di trasformare la gestione dei dati personali in un vantaggio competitivo. Il Gruppo di Lavoro Art. 29 incoraggia esplicitamente questo approccio.

 

 

 

 

 

Non un semplice “controllore”

Il ruolo principale del Dpo è per taluni quello di un mero "controllore" interno. Ad avviso di chi scrive, considerarlo in questo modo è limitativo: c'è un più ampio beneficio che l'azienda può derivare inserendo questa figura nel proprio modello organizzativo. Peraltro lo stesso Art. 39 del Gdpr prevede per il Data Protection Officer altri compiti: esso ha infatti anche un ruolo consultivo, con cui accompagna l'azienda nelle sue scelte in materia di trattamento di dati personali, la supporta e indirizza nella gestione dei processi relativi ai trattamenti dei dati. Senza dubbio il suo ruolo non comprende l'adozione delle decisioni finali sul trattamento dei dati, che spettano al "titolare" o al “responsabile” tramite i soggetti preposti alla gestione dell'azienda (ad esempio, amministratore delegato). Ciononostante, il Dpo rappresenta un anello necessario affinché l'azienda possa prendere decisioni consapevoli sul tema, eventualmente anche discostandosi dalle indicazioni raccomandate dal Data Protection Officer purché le ragioni di tale dissociazione siano motivate e documentate. Inoltre, questa figura rappresenta il punto di contatto dell’azienda con l’autorità di controllo (Garante) e con gli interessati, motivo per cui i dati del Dpo dovranno essere inseriti nell’informativa privacy e nel registro dei trattamenti (se tenuto dall’azienda) e comunicati al Garante all’atto della designazione e in caso di notifica di un data breach.

 

Un dipendente o una figura esterna?

Il Gdpr prevede che il Dpo possa essere un dipendente oppure assolvere i propri compiti sulla base di un contratto di servizi. Appurata l'esigenza di nominare un Dpo, occorre capire se sia più adeguata una risorsa interna o esterna: ciò avviene alla luce delle circostanze concrete e delle esigenze organizzative dell’azienda. Un esempio è quello di società con sedi in più Paesi europei, nel qual caso occorre assicurarsi che il Dpo possa comunicare con le autorità di controllo e con gli interessati nella lingua da loro utilizzata. In tali casi si deve, infatti, valutare se possa essere opportuno nominare più di un a persona, se integrare la singola figura con un team di supporto formato da referenti e/o consulenti esterni locali nei diversi Paesi, oppure se optare per l’outsourcing a figure esterne specializzate in materia.

 

In ogni caso, per svolgere adeguatamente la sua funzione il Dpo dovrà avere qualità professionali adeguate alla complessità del compito da svolgere: a tal fine, dovrà deve essere selezionato tra figure con competenze tecnico-legali, avere piena consapevolezza dei trattamenti posti in essere dall’azienda e una buona conoscenza del settore in cui essa opera. Non obbligatorio che il Dpo possieda attestazioni o certificati, ma documentare le sue esperienze e la partecipazione a corsi professionali può essere opportuno.

 

Qualunque sia il suo collocamento, quando si individua il Dpo occorre garantire che la sua posizione sia indipendente rispetto alle altre funzioni dell’azienda e che non riceva istruzioni nell'esecuzione dei suoi compiti. Questo ruolo non potrà essere assegnato a chi ricopre una funzione a livello esecutivo in azienda, per evitare che vi siano conflitti di interessi (ad esempio, nella valutazione positiva di un trattamento dei dati che potrebbe comportare rischi specifici per gli interessati ma che potrebbe portare vantaggi economici all’azienda). Inoltre, il Dpo non potrà essere rimosso o penalizzato per l'adempimento dei propri compiti, né sanzionato per lo svolgimento del proprio incarico; sarà però responsabile nei confronti dell'azienda se non lo svolge in modo adeguato.

 

Vantaggi per le persone e per il business

La designazione di un Dpo porta con sé una serie di vantaggi competitivi, qualora la nomina sia impostata non solo come mero adempimento normativo ma anche in ottica strategica. Tale figura potrebbe aiutare i manager a comprendere il modo più appropriato per coniugare due aspetti talvolta percepiti come antitetici: lo sviluppo e tutela del business (anche mediante attività volte a conoscere meglio la clientela o a proteggersi da frodi) da un lato, e il rispetto della dignità degli interessati e del loro diritto all'autodeterminazione sul trattamento dei dati, dall'altro.

Le persone sono sempre più consapevoli dell’importanza dei dati personali. Oltre ad assolvere gli obblighi previsti dal Gdpr, un approccio corretto e responsabile al trattamento dei potrebbe contribuire in larga misura a rafforzare la buona reputazione di un’azienda e ad aprire la porta a una maggior fiducia da parte dei clienti.