L’Autorità Garante francese, che già in altre occasioni si è distinta per approfondimenti particolarmente significativi su alcuni temi di assoluto interesse (come, ad esempio, le Linee Guida dedicate agli sviluppatori software) ha diffuso una guida pratica riguardo alla figura del DPO.
La guida, di sicuro interesse anche per gli operatori italiani, riposa sul contenuto delle Linee Guida già diffuse dal Gruppo Europeo dei Garanti, emanate ancora nel 2017.
Sul punto vanno inoltre richiamate, per completezza degli strumenti, le FAQ aggiuntive realizzate dal nostro Garante Privacy e il manuale realizzato in seno al progetto T4Data, raggiungibili alla pagina dedicata sul sito della nostra Autorità.
Interessante è il fatto che l’approccio della CNIL parte da una “visione” del DPO non tanto quale “poliziotto buono” che fa da tramite fra azienda e autorità di controllo, quanto piuttosto quale “direttore d’orchestra” con riguardo al trattamento dati condotto dall’ente che lo designa.
DPO as a Service: 5 motivi per scegliere la consulenza in outsourcing
Indice degli argomenti
Il ruolo del DPO
Le Linee guida del Garante francese (disponibili in inglese e francese) si aprono con una diffusa definizione dei compiti del DPO, che riprendono quanto disposto dalla normativa GDPR e quanto elaborato dall’EDPB.
In particolare, il ruolo consultivo e di supporto del DPO viene così articolato:
- portare le proprie competenze al titolare/responsabile affinché possa garantire la conformità del trattamento;
- diffondere la cultura e le regole in materia di protezione dei dati personali a tutti i soggetti che trattano dati personali all’interno dell’azienda/ente;
- intervenire nella fase di progettazione del trattamento dati in fase di sua implementazione o aggiornamento (in particolare per garantire il rispetto dei principi di protezione dei dati fin dalla progettazione e per impostazione predefinita);
- coadiuvare il titolare/responsabile nel definire la necessità di una valutazione d’impatto sulla protezione dei dati (DPIA) e collaborare alla sua effettiva realizzazione;
- collaborare alla redazione e tenuta di un registro delle attività di trattamento;
- collaborare alla redazione e aggiornamento le policy aziendali in tema di protezione dei dati;
- fornire supporto nel caso di data breach, al fine di consigliare le misure da adottare e la comunicazione all’autorità e agli interessati;
- assicurare l’adozione da parte del titolare/responsabile di una cultura della protezione dei dati personali (ad esempio attraverso corsi di formazione interni sui principi fondamentali della protezione dei dati);
- effettuare azioni di comunicazione e sensibilizzazione su argomenti rilevanti per l’organizzazione del titolare/responsabile;
- fungere da punto di contatto interno per ogni questione in materia di protezione dei dati.
La CNIL prosegue poi formalizzando alcune utili indicazioni per il titolare/responsabile affinché la nomina del DPO non risulti un mero adempimento formale abbandonando (come spesso accade nella pratica) il responsabile della protezione dei dati a se stesso.
In particolare, il Garante francese suggerisce al soggetto che nomina un DPO di:
- formalizzare i casi di consultazione del DPO;
- istituire un “comitato GDPR” incaricato di “dirigere” le azioni in tema di trattamento dati in seno all’azienda/ente;
- coinvolgere il DPO nello sviluppo e nell’aggiornamento dei documenti di governance in tema privacy;
- favorire un contatto regolare fra DPO e personale operativo che tratta dati personali;
- prevedere una procedura interna in caso di audit da parte del Garante (procedure di accoglienza, soggetti da segnalare, informazioni da ottenere) e in caso di data breach;
- programmare le modalità di risposta alle richieste esterne (ad esempio predisponendo modelli di risposta alle richieste di accesso);
- individuare un referente sostituto in caso di assenza o impedimento del DPO, al fine di gestire eventuali emergenze;
- programmare l’attività di adeguamento e di aggiornamento della documentazione predisposta, mantenendo una dashboard delle attività svolte;
- effettuare attività costante di formazione.
Il conflitto di interesse
Interessanti sono anche le determinazioni del CNIL sul conflitto di interesse.
Se il Gruppo dei Garanti nelle Linee Guida del 2017 si concentrava sugli ulteriori ruoli che potrebbero essere assunti dal DPO (specie se si tratta di DPO interno) in azienda (ad esempio è in conflitto di interessi il DPO che sia anche Responsabile IT aziendale), l’Autorità francese scende un po’ più nel dettaglio, e ci dice che alcuni compiti sono senz’altro adatti, per loro natura, ad essere assegnati al DPO, come ad esempio tenere il registro delle attività di trattamento, partecipare allo svolgimento delle valutazioni di impatto, o svolgere attività di supervisione in caso di data breach.
Quel che è interessante è che da un lato la CNIL sembra escludere la legittimità di un DPO che curi invece in toto l’adeguamento privacy aziendale e soprattutto che l’Autorità precisa espressamente che nessuno di questi compiti “ulteriori” assegnati al DPO può essere svolto dal solo responsabile, il quale deve necessariamente collaborare con i soggetti interni all’azienda che svolgono o determinano lo svolgimento del trattamento dati.
Ulteriore importante precisazione è quella per cui il titolare e chi agisce per suo conto nel trattare i dati e determinare mezzi e fini del trattamento resta comunque titolare di obblighi e responsabilità conseguenti all’attività a cui collabora il DPO.
Le competenze del DPO
La Guida della CNIL, oltre a ribadire quanto già affermato dall’EDPB con riguardo al fatto che il livello di esperienza richiesto dal DPO varia al variare della tipologia dei dati trattati, della complessità del trattamento e del volume dei dati trattati, contengono interessanti precisazioni con riguardo alle competenze del soggetto che rivestirà il ruolo di Data Protection Officer.
Mentre infatti l’EDPB si concentra sulla richiesta di un expertise di tipo normativo in capo al DPO, ritenendo invece sufficiente una semplice “comprensione” dei meccanismi IT dell’Ente che lo ha designato, il CNIL sembra fare un passo ulteriore laddove richiede al DPO un expertise di tipo legale e tecnico in tema di protezione dei dati personali. Questa decisione del Garante francese sembra rispondere ad un’effettiva richiesta di ibridazione fra competenze giuridiche e tecniche che in effetti è sempre più richiesta ai professionisti del settore privacy.
La CNIL dà inoltre atto del fatto che in Francia nel 2020 circa il 28% dei DPO proveniva dal settore IT, la medesima percentuale invece dal settore legale e il restante 43% da settori amministrativo, finanziario, di compliance eccetera.
Il DPO e il responsabile esterno
Tra le questioni affrontate dalla CNIL c’è quella dell’outsourcing di più servizi ad un soggetto esterno, alcuni dei quali impongano la sua nomina quale responsabile esterno e, contestualmente, includano la nomina di un referente del soggetto nominato responsabile quale DPO.
La CNIL prescrive in questo caso un’analisi caso per caso per valutare se possa essere garantita l’indipendenza del DPO, suggerendo di adottare distinti punti di contatto e distinti contratti.
La stessa analisi caso per caso è prescritta nel caso in cui un DPO sia designato sia dal titolare che dal responsabile esterno.
Il DPO avvocato
L’Autorità francese precisa anche che, nel caso in cui il DPO sia un avvocato, questo non potrà assumere la difesa giudiziale del soggetto che l’ha designato, in tutti quei casi che riguardino il trattamento dati personali da parte del titolare.
La posizione della CNIL è senz’altro interessante perché declina in maniera più precisa (e non integrale) il limite entro cui un legale può operare sia come DPO che come difensore di un’azienda/ente.
Le responsabilità del DPO
Il Garante francese fornisce poi estese precisazioni circa le responsabilità del DPO, chiarendo che questo non può essere penalmente responsabile della compliance aziendale al GDPR, salvo agisca intenzionalmente quale complice del titolare o del responsabile del trattamento (situazione simile rispetto a quella delineata dalla normativa del nostro paese).
Quanto alle responsabilità risarcitorie la CNIL precisa come ogni richiesta di risarcimento vada rivolta direttamente al titolare o al responsabile, senza che sia possibile coinvolgere nelle richieste e/o in giudizio il DPO. Certo è che il titolare o il responsabile potrà poi agire nei confronti del DPO qualora sia a causa della sua condotta che si è generato il danno.
Vista la necessaria indipendenza del DPO, lo stesso non può essere rimosso dal suo incarico o sanzionato dall’azienda sol perché sta svolgendo il proprio lavoro, anzi, per espressa disposizione del GDPR una simile iniziativa costituisce ex se violazione del regolamento.
Certo è che il DPO inadempiente (interno o esterno che sia) potrà invece essere rimosso dall’incarico, salvo questo inadempimento derivi dal fatto che il titolare o il responsabile non ha fornito al DPO sufficienti risorse per dar corso all’incarico.
Ulteriore punto delicato è quello delle istruzioni che possono essere rivolte al DPO, il quale per le note esigenze di indipendenza assume per sua natura un ruolo in certa misura “refrattario” ad ingerenze esterne.
Se è possibile rivolgere al DPO richieste (ad esempio la produzione di un report annuale) è anche al contempo necessario assicurarsi che il DPO sia messo nelle condizioni di soddisfarle senza sacrificare i propri compiti istituzionali.
L’indipendenza del DPO non può, infatti, essere interpretata come assenza di comunicazione con l’azienda/ente che l’ha designato, anzi, una chiara e trasparente comunicazione con il titolare/responsabile è alla base dell’attività del DPO.
L’indipendenza del responsabile della protezione dei dati si riflette invece in una libertà operativa, consentendogli di definire priorità e misure nello svolgere i propri compiti.
La CNIL ribadisce quindi che indipendenza non significa assenza di legami, ma assenza di istruzioni che avrebbero valore di ordine.
Infine, il DPO può ricevere istruzioni su elementi che non rientrano nell’esercizio delle proprie funzioni.
I moduli predisposti dalla CNIL
Le Linee Guida del Garante francese si chiudono con interessanti moduli e check list, disponibili in francese ed inglese, rivolte ai titolari del trattamento in cerca di un DPO.
Si parte da una serie di domande da rivolgere al DPO in sede di designazione e si arriva ad un modulo dedicato alla contrattualizzazione del DPO, dove sono indicati i compiti del soggetto designato e gli impegni (in particolare in termini di risorse e oneri di collaborazione) da parte dell’ente/azienda che lo incarica.
