Dalla pubblicazione della Legge Generale sulla Protezione dei Dati, nel 2018, c'era molta aspettativa riguardo alla regolamentazione dell'operato del Responsabile del Trattamento dei Dati (il famoso "DPO"). La norma è stata finalmente pubblicata nel mese di luglio 2024 dall'Autorità Nazionale per la Protezione dei Dati – ANPD (Risoluzione CD/ANPD n. 18, del 16 luglio 2024), affrontando punti molto importanti sulla designazione del responsabile, i suoi doveri e attribuzioni legali, e sui conflitti di interesse.
Innanzitutto, bisogna ricordare che la nomina di un DPO non è obbligatoria per le microimprese, le piccole imprese estartupgli cosiddetti "agenti di trattamento di piccole dimensioni". Tuttavia, nel caso in cui l'azienda svolga attività ad alto rischio per i dati personali (con un uso intensivo dei dati, trattamento di dati che possa influire sui diritti fondamentali, o attraverso tecnologie emergenti o innovative – ad esempio l'Intelligenza Artificiale), dovrà nominare un DPO anche se è considerata un'azienda di piccole dimensioni – e questo può essere scoperto solo mediante unvalutazionesvolto da uno studio legale specializzato.
Per le aziende obbligate a nominare un Responsabile, ci sono diverse precauzioni che devono essere osservate al fine di rispettare le nuove regole emanate dall'ANPD. Il primo di questi accorgimenti riguarda la stessa modalità con cui viene nominato il DPO. Secondo la nuova normativa, è obbligatorio che la nomina venga effettuata tramite un documento scritto, datato e firmato – documento che dovrà essere presentato all'ANPD in caso di richiesta in tal senso. Queste formalità devono essere osservate anche nella designazione del sostituto che agirà in assenza del DPO (come ferie o assenze per motivi di salute). La raccomandazione dell'ANPD è che questo "atto formale" sia, ad esempio, un contratto di prestazione di servizi (nel caso in cui il DPO sia esterno all'organizzazione), ma può anche essere effettuato mediante un addendum al contratto di lavoro nel caso in cui il Responsabile sia un dipendente che opera secondo il regime della CLT.
Inoltre, l’azienda deve “stabilire le qualifiche professionali necessarie per svolgere le mansioni del responsabile”, cosa che si raccomanda di fare anche attraverso un atto formale (come una politica interna), garantendo così che venga nominata una persona con adeguata conoscenza della protezione dei dati personali e della sicurezza delle informazioni.
Un punto molto importante del nuovo regolamento, infatti, è che autorizza il DPO a essere sia una persona fisica (che può essere parte dell'organico aziendale, o esterna ad essa) sia una persona giuridica, ponendo fine a un dubbio circa l'operato delle aziende specializzate inDPO come servizio.
Indipendentemente dalla natura giuridica del DPO, la norma richiede che la sua identità e le sue informazioni di contatto siano divulgate in modo appropriato (preferibilmente sul sito web dell'azienda), indicando il nome completo (se si tratta di una persona fisica) o la ragione sociale e il nome della persona fisica responsabile (nel caso di una persona giuridica); oltre alle informazioni minime di contatto (come e-mail e telefono), che consentono di ricevere comunicazioni dai titolari o dall'ANPD.
Per quanto riguarda le attività del DPO, la norma introduce una serie di nuove attribuzioni, in particolare per fornire assistenza e indicazioni alla dirigenza aziendale su:
I – registrazione e segnalazione degli incidenti di sicurezza;
II – registro delle operazioni di trattamento dei dati personali;
III – relazione sull’impatto sulla protezione dei dati personali;
IV – meccanismi interni di supervisione e mitigazione dei rischi connessi al trattamento dei dati personali;
V – misure di sicurezza tecniche e amministrative idonee a proteggere i dati personali da accessi non autorizzati e dalla distruzione accidentale o illecita, dalla perdita, dall’alterazione, dalla comunicazione o da qualsiasi forma di trattamento inadeguato o illecito;
VI – processi e politiche interne che garantiscano la conformità alla legge n. 13.709 del 14 agosto 2018 e ai regolamenti e alle linee guida dell'ANPD;
VII – strumenti contrattuali che regolano questioni relative al trattamento dei dati personali;
VIII – trasferimenti internazionali di dati;
IX – Regole di buona condotta e programma di governance e privacy governance, ai sensi dell’art. 50 della legge n. 13.709, del 14 agosto 2018;
X – prodotti e servizi che adottano standard di progettazione compatibili con i principi stabiliti dalla LGPD, tra cui la privacy by default e la limitazione della raccolta dei dati personali al minimo necessario per raggiungere i propri scopi; E
XI – altre attività e decisioni strategiche relative al trattamento dei dati personali.
Si verifica che ci sia stata una grande espansione delle responsabilità del DPO, quindi la scelta deve necessariamente ricadere su un professionista qualificato, non è più possibile la pratica comune di nominare un collaboratore interno "per semplice formalità". Pertanto, diventa ancora più interessante che le aziende valutino l'assunzione di un DPO esterno, specialmente quando nel proprio organico non vi sia un dipendente con le qualifiche o la disponibilità per svolgere i compiti dell'Incaricato.
La disponibilità, d'altra parte, è un altro fattore importante da analizzare quando si nomina il DPO. Le nuove regole richiedono che il Responsabile eviti qualsiasi conflitto di interessi, che può sorgere quando svolge altre funzioni all'interno dell'azienda o quando combina il ruolo di Responsabile con quelle relative a decisioni strategiche all'interno dell'organizzazione.
Pertanto, è sempre consigliabile che il DPO possa dedicarsi esclusivamente ad attività connesse alla protezione dei dati personali (soprattutto quando il volume di dati personali trattati dall’azienda è elevato), al fine di ridurre al minimo il rischio di conflitti di interesse – che potrebbero comportare l’applicazione di sanzioni pecuniarie o altre sanzioni all’azienda, se rilevati dall’ANPD.
Infine, è sempre importante sottolineare che, anche se viene nominato un DPO, colui responsabile del trattamento e della protezione dei dati personali è l'azienda, cioè: in caso di errori nell'operato del DPO, è l'organizzazione – e non la persona nominata – a rispondere di multe o indennizzi derivanti dall'uso scorretto dei dati personali. Pertanto, la scelta del Responsabile deve essere effettuata con molta attenzione, preferibilmente con il supporto legale necessario per garantire che avvenga in conformità con il GDPR e con le regole dell'ANPD.
