Per le multinazionali, spesso individuare in maniera puntuale le norme a cui assoggettarsi è complesso. Tra i vari aspetti legati alla compliance aziendale, sembra non essere ancora ben chiaro alle aziende multinazionali il ruolo del DPO cosiddetto “locale”, ovvero per le sedi delle società controllate.
Molto spesso gruppi multinazionali con sede della casa madre in Paesi extra UE si limitano a nominare un unico DPO proprio presso la casa madre, pensando così di adempiere all’obbligo del GDPR, ma vediamo nel proseguo le motivazioni per le quali è quasi sempre doveroso nominare il DPO locale.
Indice degli argomenti
Il DPO nelle multinazionali: la normativa di riferimento
Le fonti utili a chiarire se esista o meno la necessità di nominare un D.P.O. locale sono il Regolamento UE 2016/679, le Linee Guida del Working Party (in breve “WP29”) n°243 in materia di Data Protection Officer (di seguito anche solo “Linee Guida”), i chiarimenti forniti dal Garante per la Protezione dei Dati Personali attraverso le FAQ in materia e le posizioni espresse dalle Autorità Garanti dei paesi dell’Unione.
Poniamo l’esempio di una multinazionale con società controllate in UE e con sede della casa madre negli Stati Uniti d’America la quale abbia nominato unicamente un D.P.O. presso tale sede.
Prima di analizzare le fonti di cui sopra è necessario fare una premessa circa i “rapporti privacy” fa azienda controllante e controllate: le aziende che compongono il gruppo industriale sono inquadrabili quali titolari autonomi del trattamento, in quanto da un punto di vista formale sia la controllante che le controllate, sono enti giuridicamente autonomi sia sul piano organizzativo e sia su quello patrimoniale.
Chiarito ciò, l’art. 37 par. 2 del G.D.P.R. con riguardo ai gruppi industriali ci dice che “un gruppo imprenditoriale può nominare un unico responsabile della protezione dei dati, a condizione che un responsabile della protezione dei dati sia facilmente raggiungibile da ciascuno stabilimento”. Cosa significa esattamente essere facilmente raggiungibile?
Le Autorità Garanti europee, riunite nel Working Party, hanno fornito precisazioni in merito nelle citate Linee Guida WP29 numero 243. In particolare, hanno chiarito come il concetto di raggiungibilità si riferisca ai compiti del DPO quale punto di contatto per gli interessati, l’autorità di controllo e i soggetti interni all’azienda, tenendo conto che uno dei suoi compiti consista proprio nell’ “informare e fornire consulenza al titolare del trattamento o al responsabile del trattamento nonché ai dipendenti che eseguono il trattamento in merito agli obblighi derivanti dal presente regolamento”.
Le Autorità Garanti richiedono che per poter espletare questo suo compito il D.P.O. debba interagire con interessati ed Autorità nella lingua della sede locale della azienda.
Gli obblighi del titolare
È poi obbligo del titolare del trattamento, ai sensi dell’articolo 38 del GDPR, assicurare che il DPO sia “tempestivamente e adeguatamente coinvolto in tutte le questioni riguardanti la protezione dei dati personali”.
Questo comporta che dovrà essere informato e consultato fin dalle fasi iniziali di ciascun progetto, avendo il DPO il compito di far osservare la normativa in materia – sia europea che nazionale – e promuovere l’attuazione dei principi di privacy by design e default. Il coinvolgimento del DPO è, quindi, realizzabile qualora egli sia fisicamente vicino alla sede della società e quindi sia in grado di partecipare ai gruppi di lavoro.
Ed a tal proposito le Linee Guida richiedono espressamente la presenza del DPO ogniqualvolta debbano essere assunte decisioni che impattano sulla protezione dei dati. A rafforzare tale necessaria nomina troviamo anche la previsione dei Garanti europei (al par. 2.4 del Linee Guida WP 29 n°243) i quali raccomandano che anche il titolare del trattamento non stabilito in UE abbia un DPO localizzato nel territorio dell’Unione Europea, ciò in considerazione di vari fattori, ovvero l’essere la sede facilmente raggiungibile, parlare la stessa lingua degli interessati e della Autorità Garante, nonché il possedere conoscenze relativamente alla legislazione ed alla prassi nazionale, quindi non solo in materia di tutela dei dati personali ma anche ad esempio di diritto del lavoro o penale.
I contatti con le autorità
A completare il quadro poi vi uno dei compiti fondamentali del DPO, ovvero fungere da punto di contatto con l’Autorità Garante, al fine di facilitare l’accesso, da parte dell’autorità di controllo, ai documenti e alle informazioni necessarie per l’adempimento dei compiti attribuitile.
È palese, ancora una volta, che per poter attuare tale collaborazione il DPO debba conoscere in maniera specifica la gestione della Data Protection della singola branch, parlare la lingua dell’Autorità, conoscere la normativa nazionale ed ovviamente raggiungere tempestivamente la sede. Anche l’Autorità Garante per la Protezione dei dati italiana si è espressa, nella FAQ numero 5, rimandando pienamente ai concetti espressi dal WP 29 e sinora analizzati.
Lo stesso Garante ha Rimarcato che “in ogni caso, resta comunque raccomandata, anche alla luce del principio di accountability che permea il Regolamento, la designazione di tale figura”.
Il DPO nelle multinazionali: un adempimento imprescindibile
In conclusione, appare del tutto evidente come la nomina del DPO locale nel caso di multinazionali con casa madre fuori dall’UE sia un adempimento imprescindibile, anche se non espressamente richiesta dall’art.37 del GDPR, e sia prova dell’accountability del Titolare del trattamento, la quale richiede una analisi profonda della propria realtà aziendale che sia frutto anche di una conoscenza approfondita della normativa, delle Linee guida e dei pareri della Autorità.
