x

x

Record di nomine DPO in Italia, ma quanti ne hanno realmente bisogno?

Record di nomine DPO in Italia, ma quanti ne hanno realmente bisogno?
Record di nomine DPO in Italia, ma quanti ne hanno realmente bisogno?

Il Garante per la protezione dei dati personali ha recentemente pubblicato un’infografica che riassume in cifre e per categorie generali il bilancio dei primi 4 mesi di applicazione del GDPR.

Tra gli altri, l’adempimento che ha maggiormente interessato i soggetti attivi del trattamento (titolare, contitolare e responsabile), dal 25 maggio a settembre 2018, riguarda senza dubbio la comunicazione al Garante dei dati di contatto dei DPO nominati nel territorio nazionale, secondo quanto previsto dall’articolo 37, paragrafo 7 del GDPR.

I numeri sono impressionanti! Infatti, sono pervenute al Garante 40.738 comunicazioni.

È indubbio che una buona parte delle comunicazioni sia attribuibile alle autorità pubbliche (ad esempio Pubbliche Amministrazioni, Comuni e Regioni) che sono obbligate a nominare tale figura indipendentemente dal tipo di trattamento di dati personali che effettuano.

Tuttavia, per quanto riguarda i soggetti privati, un numero così elevato di comunicazioni lascia spazio a interrogativi in merito all’effettiva necessità per i soggetti  dichiaranti di dotarsi di un DPO.

Nonostante il Gruppo di Lavoro ex Articolo 29 – nelle proprie Linee Guida sul DPO, scaricabili al seguente link: http://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=612048 – abbia caldeggiato la nomina di tale figura su base volontaria, quindi anche da parte di soggetti che non rientrano nell’obbligo, i numeri nazionali risultano elevatissimi se si considera, ad esempio, che in Francia i soggetti che hanno provveduto alla nomina di un DPO sono 24.500 (dati risultanti dal sito del CNIL, link: https://www.cnil.fr/fr/rgpd-quel-premier-bilan-4-mois-apres-son-entree-en-application).

Pertanto, senza entrare nel merito dei casi di obbligatorietà previsti dal GDPR – ampiamente affrontati nelle citate Linee Guida – e tralasciando l’analisi dei criteri funzionali e dei requisiti di indipendenza che tale figura deve rispettare e possedere, vale la pena ribadire il principio sostanziale che regge l’intero impianto del GDPR – e che lo differenzia dal punto di vista applicativo dalla vecchia normativa – ovvero l’“accountability” (la responsabilizzazione). Rappresenta il principio-guida che richiede una presa di coscienza effettiva, da parte dei soggetti attivi del trattamento, i quali devono orientare la propria condotta verso una consapevole applicazione della disciplina di data protection, in modo sostanziale e diverso dai formalismi del vecchio Codice Privacy.

In conclusione, ci domandiamo quanti, tra i 40.738 dichiaranti italiani, abbiamo effettivamente applicato il principio di accountability, fondando l’esigenza di designazione del DPO su un’analisi approfondita e sostanziale della propria attività in rapporto con l’esigenza di protezione dei dati, e quanti, invece, lo abbiano considerato un mero adempimento formale – per non dire un capro espiatorio – che li mettesse al sicuro da ogni possibile contestazione, come avveniva, di fatto, con l’ormai abrogato adempimento della notificazione prevista dal vecchio Codice Privacy.

È palese, per chi conosce – o si è solo adeguatamente informato sulla – disciplina del DPO, che la designazione comporta obbligazioni contrattuali, impegni di tempo ed economici, non sempre trascurabili, in capo al titolare o al responsabile, pertanto la nomina non necessaria ovvero la scelta su soggetti privi delle necessarie competenze, potrebbe avere un effetto controproducente a rischio di sanzione o, nel peggiore dei casi, cagionare danni al titolare o al responsabile.     

D’altro canto, merita considerazione l’elenco – contenuto nelle FAQ sul Responsabile della Protezione dei Dati in ambito privato, pubblicate dal nostro Garante Privacy – dei soggetti tenuti alla nomina del DPO e, in particolare, tra questi, il riferimento alle “società che forniscono servizi informatici”, che, a nostro parere, può dare luogo ad alcune criticità, se applicato incondizionatamente a tutte le società del settore, indipendentemente dall’oggetto specifico dell’attività o del servizio fornito.

Non si può pertanto negare che, proprio per le difficoltà interpretative che possono insorgere nell’applicazione delle disposizioni contenute nel GDPR – non sempre risolte dalle indicazioni fornite delle Autorità – le imprese affrontano situazioni di incertezza e difficoltà nella corretta attuazione del GDPR, nel tentativo di porre in essere gli adempimenti ed attività in ambito data protection.