Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

L'approfondimento

DPO di gruppo sì, ma a certe condizioni: la governance aziendale come chiave di volta

Il Regolamento Ue prevede che un gruppo imprenditoriale con più sedi possa designare un unico responsabile della protezione dei dati personali. Che si tratti di una persona o di una società ad hoc, il DPO di gruppo deve avere requisiti in grado di garantire un’alta capacità di coordinamento tra i vari dipartimenti e le sedi (anche estere)

15 Apr 2019
M

Nicole Monte

Avvocato e Privacy Specialist – LT42


Sulla figura, le competenze e le responsabilità del Data Protection Officer (DPO), introdotta dall’art. 37 del GDPR, molto si è scritto finora. Poco però ci si è soffermati sui requisiti necessari affinché il DPO possa svolgere correttamente i suoi compiti quando designato non da una singola azienda ma da un gruppo imprenditoriale.

Affrontiamo qui il tema delle qualità professionali e delle conoscenze specialistiche necessarie al professionista (o società) chiamato a svolgere la funzione di DPO di gruppo e delle difficoltà connesse allo svolgimento delle funzioni nell’ambito di realtà organizzative di medie e grandi dimensioni anche con sedi dislocate in due differenti Stati dell’Unione o extra-UE.

La figura del DPO

L’art. 37 del Regolamento (UE) 2016/679 ha introdotto la nuova figura del DPO. Il dibattito a livello nazionale ed Europeo si è più volte soffermato sul ruolo e sulle conseguenti responsabilità di questo soggetto, che viene designato dal titolare del trattamento per assolvere a funzioni di supporto e controllo, consultive, formative e informative relativamente all’applicazione del Regolamento medesimo.

Come noto, le funzioni di questa figura sono due. Da un lato, il DPO coopera con l’Autorità e per questa ragione la nomina da parte di una società deve essere comunicata al Garante. La figura del DPO è delineata dalla normativa in modo tale che questi rappresenti di fatto il punto di contatto, anche rispetto agli interessati, per le questioni connesse al trattamento dei dati personali (artt. 38 e 39 del Regolamento).

Dall’altro lato, anche in ragione del proprio ruolo di punto di contatto per Autorità ed interessati, il DPO rappresenta un raccordo in materia di privacy all’interno dell’organizzazione aziendale, garantendo che il trattamento dei dati venga svolto secondo i dettami della normativa europea. Infatti, è previsto espressamente dal Regolamento (UE) 2016/679 che il responsabile della protezione dei dati personali possa essere interno alla organizzazione aziendale e che possa dunque essere nominato un dipendente del titolare o del responsabile del trattamento (art. 37, par. 6, del Regolamento).

Il DPO di gruppo

Il Regolamento (UE) 2016/679 prevede che un gruppo imprenditoriale (definito all’art. 4, n. 19 come un gruppo costituito da un’impresa controllante e dalle imprese da questa controllate) possa designare un unico responsabile della protezione dei dati personali, purché tale responsabile sia facilmente raggiungibile da ciascuno stabilimento (o sede, n.d.r.) del gruppo. Inoltre, il DPO di gruppo dovrà essere in grado di comunicare in modo efficace con gli interessati e di collaborare con le diverse autorità di controllo.

Le Linee-guida del WP29 WP243 rev. 01 (versione aggiornata del 5 aprile 2017) al paragrafo 2.2 specificano che il concetto di raggiungibilità si riferisce ai compiti del DPO in quanto punto di contatto per gli interessati, l’autorità di controllo e i soggetti interni all’organismo o all’ente, visto che uno dei compiti del DPO consiste nell’ “informare e fornire consulenza al titolare del trattamento o al responsabile del trattamento nonché ai dipendenti che eseguono il trattamento in merito agli obblighi derivanti dal presente regolamento”. Allo scopo di assicurare la raggiungibilità del DPO, interno o esterno, è importante garantire la disponibilità dei dati di contatto nei termini previsti dal GDPR.

E ancora il WP29 ha chiarito che il DPO, se necessario con il supporto di un team di collaboratori, deve essere in grado di comunicare con gli interessati in modo efficiente e di collaborare con le autorità di controllo interessate. Ciò significa, fra l’altro, che le comunicazioni in questione devono avvenire nella lingua utilizzata dalle autorità di controllo e dagli interessati volta per volta in causa. Il fatto che il DPO sia raggiungibile – vuoi fisicamente all’interno dello stabile ove operano i dipendenti, vuoi attraverso una linea dedicata o altri mezzi idonei e sicuri di comunicazione – è fondamentale al fine di garantire all’interessato la possibilità di contattare il DPO stesso.

I requisiti necessari per il ruolo di DPO di gruppo

La scelta relativa alla designazione di un DPO di gruppo sembrerebbe puramente strategica e connessa alla organizzazione aziendale di gruppo, posto che la legge pone l’unica condizione del facilmente raggiungibile da ciascuno stabilimento. Nonostante l’unica indicazione normativa relativa alla “facilità di contatto”, non si deve pervenire ad interpretazioni semplicistiche. Leggendo le linee guida del WP29, vengono delineati una serie di requisiti necessari perché il DPO di gruppo possa adempiere correttamente al proprio ruolo e specificamente:

  • la raggiungibilità del DPO e la relativa disponibilità dei dati di contatto da riferirsi non soltanto alle diverse sedi/stabilimenti aziendali, ma a tre differenti soggetti:
  1. autorità;
  2. interessati;
  3. dipendenti dell’intero gruppo;
  • la presenza di strumenti di comunicazione/informativi efficaci. Ad esempio, la possibilità di utilizzare unicamente l’e-mail potrebbe non soddisfare totalmente il requisito imposto dalla norma, specialmente se ci si riferisce ad un gruppo internazionale con sede in diversi Paesi UE ed extra-UE (si pensi alle numerose case farmaceutiche aventi la sede principale nella Svizzera francese);
  • la creazione, ove le dimensioni lo richiedano, di un team di collaboratori del DPO, tutti aventi specifiche competenze e requisiti professionali.

Nel caso di una holding e di un gruppo internazionale è possibile che la società controllante e controllata abbiano sede in due differenti Stati dell’Unione od extra-UE, quindi sorge la prima e la più complessa criticità relativa alla duplicità del ruolo assegnato a questa nuova figura introdotta dal legislatore europeo.

Evidentemente da un lato una società controllata nella propria organizzazione aziendale risponde a logiche aziendali di gruppo, quindi potrebbe risultare più opportuno procedere alla designazione di un DPO di gruppo che sia quindi il medesimo per controllante e controllata, dall’altro lato si ha il secondo – ed importante – ruolo di punto di contatto con l’Autorità Garante con tutto ciò che ne consegue in termini di conoscenza e conoscibilità di provvedimenti, linee guida e raccomandazioni delle diverse Autorità di controllo europee, che al momento risultano tendenzialmente disomogenee.

Qualità professionali e conoscenze specifiche

Ai fini dell’individuazione della figura professionale in grado di svolgere il ruolo di DPO, la normativa generale del Regolamento richiede che tale figura sia in possesso di qualità professionali e di conoscenze specialistiche della normativa e delle prassi in materia di protezione dei dati (art. 37, par. 5), con un livello proporzionato alla complessità e quantità dei dati soggetti a trattamento. A tal proposito, è certamente preferibile che il professionista od il team di professionisti conoscano lo specifico settore di attività e la struttura organizzativa del titolare, oltre che essere in possesso di elevati standard deontologici, quali correttezza e integrità di condotta, oltre alla necessaria assenza di conflitti di interessi.

Considerando le competenze richieste, esistono evidenti difficoltà nel reperire figure professionali che abbiano una tale expertise a livello europeo anche perché le diverse autorità nazionali non sembrano riuscire a lavorare all’unisono (basti pensare all’assenza di un flusso informativo istituzionalizzato in caso di notifica di data breach).

È anche noto che il Regolamento (UE) 2016/679 prevede espressamente che il responsabile della protezione dei dati personali, nelle realtà organizzative di medie e grandi dimensioni, possa essere individuato in un soggetto esterno non necessariamente persona fisica ma anche persona giuridica, quindi la soluzione potrebbe essere rappresentata dalla nomina di un DPO che sia una società in grado di garantire i diversi adempimenti dettati dal regolamento attraverso un team di lavoro, anche di natura internazionale.

Come scegliere la figura di DPO adatta alle esigenze del gruppo

Ogni gruppo di imprese, internazionale o meno, può dunque decidere se avvalersi:

  • di un singolo DPO o di un DPO in team, un organo che in concreto potrebbe essere associabile all’Organismo di Vigilanza già previsto in materia di responsabilità amministrativa dell’ente – D.lgs. 231/01;
  • di una persona fisica o di una società di servizi;
  • di un soggetto interno o esterno all’impresa.

Ai fini di una scelta ottimale, è importante ricordare che, in base a quanto previsto dall’art. 38, il DPO deve essere tempestivamente e adeguatamente coinvolto in tutte le questioni che riguardano la protezione dei dati personali e che gli siano fornite le risorse necessarie per lo svolgimento delle sue funzioni in maniera del tutto indipendente. L’eventuale coordinamento del DPO di gruppo con le sedi aziendali dislocate su più Paesi, deve essere specificamente studiato e messo a punto per essere adeguato e tempestivo, come richiesto dalla norma, specialmente nei flussi informativi tra le diverse componenti dell’organigramma aziendale e, in particolare, in relazione alle attività di informazione e consulenza ai titolari del trattamento dei dati personali ed ai dipendenti delle diverse società del Gruppo.

Si pensi ad esempio ad un dipendente di un’azienda che subisce un data breach e che, com’è normale, si rivolga al team IT in grado risolvere il problema, a questo punto entrano in gioco due elementi che sono entrambi sotto la supervisione del DPO: la formazione dei dipendenti in materia di privacy ed il coordinamento tra diversi team. Sia il dipendente che ha subito il breach, sia il suo collega dell’IT devono essere a conoscenza dalla policy aziendale da seguire e delle conseguenti comunicazioni da fornire, in modo tale che il DPO sia informato tempestivamente e il titolare possa adempiere correttamente alla notifica prevista dagli artt. 33 e 34 GDPR.

Come intuibile i grandi gruppi si sono dotati di uno specifico team di lavoro interno alla holding di gruppo con soggetti responsabili interni alle diverse società controllate con il compito di riportare direttamente al team-DPO della capo-gruppo. Hanno optato per questa struttura grandi gruppi nel settore dell’automotive, come FCA, ma anche in ambito sanitario come Humanitas. La scelta è strategicamente ottimale, ma richiede senza dubbio un notevole impiego di risorse.

Una opzione differente è quella di un team di lavoro esterno simile a quello dell’OdV previsto dal D.lgs. 231/2001, che ha il vantaggio di esternalizzare il costo e di essere subito operativo per tutte quelle realtà che dovessero procedere alla designazione.

Altre realtà, invece, hanno optato per esternalizzare gli adempimenti di legge con la nomina di un DPO italiano per la holding-controllante ed un DPO per le diverse sedi all’estero.

In conclusione, sembra potersi rilevare che uno dei criteri principali per la designazione di un DPO di gruppo debba riferirsi alla corretta gestione di flussi informativi presenti nella organizzazione aziendale già esistente, poiché la normativa e l’interpretazione della stessa pongono l’accento sulla capacità di coordinamento tra i diversi componenti (dipartimenti e sedi/stabilimenti) ed il DPO stesso, posto che questi, di fatto, rappresenta uno snodo cruciale in materia di privacy che deve essere progettata tenendo conto delle caratteristiche di ogni impresa e del gruppo di imprese, calibrando la scelta anche sulla base della governance di gruppo.

@RIPRODUZIONE RISERVATA

Articolo 1 di 5