Gestione dei diritti degli interessati: il ruolo del DPO - Cyber Security 360

PRIVACY

Gestione dei diritti degli interessati: il ruolo del DPO

Nella definizione di una adeguata procedura per la corretta gestione dei diritti degli interessati è importante identificare anche il ruolo del DPO. Ecco alcune utili indicazioni e le possibili criticità

20 Apr 2020
Z
Rodolfo Zani

Avvocato, Studio Associato Servizi Professionali Integrati – Fieldfisher Global

La corretta gestione dei diritti degli interessati previsti dal Regolamento (UE) 2016/679 (GDPR) e, in particolare, dagli articoli dal 15 al 22, richiede, come da più parti ribadito, l’adozione di un’adeguata procedura che permetta di soddisfare, nei tempi stabiliti, le diverse richieste.

Gestione dei diritti degli interessati: lettura normativa

Un puntuale processo per tale adempimento risponde alla necessità di tenere nella giusta considerazione la volontà e gli interessi delle persone fisiche i cui dati sono trattati dal titolare, nonché – aspetto da non sottovalutare – di intercettare tempestivamente eventuali trattamenti non conformi al GDPR.

La pronta gestione delle richieste degli interessati può, inoltre, evitare o almeno mitigare i reclami o, comunque, le segnalazioni al Garante per la protezione dei dati personali.

Al contrario, come si evince dai recenti provvedimenti sanzionatori adottati dall’Autorità[1], la mancanza, l’intempestivo o l’inadeguato riscontro agli interessati determinano la presentazione di segnalazioni e reclami all’Autorità Garante che, inevitabilmente, intraprende le proprie attività di verifica.

Il compito di organizzarsi adeguatamente a tali fini è, come ben noto, del titolare il quale, come previsto dall’art. 12 del GDPR, “deve agevolare l’esercizio dei diritti dell’interessato ai sensi degli articoli da 15 a 22, adottando ogni misura (tecnica e organizzativa) a ciò idonea”.

È pertanto il titolare che deve individuare, per gestire il processo di riscontro all’interessato, la funzione, l’ufficio o il servizio aziendale deputato a tale compito ma, a differenza di quanto previsto nel Codice Privacy[2], prima della novella del Decreto Legislativo 10 agosto 2018 n. 101, non vi è nel GDPR né nell’attuale Codice nessun obbligo di indicare nell’informativa resa prima del trattamento dei dati, dove indirizzare la richiesta di esercizio dei diritti. Attualmente, l’art. 13 del GDPR prevede esclusivamente l’indicazione specifica del titolare e i relativi recapiti, nonché quelli del DPO se nominato.

Ruolo del DPO e gestione dei diritti degli interessati

Tuttavia, è prassi diffusa, anche per agevolare l’esercizio dei diritti come previsto dal Regolamento, indicare in informativa la struttura/funzione competente e i relativi recapiti (indirizzo mail dedicato o apposito spazio nel sito del titolare o indirizzo al quale inviare la posta ordinaria).

Posto che i compiti da affidare a tale struttura/funzione sono in gran parte operativi nell’ambito delle diverse incombenze privacy aziendali, può il titolare delegarli al Responsabile della Protezione dei Dati?

Un DPO con compiti anche operativi era da alcuni auspicato prima dell’approvazione del GDPR, similmente a figure già previste in alcuni paesi europei dalle previgenti legislazioni nazionali in materia di protezione dei dati personali. In altri termini, il DPO avrebbe dovuto essere un responsabile privacy a tutto tondo, con il compito di verificare la conformità alla normativa, ma nel contempo anche di svolgere una serie di attività pratiche per la gestione della privacy aziendale.

Di fatto, però, il Responsabile della protezione dei dati è stato qualificato dal GDPR come figura di supporto, consulenza, formazione e informazione al titolare ed agli autorizzati e di controllo sulla conformità aziendale al Regolamento, oltre a essere individuato quale punto di contatto con l’Autorità di controllo e con gli interessati.

I compiti del DPO sono infatti puntualmente indicati dall’art. 39 del GDPR che li individua nell’informazione e consulenza in merito agli obblighi derivanti dal Regolamento, nella sorveglianza sull’osservanza del Regolamento e delle altre normative relative al trattamento dati, compresa la formazione del personale, nel fornire un parere in merito valutazione d’impatto, nel cooperare e fungere da contatto con l’Autorità di controllo. Anche il Gruppo di Lavoro Articolo 29[3] nelle Linee guida per il DPO si è limitato a commentare e meglio definire i suddetti compiti.

Vero è che l’articolo 38 del GDPR ammette che al DPO possano essere affidati ulteriori compiti rispetto a quelli tassativamente previsti, purché compatibili con il ruolo e, pertanto, non in conflitto con quello di sorvegliare l’osservanza del GDPR all’interno delle realtà in cui opera[4]. Tali ulteriori attività affidate al DPO sono state in ogni caso interpretate come mansioni che esulano dalla gestione della privacy.

Uno spunto interessante potrebbe derivare dal c. 4 dell’art. 38, che prevede che gli interessati possano “contattare il Responsabile della protezione dei dati per tutte le questioni relative al trattamento dei dati personali e all’esercizio dei loro diritti.

Anche in questo caso una puntuale lettura della norma – consultare il DPO per tutte le questioni relative al trattamento dei loro dati e all’esercizio (non “per l’esercizio”) dei loro diritti -, lascerebbe intendere che il ruolo del DPO si dovrebbe circoscrivere a punto di contatto con gli interessati per questioni che potrebbero ad esempio essere gestite in modo divergente rispetto alle indicazioni dei titolari (ad esempio riguardo tempi, modalità di risposta o chiarimenti rispetto alle risposte stesse).

Una diversa precisa indicazione è stata fornita nelle “Linee guida destinate ai Responsabili della protezione dei dati nei settori pubblici e para pubblici per il rispetto del Regolamento[5] redatto da due esperti europei con il contributo del Garante italiano per i RPD del settore pubblico ma con l’auspicio di essere di aiuto DPO del settore privato.

Relativamente al tema dell’esercizio dei diritti degli interessati, nelle Linee guida si puntualizza che “gli interessati che vogliono esercitare i loro diritti – diritto d’accesso, di rettifica e cancellazione (diritto all’oblio) limitazione di trattamento ecc. – o che hanno domande generali o reclami in materia di protezione dei dati da presentare nei confronti di un determinato soggetto, o organismo o ente, generalmente dovranno per prima cosa indirizzarsi al RPD“.

Tale indicazione è giustificata dal fatto che “… il GDPR prevede che i recapiti del RPD siano pubblicati dall’organizzazione e che il titolare del trattamento si assicuri che il RPD sia tempestivamente e adeguatamente coinvolto in tutte le questioni riguardanti la protezione dei dati personali. Di conseguenza, se l’interessato si rivolge a qualcun altro nell’organizzazione, pensiamo all’Amministratore delegato o a un consigliere generale, costui dovrebbe trasmettere la richiesta al RPD. Inoltre, lo statuto di indipendenza del RPD garantisce che le richieste siano gestite dal RPD o dal personale responsabile sotto la supervisione del RPD, in modo appropriato senza favoritismi per l’organizzazione o discriminazioni per l’interessato. Il RPD ha comunque il compito di scrivere o riesaminare la risposta all’interessato facendo presente che, nel caso in cui non sia soddisfatto, egli ha sempre la facoltà di presentare il caso all’Autorità”.

Le criticità

Rispetto a questa assertiva indicazione – anche in considerazione del principio di accountability che permea tutto il Regolamento e alla luce dell’esperienza di gestione di alcuni casi concreti in questo primo periodo di applicazione del GDPR – si evidenziano alcune criticità nell’affidamento di tale incarico al DPO.

La prima di natura organizzativa/operativa: nelle aziende, enti o organismi con un numero elevato di richieste (anche nell’ordine di migliaia al mese), il DPO interno, che spesso ha anche compiti e responsabilità che esulano dalle problematiche privacy, sarebbe quasi totalmente impegnato nella gestione di diritti degli interessati; fatto non negativo in sé ma che rischia di non permettere al DPO di assolvere alle altre sue fondamentali funzioni. Nel caso, poi, di DPO esterno, tenuto conto delle particolarità e della varietà delle richieste, si avrebbe comunque la necessità di attivare le strutture interne per le ricerche e predisposizione delle risposte del caso.

La seconda, invece, di natura interpretativa del ruolo del DPO: se i compiti del DPO sono quelli di controllo e consulenza in merito alla conformità al GDPR, nel caso di procedure attuate direttamente dal DPO, lo stesso non potrebbe svolgere il controllo sulle attività eseguite (adeguatezza delle procedure, tempi di risposta, segnalazione su apposito registro ecc.).

Vi è poi una terza questione da tenere in considerazione ed è quella relativa alle eventuali divergenze fra titolare e DPO rispetto alla valutazione delle richieste (ad esempio, per citare casi concreti, in merito all’ampiezza di un diritto d’accesso). È il titolare ad avere l’onere e il compito di gestire la richiesta anche in modo diverso rispetto a quello suggerito dal DPO. Il RDP potrà in ogni caso far presente il proprio dissenso attraverso i verbali delle riunioni o con pareri ad hoc per il Titolare o con una relazione al vertice gerarchico. In tale evenienza, almeno in prima battuta, la risposta all’interessato andrebbe redatta dal Titolare stesso.

Le precedenti considerazioni portano a suggerire di effettuare una ponderata valutazione della specifica realtà aziendale prima di scegliere se affidare al DPO compiti operativi quale la gestione dei diritti degli interessati, anche al fine di evitare quel conflitto fra controllore e controllato che la normativa intende escludere.

Conclusioni

In via di principio si ritiene più funzionale affidare la gestione dei diritti ad una struttura interna dedicata (ufficio privacy, organizzazione, reclami o altre funzioni a seconda delle realtà aziendali). In tal modo il DPO potrà svolgere il proprio compito di consultazione e di controllo. Ovviamente senza tralasciare le flessibilità del caso (ad esempio se un interessato dovesse indirizzare al DPO la richiesta sarà questi ad inviarla alla funzione aziendale competente comunicandolo all’interessato stesso).

L’attività invece potrebbe essere affidata al DPO:

  • nelle realtà (ente/organismo/azienda) che ricevono poche richieste di esercizio di diritti qualora il DPO sia debitamente supportato dalle strutture interne;
  • nelle grandi aziende con strutture complesse che hanno individuato internamente un DPO completamente dedicato alle questioni relative alla privacy e supportato da idoneo staff.

In questi casi i controlli di conformità relativamente all’attività di gestione delle richieste degli interessati andranno attribuiti alla funzione audit che periodicamente verificherà la corretta gestione delle richieste stesse da parte del DPO ed andranno opportunamente gestite le eventuali divergenze tra titolare e DPO – che deve avere la sua autonomia – in ordine alle valutazioni delle informazioni da fornire ai richiedenti.

NOTE

  1. Sul punto si veda il provvedimento correttivo e sanzionatorio nei confronti di TIM S.p.A. del 15 gennaio 2020, nonché i provvedimenti correttivi e sanzionatori nei confronti di Eni Gas e luce S.p.A. dell’11 dicembre 2019.
  2. In particolare, l’art 13 del previgente Codice Privacy prevedeva che “quando è stato designato un responsabile per il riscontro all’interessato in caso di esercizio dei diritti di cui all’art. 7 è indicato tale responsabile”.
  3. Linee guida sui responsabili della protezione dei dati adottate il 13 dicembre 2016 e modificate il 5 aprile 2017.
  4. Art. 38.6 “Il Responsabile della Protezione dei dati può svolgere altri compiti e funzioni. Il Titolare del trattamento o il Responsabile si assicura che tali compiti e funzioni non diano adito a un conflitto di interessi”.
  5. Elaborato nell’ambito del programma “T4Data” da Douwe Korff e Marie Georges con il contributo del Garante italiano, luglio 2019, pubblicato sul sito dell’Autorità.

@RIPRODUZIONE RISERVATA

Articolo 1 di 4