Nella teoria generale del diritto non si rinviene una definizione, a differenza di altre figure professionali, della natura giuridica del Data Protection Officer (DPO). Ai fini di tentarne un possibile inquadramento giuridico, è opportuno prendere in considerazione i seguenti elementi giuridici: definizione, struttura organizzativa e funzioni.
Tali elementi caratterizzano la figura del DPO, secondo la disciplina dettata dal GDPR e dalla legislazione ordinaria rilevante in materia.
Indice degli argomenti
Origini: il BDSG ispirazione del GDPR
I primi ad adottare una legge sulla protezione dei dati personali furono i tedeschi, con il Decreto Federale sulla Protezione dei Dati (c.d. Bundesdatenschutzgesetz o BDSG)[1], modificato nel 1990, e successivamente emendato nel 1994 e nel 1997.
Infatti, molto probabilmente il Federal Data Protection Act della Repubblica federale ha ispirato la Commissione Europea durante la redazione del Regolamento Generale sulla protezione dei dati cosiddetto GDPR, con il quale non a caso vi sono molti punti in comune.
Non è, pertanto, da escludere che la figura professionale del DPO o RPD, creata dal GDPR, sia stata ispirata all’agenzia federale[2] indipendente responsabile della sorveglianza dell’applicazione del Decreto Federale sulla Protezione dei Dati (BDSG) e del Decreto Federale sulla Libertà di Informazione.
Le norme sopracitate rappresentano un’evoluzione dalla concezione originaria della protezione dei dati, imperniata sulla disciplina del diritto di proprietà (che definiva il dato come qualcosa di materiale), ad una visione di tutela alla riservatezza nella sua più ampia accezione possibile, cioè come quell’insieme di informazioni che consentono di indentificare un individuo specifico.
In merito, il Tribunale Costituzionale federale tedesco, in una famosa sentenza del 1983[3], fornisce una definizione del principio dell’autodeterminazione informativa, coniugando le due libertà fondamentali dello sviluppo della personalità e dell’intangibilità della dignità umana, definendo tale autodeterminazione come il diritto dell’interessato a decidere in prima persona sulla cessione, l’uso e, più in generale, in merito a qualsiasi vicenda relativa ai dati che lo riguardano.
DPO, la definizione del ruolo
Il ruolo del “Responsabile della Protezione dei Dati” – RPD è stato formalmente definito dall’Unione europea nella sezione 4 del GDPR, secondo cui il responsabile della protezione dei dati personali, anche conosciuto con la dizione in lingua inglese Data Protection Officer – DPO, è una figura prevista dall’art. 37 del Regolamento (UE) 2016/679.
Si tratta di un soggetto designato dal titolare o dal responsabile del trattamento per assolvere a funzioni di supporto e controllo, consultive, formative e informative relativamente all’applicazione del Regolamento medesimo.
Il suo nominativo deve essere comunicato al Garante, in quanto coopera con l’Autorità e costituisce il punto di contatto, anche rispetto agli interessati, per le questioni connesse al trattamento dei dati personali (artt. 38 e 39 del Regolamento).
Sono tenuti alla designazione del responsabile della protezione dei dati personali il titolare e il responsabile del trattamento tutte le autorità pubbliche e tutti coloro che rientrino nei casi previsti dall’art. 37, par. 1, lett. a), b) e c), del Regolamento (UE) 2016/679.
Si tratta di soggetti le cui principali attività (in primis, le attività c.d. di “core business“) consistono in trattamenti che richiedono il monitoraggio regolare e sistematico degli interessati su larga scala[4] o in trattamenti su larga scala di categorie particolari di dati personali o di dati relative a condanne penali e a reati. Il diritto dell’Unione o degli Stati membri può prevedere ulteriori casi di designazione obbligatoria del responsabile della protezione dei dati (art. 37, par. 4).
Il comma 5 dell’art. 30 del Regolamento esonera dagli adempimenti appena accennati le piccole e medie imprese (quelle dunque con meno di 250 dipendenti), a meno che, però, “…il trattamento che esse effettuano possa presentare un rischio per i diritti e le libertà dell’interessato, il trattamento non sia occasionale o includa il trattamento di categorie particolari di dati (sensibili)…o i dati personali relativi a condanne penali…”.
Il concetto di larga scala è un concetto di tipo “economico” che, utilizzato in ambito giuridico, comporta non poche complicazioni, cosicché chi scrive è dell’idea che sia preferibile dare un’interpretazione specifica del concetto di larga scala, e verificare come questo concetto economico si rapporta con il GDPR.
Nello specifico, il termine “scala” deriva dall’inglese “scale”, ovvero “dimensione”, mentre “larga” deriva da “large”, ovvero “vasta” e in un contesto economico fa riferimento ad un meccanismo che consente di stabilire in determinate situazioni se applicare o meno una determinata condizione o azione; se si rapporta tale concetto nel nostro contesto giuridico di riferimento, e alla luce del GDPR, esso consente di far corrispondere a determinate situazioni “quantitative” e “qualitative”, a cui fanno riferimento i diritti degli interessati, l’obbligo o meno della nomina del DPO.
Il concetto di larga scala indica, di fatto, il rapporto che viene a crearsi tra la crescita di una scala di diritti da tutelare e la necessità di dover garantire la tutela di tali diritti in un determinato contesto.
Parliamo di qualcosa che si viene a determinare parallelamente all’aumento dei diritti degli interessati coinvolti, e anche alla qualità dei diritti trattati. Pertanto, sarebbe opportuno attribuire alla definizione di “larga scala” un’interpretazione “estensiva”, con la conseguenza di estendere gli obblighi previsti dal Regolamento UE n. 679/2016, anche a quelle realtà borderline, che pur di dimensioni piccole e modeste trattano dati particolarmente meritevoli di tutela, come ad esempio le Case di Cura, che anche se di piccole dimensioni dovrebbero nominare un DPO e monitorare e proteggere adeguatamente i dati dei propri pazienti.
L’interpretazione proposta risulterebbe anche utile estensivamente la nozione “larga scala” sia utile e funzionale a focalizzare l’attenzione sulla “qualità” del dato più che sulla “quantità”, che rappresenta il modo attraverso il quale perseguire e realizzare concretamente le intenzioni e gli obbiettivi del GDPR, ovvero garantire la “tutela del dato”, che diventa possibile grazie alla nuova figura del DPO, a condizione che possa operare indipendentemente.
Non a caso, infatti, il ruolo e la peculiare funzione del Responsabile della protezione dei dati, che assicura la corretta ed incondizionata applicazione del Regolamento, entra spesso in conflitto con altri ruoli che si occupano di proteggere i dati e allo stesso tempo li elaborano e sfruttano per finalità di Business.
Profilo del responsabile della protezione dei dati
La figura del Data Protection Officer è diventata di nevralgica importanza nella realtà Pubbliche e Private, in quanto non riveste semplicemente il ruolo di «tecnico» del diritto, ma assume necessariamente un peso determinante nei processi decisionali dell’Ente o dell’Azienda in cui opera, divenendone un indispensabile supporto tecnico-giuridico; potrebbe essere definito come il “supervisor” dell’evoluzione digitale connotato da competenze legali e scientifiche.
In merito, si è espresso il TAR per il Friuli-Venezia Giulia, Sezione Prima, Sentenza 13 settembre 2018, n. 287, che ha definito il profilo del DPO prevalentemente giuridico, ritenuto maggiormente idoneo per espletare i compiti previsti dal GDPR.
Il TAR è arrivato a queste conclusioni in quanto in materia di tutela dei dati personali e della riservatezza la minuziosa conoscenza e l’applicazione della disciplina di settore restano, indipendentemente dal possesso o meno della certificazione ISO/IEC/27001[5], il nucleo essenziale ed irriducibile della figura professionale del DPO il cui profilo, non può che qualificarsi come eminentemente giuridico.
DPO interno o esterno
Occorre sottolineare che è di fondamentale importanza assicurare al Responsabile della Protezione dei Dati assoluta autonomia ed indipendenza (così come garantito dall’art. 38 del Regolamento) nello svolgimento delle proprie mansioni, attraverso le quali potrà applicare le proprie competenze sia giuridiche sia informatiche, di capacità di analisi dei processi e di risk management, che consentiranno di applicare la normativa vigente in modo incondizionato.
Tuttavia, secondo una recente sentenza del Tar Lecce n. 1468/2019, il DPO dovrebbe essere un dipendente. Chi scrive non condivide però tale opinione, in quanto si basa unicamente su quanto affermato dalle “linee guida”: “… appartenente alla persona giuridica”, non prendendo minimamente in considerazione gli articoli 37 e ss. del GDPR, che in merito affermano (art. 37, par. 6) che il “ responsabile della protezione dati può essere un dipendente del titolare del trattamento o del responsabile del trattamento oppure assolvere il suo compito in base ad un contratto di servizi”.
La scrivente osserva inoltre che il Tar Lecce fonda la sua pronuncia non su Leggi o Regolamenti, ma esclusivamente sulle Linee Guida, che nella sentenza sono elevate ad “interpretazione autentica” della normativa europea. Occorre puntualizzare che però le Linee Guida sono prive di valenza precettiva, e che quindi non sono norme imperative, e che comunque anch’esse non sembrano “imporre” un rapporto di dipendenza.
Per tali ragioni, a parere di chi scrive, è preferibile che il DPO sia un soggetto esterno all’ente pubblico o privato, presso cui dovrà avere un ruolo attivo sia nell’esecuzione e monitoraggio del piano di adeguamento e sia nel modello di funzionamento a regime. Inoltre, a seconda della realtà e del contesto di riferimento, si potrebbe optare non per un unico DPO, ma per un vero e proprio “Organismo Privacy” (composto da esperti professionisti nel settore giuridico, informatico, manageriale, che possa supportare al meglio il titolare ed il responsabile del trattamento nello svolgimento degli adempimenti richiesti dalla normativa comunitaria), con funzioni di controllo e propositive, che consenta di poter meglio affrontare le problematiche che l’applicazione della normativa comporta, e che persegua la realizzazione dei seguenti obiettivi:
- formazione della “cultura del rispetto della riservatezza altrui” all’interno dell’Azienda o dell’Ente;
- fornitura di tutti gli strumenti adeguati a consentire il corretto svolgimento di tutte le fasi del trattamento dati;
- aggiornamento continuo delle misure tecniche ed organizzative (ex art. 32 GDPR) adottate per la salvaguardia dei dati personali;
- costante verifica della concreta applicazione di tali misure;
- aggiornamento del Registro dei Trattamenti, ex art.30 GDPR;
- gestione della procedura di “Data Breach”, ogni qualvolta si verifichi una violazione di sicurezza che comporti – accidentalmente o in modo illecito – la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati.
Funzioni
Il Responsabile della protezione dei dati deve possedere una conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati nonché la capacità di svolgere le seguenti funzioni, ex art. 39 GDPR:
- sorvegliare l’osservanza del presente regolamento, di altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati nonché delle politiche del titolare del trattamento o del responsabile del trattamento in materia di protezione dei dati personali, compresi l’attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo. In particolare, il DPO deve informare e fornire consulenza al titolare del trattamento o al responsabile del trattamento nonché ai dipendenti che eseguono il trattamento; indicare al Titolare e/o al Responsabile le aree funzionali alle quali riservare un audit interno o esterno in tema di protezione dei dati, sensibilizzare attraverso le attività di formazione interna per tutto il personale che tratta dati personali, e su quali trattamenti dedicare maggiore attenzione.
A mio avviso grazie alle attività di formazione è possibile trasmettere ciò che realmente manca, cioè una vera e propria “cultura privacy”, volta esplicitamente alla tutela della dignità, dei diritti e delle libertà fondamentali della persona, che può essere ricostruita a partire dalle origini del diritto alla riservatezza.[6]
- sorvegliare l’osservanza del GDPR e delle altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati nonché delle politiche del titolare del trattamento o del responsabile del trattamento in materia di protezione dei dati personali, compresi l’attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo.
Queste funzioni si traducono nelle seguenti attività:
- raccolta di informazioni per individuare i trattamenti svolti;
- verificare che ogni trattamento di dati personali avvenga nel rispetto dei principi fissati all’articolo 5 del Regolamento (UE) 2016/679[7];
- individuare le tipologie di trattamenti, soggetti al meccanismo di coerenza, da sottoporre a valutazione d’impatto[8];
- analisi dei rischi e Valutazione di impatto Privacy;
- attività di informazione, consulenza e indirizzo nei confronti del Titolare e del Responsabile del trattamento analizzato.
Ulteriori funzioni del DPO sono:
- sorvegliare sulle attribuzioni delle responsabilità, sulle attività di sensibilizzazione, formazione e controllo attuate dal Titolare e dal Responsabile del trattamento;
- fornire, se richiesto, un parere in merito alla valutazione d’impatto sulla protezione dei dati e sorvegliarne lo svolgimento ai sensi dell’articolo 35;
- cooperare con il Garante per la protezione dei dati personali e fungere da punto di contatto per detta Autorità.
Nell’eseguire i propri compiti il responsabile della protezione dei dati considera debitamente i rischi inerenti al trattamento, tenuto conto della natura, dell’ambito di applicazione, del contesto e delle finalità del medesimo. Pertanto, dall’art. 39 GDPR si evince chiaramente che il compito principale del Data Protection Officer consiste nell’osservare, valutare e organizzare la gestione del trattamento di dati personali e la loro protezione all’interno della realtà in cui opera, sia essa pubblica o privata.
Nomina formale o sostanziale del DPO
In base all’articolo 37, paragrafo 7, del Regolamento occorre che i soggetti pubblici e privati comunichino al Garante per la protezione dei dati personali il nominativo del Responsabile della Protezione dei dati, se designato. Questa disposizione mira a garantire che le autorità di controllo possano contattare il Responsabile della Protezione dei Dati in modo facile e diretto, come chiarito nelle Linee guida sui Responsabili della Protezione dei Dati (RPD) adottate dal Gruppo Articolo 29 (WP243 rev. 01 – punto 2.6).
Il Responsabile della Protezione dei Dati in base all’articolo 39, paragrafo 1, lettera e) del Regolamento funge da punto di contatto fra il singolo ente o azienda e il Garante; sul sito www.garanteprivacy.it è disponibile una procedura online per la comunicazione, variazione e revoca del nominativo.
La maggior parte dei soggetti, sia pubblici che privati, ha nominato il proprio DPO così come previsto dalla normativa, designando un soggetto interno alla propria organizzazione, mentre altri hanno preferito designare un soggetto esterno.
Al fine di stabilire se sia o meno possibile nella propria organizzazione nominare un soggetto interno all’organizzazione di riferimento occorre effettuare preliminarmente una dettagliata valutazione circa la possibilità o meno del verificarsi un conflitto di interessi. Se dall’analisi preliminare dovesse infatti emergere la possibilità di un conflitto di interessi, la comunicazione al Garante dei dati di contatto del soggetto designato Responsabile della Protezione dei Dati risulterebbe priva di efficacia e soprattutto in contrasto con i principi del Regolamento.
Il Titolare del Trattamento dei Dati deve poter essere in grado di dimostrare l’assenza di conflitto di interessi, provando di aver predisposto il soggetto nominato RPD in una condizione neutrale che si traduce in ampia autonomia e indipendenza nell’espletamento dei propri compiti (con rapporti diretti con i vertici aziendali); e nel suo inquadramento al vertice o nei pressi del vertice dell’organizzazione.
Pertanto, chi scrive ritiene che tale condizione neutrale sia compromessa in tutti i casi in cui il Titolare del trattamento nomina DPO o RPD uno dei propri manager ( come ad esempio: l’amministratore delegato, il direttore operativo, il responsabile IT etc.) il quale proprio per la funzione che svolge, influenza concretamente la gestione del trattamento dei dati, ed inoltre contribuisce a determinare le finalità e le modalità del trattamento dei dati personali, in quanto li tratta con regolarità e frequenza.
Dunque, a parere di chi scrive, si rischierebbe di incorrere in una nomina meramente formale, che potrebbe diventare sostanziale solo e soltanto a fronte di una ridefinizione concreta e sostanziale del ruolo originario del manager nominato DPO, che consisterebbe nello svolgere all’interno dell’organizzazione un ruolo differente da quello originario, diventato incompatibile.
DPO e ambiente di lavoro
La nascita della nuova figura del DPO, la cui nomina deve avvenire secondo le modalità previste dal Garante (articolo 37, paragrafo 7)[9], si è dimostrata un interessante spunto di riflessione sotto diversi profili giuridici, tecnici e socioculturali.
Anche ora non si ha una normativa organica della figura del Data Protection Officer, e pertanto per gestirla ed inquadrarla è opportuno ricorrere alle categorie giuridiche attualmente previste dal nostro ordinamento, facendo in particolare rifermento alle norme giuslavoristiche, che consentono di regolare le funzioni del DPO attraverso la stipula di un contratto, che rispecchi le caratteristiche concrete con cui si realizzerà il rapporto tra lo stesso ed il Titolare del Trattamento.
In primo luogo, occorre specificare se il DPO sia o non sia un lavoratore autonomo alla luce delle funzioni previste dal GDPR.
In merito, il Tar di Lecce avrebbe potuto sviluppare le proprie argomentazioni focalizzandosi non solo esclusivamente sulle Linee Guida, ma soprattutto sfruttando le norme del Regolamento (artt. 37 e ss. del GDPR). In particolare, ai sensi dell’art. 37, par. 6) il “responsabile della protezione dati può essere un dipendente del titolare del trattamento o del responsabile del trattamento oppure assolvere il suo compito in base ad un contratto di servizi”.
Per comprendere, quindi, quale sia la vera natura della prestazione lavorativa in esame è necessario partire dalla distinzione eziologica tra lavoro subordinato e lavoro autonomo. Il nostro diritto positivo prevede due distinte figure di prestatore di lavoro: l’art. 2094 c.c. definisce il “prestatore di lavoro subordinato” e l’art. 2222 c.c. disciplina il lavoro autonomo. A parere di chi scrive, le modalità di inserimento di questa nuova figura professionale in un modo piuttosto che in un altro nell’organizzazione di riferimento (sia essa pubblica o privata) comporterebbe conseguenze differenti e condurrebbe anche a risultati diversi che potrebbero non essere in linea con quanto auspicato dal GDPR.
Ed invero, basti pensare ai riflessi che si potrebbero verificare se si sceglie di adottare:
- il rapporto di lavoro subordinato, perché si applicherebbe la tutela giuslavorista prevista dal codice civile, dalle leggi speciali e dai contratti collettivi di lavoro;
- il rapporto di lavoro autonomo, che soggiace invece alla disciplina del contratto d’opera, se ha carattere personale, ovvero alla disciplina sull’impresa, nel caso in cui rivesta carattere imprenditoriale.
Orbene, occorre tener presente che il tipo di contratto “ideale” per la figura del Data Protection Officer deve potergli consentire di eseguire tutte le funzioni attribuite alla sua figura e di implementare gli elementi essenziali del Regolamento, (come ad esempio i principi di trattamento dei dati, i diritti degli interessati, la protezione dei dati fin dalla progettazione e per default, la registrazione delle attività, la sicurezza dei trattamenti, la notifica e la comunicazione propria del data breach), e pertanto dovrebbe contenere gli elementi essenziali che caratterizzano i contratti sia di lavoro autonomo che subordinato.
Infatti, se tanto il contratto di lavoro autonomo quanto quello subordinato sono contratti sinallagmatici, ponendosi le prestazioni in termini di corrispettività (scambio lavoro – compenso), tuttavia, nel contratto di lavoro subordinato vi è un peculiare elemento, costituito dall’inseriment nell’organizzazione, del datore di lavoro che manca nel contratto di lavoro autonomo.
La teoria delle obbligazioni
A sostegno di quanto espresso, si rileva che anche se si prende in considerazione la teoria generale sulle obbligazioni, non è possibile distinguere il rapporto di lavoro subordinato da quello autonomo a seconda del tipo di obbligazione che lo caratterizza. La teoria richiamata distingue le obbligazioni in:
- Obbligazioni di mezzo: secondo cui il debitore è tenuto a svolgere una specifica attività a prescindere dal conseguimento o meno di un risultato, che comporterà l’inadempimento del debitore a prescindere dalla prova del comportamento diligente di quest’ultimo.
- Obbligazioni di risultato: secondo cui il debitore è obbligato a compiere un’attività e da ciò ottenere un certo risultato (cfr. Mengoni), e il mancato raggiungimento del risultato non determina inadempimento (v. Cass. 26 febbraio 2003, n. 2836).
Per le prime l’inadempimento (o l’inesatto adempimento) consiste nell’aver tenuto un comportamento non conforme alla diligenza richiesta, mentre per le altre il mancato raggiungimento del risultato può costituire danno consequenziale alla non diligente prestazione o alla colpevole omissione dell’attività. Trattandosi di obbligazioni inerenti all’esercizio di attività professionali la diligenza nell’adempimento deve valutarsi, a norma dell’art. 1176 c.c., comma 2, con riguardo alla natura dell’attività esercitata. Le obbligazioni di mezzo dovrebbero essere riferibili ai rapporti di lavoro autonomi, come, per la professione del Data Protection Officer, mentre le obbligazioni di risultato in generale dovrebbero caratterizzare i rapporti di lavoro subordinato.
Gli indici di subordinazione
Dunque, a parere di chi scrive, occorre prendere in considerazione anche gli indici di subordinazione dettati dalla Giurisprudenza, che consentono di analizzare i caratteri essenziali che caratterizzano il rapporto di lavoro analizzato. Gli indici individuati dalla Cassazione sono di seguito elencati:
- retribuzione fissa mensile in relazione sinallagmatica con la prestazione lavorativa
- orario di lavoro fisso e continuativo
- continuità della prestazione in funzione di collegamento tecnico organizzativo e produttivo con le esigenze aziendali
- vincolo di soggezione personale del lavoratore al potere organizzativo, direttivo e disciplinare del datore di lavoro, con conseguente limitazione della sua autonomia
- l’inserimento nell’organizzazione aziendale
Attraverso tali indici è possibile realizzare una vera e propria indagine sulla sussistenza o meno del rischio aziendale: se tale requisito non è presente, ciò determina un chiaro indizio della mancanza di ogni reale autonomia del prestatore. La Suprema Corte, con sentenza n. 7024 dell’8 aprile 2015, ha riconfermato che gli indici di subordinazione (sopra elencati) devono essere presi in considerazione per qualificare il rapporto di lavoro; e ha specificato che, al di là del nomen juris indicato dalle parti nel contratto, si deve dare prevalenza al dato fattuale delle concrete modalità di svolgimento del rapporto di lavoro esaminato.
Conclusioni
Attualmente, risulta arduo dare una esatta e precisa definizione della natura del Data Protection Officer, sia perché è un ruolo che per sua natura è destinato ad evolversi, tanto dal punto di vista giuridico, quanto da quello tecnico; e sia perché il concreto ed effettivo operato del professionista sarà determinato dalle specifiche modalità con cui verrà inserito nell’organizzazione, sia essa pubblica o privata. L’ente pubblico o privato, in qualità di Titolare del Trattamento definirà contrattualmente il rapporto con il professionista, che dovrà il più possibile essere messo nelle condizioni di operare e applicare i principi previsti dal Regolamento 679/2016, lex generalis relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché’ alla libera circolazione di tali dati, integrato con il Regolamento E-Privacy, lex specialis, che dovrà sostituire la Direttiva ePrivacy 2002/58/CE in tema di protezione dati nelle comunicazioni elettroniche.
A parere di chi scrive è opportuno e doveroso sottolineare che il Data Protection Officer deve avere la possibilità di espletare le sue funzioni con le modalità previste dal GDPR, per evitare il rischio di una mera nomina formale vuota e priva del potere concreto di poter dare attuazione ai principi del Regolamento, e dunque senza proteggere effettivamente il trattamento dei dati personali.
Note
[1] Il BDSG si occupa di tutelare e proteggere il diritto alla “riservatezza” in relazione al trattamento dei dati personali e comprende tutte le operazioni di raccolta, trattamento ed utilizzo dei dati personali con modalità automatizzate o manuali da parte delle autorità federali, delle amministrazioni regionali e degli organismi privati, per finalità commerciali o professionali. Tra le norme principali contenute nel BDSG si citano quelle relative al trasferimento dei dati personali all’estero, alla videosorveglianza, al direct-marketing, alle comunicazioni in forma anonima e con l’utilizzo di pseudonimi, alle smart cards, alla raccolta e conservazione dei dati personali di natura sensibile.
[2] Il Commissario Federale per la Protezione dei Dati e per la Libertà di Informazione (Bundesbeauftragter für den Datenschutz, o BFDI) è un’agenzia federale indipendente responsabile della sorveglianza dell’applicazione del Decreto Federale sulla Protezione dei Dati (BDSG) e del Decreto Federale sulla Libertà di Informazione. Il BFDI coordina e monitora le attività degli enti pubblici della Federazione in relazione alle disposizioni del BDSG, gestisce il registro federale dei dati personali, esamina i reclami e le segnalazioni degli interessati, fornisce raccomandazioni al Parlamento e agli organi governativi, e pubblica una relazione biennale sull’attività svolta e sullo stato di attuazione della Legge.
[3] Il celebre Volkszählungsurteil, Bundesverfassungsgericht 15-12-1983, 1 BvR 209/83. Il Tribunale individuava nel trattamento di dati a mezzo di procedure automatizzate un pericolo per i diritti fondamentali. Dal punto di vista costituzionale, il Tribunale fondò la propria decisione sul rispetto di due libertà fondamentali garantite dal Grundgesetz (GG), il diritto al libero sviluppo della propria personalità (allgemeines Persönlichkeitsrecht) ex art. 2, Abs. 1 e l’intangibilità della dignità dell’uomo (Menschenwürde), ex art. 1, Abs. 1.
[4] v. le “Linee guida sui responsabili della protezione dei dati” del 5 aprile 2017, WP 243
[5] Nel caso in esame, il candidato laureato in giurisprudenza era stato escluso dalla procedura di selezione pubblica in quanto non in possesso della certificazione Auditor/Lead Auditor per i Sistemi di Gestione per la Sicurezza delle Informazioni secondo la norma ISO/IEC/27001, indicata in via alternativa dal bando.
[6] La tutela alla riservatezza viene sancita solennemente dall’art. 12 della Dichiarazione Universale dei Diritti dell’Uomo, che vieta “l’arbitraria interferenza con la riservatezza”.
[7] Si indicano brevemente i principi ex art 5 GDPR:
- liceità, correttezza e trasparenza del trattamento, nei confronti dell’interessato;
- limitazione della finalità del trattamento, compreso l’obbligo di assicurare che eventuali trattamenti successivi non siano incompatibili con le finalità della raccolta dei dati;
- minimizzazione dei dati: ossia, i dati devono essere adeguati pertinenti e limitati a quanto necessario rispetto alle finalità del trattamento;
- esattezza e aggiornamento dei dati, compresa la tempestiva cancellazione dei dati che risultino inesatti rispetto alle finalità del trattamento;
- limitazione della conservazione: ossia, è necessario provvedere alla conservazione dei dati per un tempo non superiore a quello necessario rispetto agli scopi per i quali è stato effettuato il trattamento;
- integrità e riservatezza: occorre garantire la sicurezza adeguata dei dati personali oggetto del trattamento.
[8] ALLEGATO 1 AL PROVVEDIMENTO N. 467 DELL’11 OTTOBRE 2018 [doc. web n. 9058979]. Pubblicato sulla Gazzetta Ufficiale n. 269 del 19 novembre 2018.
[9] Si veda: Responsabile della protezione dei dati (RPD) Scheda informativa/ Doc-Web:6383594.