A cura di Antonio Boscarino–
Il nuovo Regolamento europeo 2016/679 è destinato ad avere un profondo impatto sulla vita di imprese e cittadini nei prossimi anni. Quando, infatti, nel 2018 sarà attuabile, esso introdurrà una normativa uniforme, in materia di protezione di dati personali, in tutta l’Unione Europea. In generale si può dire che il nuovo Regolamento, a differenza della Direttiva 95/46, introduce il diritto all’oblio e semplificazioni per gli adempimenti formali dei titolari del trattamento dei dati personali.
Le imprese, inoltre, saranno maggiormente responsabilizzate tramite la previsione di sanzioni onerose in caso di violazioni della nuova normativa.
Rispetto, invece, all’attuale Codice della privacy, se da un lato vengono mantenuti il Responsabile del trattamento e il Titolare del trattamento, dall’altro lato viene abolita la figura dell’incaricato del trattamento.
Tra le più importanti innovazioni apportate dal Regolamento europeo 2016/679 si può sicuramente annoverare la previsione del Responsabile della protezione dei dati (detto anche Data Protection Officer).
Questa figura era già stata prevista da altre legislazioni con nomi simili (si considerino la Germania, la Svizzera e gli Stati Uniti), tuttavia grazie al nuovo Regolamento ha acquistato caratteristiche che la rendono essenziale nel quadro normativo sulla privacy così come delineato dal legislatore europeo.
Il Responsabile della protezione dei dati personali dovrà essere obbligatoriamente presente in tutti gli organismi e le autorità pubbliche così come previsto dall’art. 37, paragrafo 1 del Regolamento.
D’altro canto, le autorità giurisdizionali, nell’esercizio delle loro funzioni, non saranno obbligate a nominare un Data Protection Officer.
Come già è stato fatto presente da una parte della dottrina, vi sono incertezze su cosa debba intendersi per autorità pubblica o organismo pubblico.
Prendendo spunto dall’interpretazione della Corte di Giustizia europea per quanto riguarda il concetto di “organismo di diritto pubblico” potremo intendere qualsiasi organismo istituito per soddisfare specificatamente bisogni di interesse generale aventi carattere non industriale o commerciale, la cui attività è finanziata in modo maggioritario dallo Stato, e sottoposta a vigilanza da parte di soggetti pubblici.
Secondo la Corte di Giustizia il legislatore ha inteso in questo modo distinguere da un lato i bisogni di interesse generale aventi carattere industriale o commerciale, dall’altro quei bisogni di interesse generale che non hanno carattere commerciale o industriale.
Il problema interpretativo, tuttavia, non è risolto in quanto è dubbio il fatto che questa nozione di “organismo” possa applicarsi in materia di protezione dei dati personali.
Per quanto riguarda il concetto di “autorità pubblica” può intendersi in generale l’amministrazione pubblica comprensiva degli organi dello Stato.
In materia di obblighi delle imprese private, il Regolamento distingue le piccole imprese da quelle di grandi dimensioni. Per queste ultime, essendo tra l’altro ormai fondamentale per il loro profitto l’utilizzo di strumenti informatici per raccogliere dati sensibili per meglio indirizzare agli utenti le inserzioni pubblicitarie, deve ritenersi assai probabile che abbiano l’obbligo di nomina ex art. 37, par 1.
Anche le piccole imprese non potranno sottrarsi a suddetto obbligo se compiono le attività di cui all’art. 37, par 1. Recentemente, infatti, anche le piccole imprese usano sempre più software e programmi informatici che consentono loro di trattare dati sensibili su larga scala e sempre più spesso questi strumenti non richiedono risorse finanziarie onerose.
Secondo l’art. 30 paragrafo 5 le imprese che non mettono a rischio i diritti e le libertà dell’interessato possono essere esonerate dagli obblighi di cui all’art. 30 paragrafi 1 e 2 se hanno meno di 250 dipendenti.
Per capire se un’impresa debba considerarsi micro, piccola o media bisogna anche considerare i requisiti previsti dalla Raccomandazione della Commissione 2003/361/CE.
Le attività dell’art. 37 che rendono obbligatoria la nomina del Responsabile della protezione dei dati sono le seguenti:
• trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala;
• trattamento, su larga scala, di categorie particolari di dati personali di cui all’articolo 9 o di dati relativi a condanne penali e a reati di cui all’articolo 10.
Per quanto concerne, invece, i requisiti richiesti dal regolamento, il Data Protection Officer dovrà essere messo in condizioni di assoluta indipendenza e in totale assenza di conflitti di interesse, dovrà possedere adeguate risorse umane e finanziarie, competenze informatiche e un’ottima conoscenza della normativa sulla privacy. Egli potrà perciò essere un dipendente all’interno dell’azienda oppure potrà lavorare all’esterno dell’azienda stessa tramite un contratto di servizi.
I compiti del Responsabile della protezione dei dati sono invece prestabiliti dall’art. 39. Questi dovrà:
a) informare e consigliare il titolare o il responsabile del trattamento, nonché i dipendenti, in merito agli obblighi derivanti dal Regolamento europeo e da altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati;
b) verificare l’attuazione e l’applicazione del Regolamento, delle altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati nonché delle politiche del titolare o del responsabile del trattamento in materia di protezione dei dati personali, inclusi l’attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale coinvolto nelle operazioni di trattamento, e gli audit relativi;
c) fornire, se richiesto, pareri in merito alla valutazione d’impatto sulla protezione dei dati e sorvegliare i relativi adempimenti;
d) fungere da punto di contatto per gli interessati in merito a qualunque problematica connessa al trattamento dei loro dati o all’esercizio dei loro diritti;
e) fungere da punto di contatto per il Garante per la protezione dei dati personali oppure, eventualmente, consultare il Garante di propria iniziativa.
Dopo aver enunciato le caratteristiche che dovrà avere il Responsabile della protezione dei dati si evince la differenza tra quest’ultimo e il Responsabile del trattamento dei dati personali di cui all’art. 29 del nostro Decreto legislativo 30 giugno 2003, n. 196. Quest’ultimo, infatti, in via esemplificativa, non può definirsi né autonomo né indipendente dovendo, anzi, rispettare le istruzioni ricevute dal titolare del trattamento.
L’istituzione del Data Protection Officer non è nient’altro che il risultato di un’evoluzione normativa e giurisprudenziale (iniziata sia con la c.d. sentenza “Google Spain” sia con la c.d. sentenza “Schrems”) che attribuisce sempre più importanza alla tutela dei dati personali a fronte dei palesi abusi spesso perpetrati tramite strumenti informatici da grandi imprese, fungendo da “strumento” di raccordo tra Garante della privacy e imprese.
A causa delle peculiari competenze richieste al Data Protection Officer si può ritenere che diverrà sempre più una figura fondamentale nei prossimi decenni, che trascende, in un certo senso, la formazione accademica classica che possono avere un ingegnere informatico o un giurista. È possibile, inoltre, sostenere e auspicare che presto le imprese si adopereranno per formare figure professionali complete all’interno dell’azienda stessa o ricercheranno in futuro professionisti specializzati direttamente con master presso alcune Università che si sono già attivate in tal senso.
Bibliografia
DI RESTA F., Il nuovo regolamento generale sulla protezione dei dati personali: un continente una legge, ma occorre essere preparati, Diritto24 – Il Sole 24 Ore, 2016
PIZZETTI F., Privacy e il diritto europeo alla protezione dei dati personali, Il regolamento europeo 2016/679, G. Giappichelli Editore
SCAFATI G., La “privacy europea”, il Regolamento UE 2016/679, Diritto24 – Il Sole 24 Ore, 2016
