Record di nomine DPO in Italia, ma quanti ne hanno realmente bisogno?

Il Garante per la protezione dei dati personali ha recentemente pubblicato un’infografica che riassume in cifre e per categorie generali il bilancio dei primi 4 mesi di applicazione del GDPR.
Tra gli altri, l’adempimento che ha maggiormente interessato i soggetti attivi del trattamento (titolare, contitolare e responsabile), dal 25 maggio a settembre 2018, riguarda senza dubbio la comunicazione al Garante dei dati di contatto dei DPO nominati nel territorio nazionale, secondo quanto previsto dall’articolo 37, paragrafo 7 del GDPR.
I numeri sono impressionanti! Infatti, sono pervenute al Garante 40.738 comunicazioni.
È indubbio che una buona parte delle comunicazioni sia attribuibile alle autorità pubbliche (ad esempio Pubbliche Amministrazioni, Comuni e Regioni) che sono obbligate a nominare tale figura indipendentemente dal tipo di trattamento di dati personali che effettuano.
Tuttavia, per quanto riguarda i soggetti privati, un numero così elevato di comunicazioni lascia spazio a interrogativi in merito all’effettiva necessità per i soggetti dichiaranti di dotarsi di un DPO.
Nonostante il Gruppo di Lavoro ex Articolo 29 – nelle proprie Linee Guida sul DPO, scaricabili al seguente link: http://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=612048 – abbia caldeggiato la nomina di tale figura su base volontaria, quindi anche da parte di soggetti che non rientrano nell’obbligo, i numeri nazionali risultano elevatissimi se si considera, ad esempio, che in Francia i soggetti che hanno provveduto alla nomina di un DPO sono 24.500 (dati risultanti dal sito del CNIL, link: https://www.cnil.fr/fr/rgpd-quel-premier-bilan-4-mois-apres-son-entree-en-application).
Pertanto, senza entrare nel merito dei casi di obbligatorietà previsti dal GDPR – ampiamente affrontati nelle citate Linee Guida – e tralasciando l’analisi dei criteri funzionali e dei requisiti di indipendenza che tale figura deve rispettare e possedere, vale la pena ribadire il principio sostanziale che regge l’intero impianto del GDPR – e che lo differenzia dal punto di vista applicativo dalla vecchia normativa – ovvero l’“accountability” (la responsabilizzazione). Rappresenta il principio-guida che richiede una presa di coscienza effettiva, da parte dei soggetti attivi del trattamento, i quali devono orientare la propria condotta verso una consapevole applicazione della disciplina di data protection, in modo sostanziale e diverso dai formalismi del vecchio Codice Privacy.
In conclusione, ci domandiamo quanti, tra i 40.738 dichiaranti italiani, abbiamo effettivamente applicato il principio di accountability, fondando l’esigenza di designazione del DPO su un’analisi approfondita e sostanziale della propria attività in rapporto con l’esigenza di protezione dei dati, e quanti, invece, lo abbiano considerato un mero adempimento formale – per non dire un capro espiatorio – che li mettesse al sicuro da ogni possibile contestazione, come avveniva, di fatto, con l’ormai abrogato adempimento della notificazione prevista dal vecchio Codice Privacy.
È palese, per chi conosce – o si è solo adeguatamente informato sulla – disciplina del DPO, che la designazione comporta obbligazioni contrattuali, impegni di tempo ed economici, non sempre trascurabili, in capo al titolare o al responsabile, pertanto la nomina non necessaria ovvero la scelta su soggetti privi delle necessarie competenze, potrebbe avere un effetto controproducente a rischio di sanzione o, nel peggiore dei casi, cagionare danni al titolare o al responsabile.
D’altro canto, merita considerazione l’elenco – contenuto nelle FAQ sul Responsabile della Protezione dei Dati in ambito privato, pubblicate dal nostro Garante Privacy – dei soggetti tenuti alla nomina del DPO e, in particolare, tra questi, il riferimento alle “società che forniscono servizi informatici”, che, a nostro parere, può dare luogo ad alcune criticità, se applicato incondizionatamente a tutte le società del settore, indipendentemente dall’oggetto specifico dell’attività o del servizio fornito.
Non si può pertanto negare che, proprio per le difficoltà interpretative che possono insorgere nell’applicazione delle disposizioni contenute nel GDPR – non sempre risolte dalle indicazioni fornite delle Autorità – le imprese affrontano situazioni di incertezza e difficoltà nella corretta attuazione del GDPR, nel tentativo di porre in essere gli adempimenti ed attività in ambito data protection.