Dpo su un campo minato: sono almeno 20 i possibili casi di violazioni
Squarciato il velo sui Dpo. Il Gdpr in materia di Responsabile della protezione dei dati è un campo minato. Pieno di insidie. E gli interventi punitivi, seppure limitati a qualche unità, fanno scorgere tempeste all’orizzonte. Non è tanto il tabellino delle sanzioni già elevate che preoccupa, quanto la possibilità, illimitata, di sanzionare qualsiasi titolare o responsabile del trattamento per fatti od omissioni riguardanti il Data Protection Officer.
(Nella foto: Antonio Ciccia Messima, avvocato esperto di protezione dati e presidente di Persone & Privacy)
Dpo, il quale, a sua volta, non può, certo, dormire tra due guanciali. Tutto da scoprire è l’effetto che farà un articolo 5, non quello famigerato (per le ricadute sanzionatorie) del Gdpr, ma l’articolo 5 della legge 689/1981, applicabile in quanto compatibile agli illeciti del Regolamento UE e del Codice della Privacy. È l’articolo, chiariamolo subito, sul “concorso di persone”, che fa soggiacere alla stessa sanzione tutte le persone che “concorrono in una violazione amministrativa”.
Sanzioni elevate - I provvedimenti sanzionatori, per omessa nomina del Dpo, fino ad oggi resi noti, sono tre.
Uno è del Garante spagnolo, cha ha inflitto una sanzione di 25 mila euro a una società specializzata in consegne a domicilio per la mancata nomina del Dpo. Un’altra è del Garante tedesco a carico di un fornitore di telecomunicazioni locale per l’ammontare di 10 mila euro (determinata in considerazione della natura del titolare quale microimpresa).
Il terzo ha visto protagonista il Garante austriaco con una sanzione di 50 mila euro irrogata ad una società della sanità privata.
Elenco dei rischi - Come si è detto, non è tanto quanto (poco, di fatto, stando ai numeri) è successo nei mesi trascorso. Il discorso è la verifica dei possibili rischi, a partire da un dato incontrovertibile e cioè quante sono le condotte, la cui violazione, fattiva od omissiva, espone alla sanzione amministrativa dell’articolo 83, par. 4, lett. a) Gdpr (fascia dei 10 milioni o del 2% del fatturato).
Il conto è presto fatto. Ci sono almeno venti possibili occasioni di violazione. Senza dimenticare che un titolare/responsabile possono anche macchiarsi di più violazioni contemporaneamente, con un possibile effetto in aumento dell’importo della sanzione (fermo restando il meccanismo del cumulo giuridico).
Questo è l’elenco:
1) omessa designazione del Dpo;
2) nomina di Dpo non facilmente raggiungibile;
3) nomina di Dpo privo dei requisiti (qualità professionali, conoscenza specialistica della normativa e delle prassi, capacità di assolvere i compiti);
4) omessa sottoscrizione di un contratto di servizi;
5) omessa pubblicazione dei dati di contatto del Dpo;
6) omessa comunicazione dei dati di contatto del Dpo al Garante;
7) omesso coinvolgimento del Dpo;
8) coinvolgimento tardivo del Dpo;
9) coinvolgimento inadeguato del Dpo;
10) omessa fornitura al Dpo delle risorse necessarie per assolvimento compiti;
11) omesso sostegno al Dpo delle risorse necessarie per accedere ai dati personali e ai trattamenti;
12) omesso sostegno al Dpo delle risorse necessarie per mantenere le conoscenze specialistiche;
13) fornitura di istruzioni per l’assolvimento dei compiti;
14) rimozione del Dpo a seguito di assolvimento dei propri compiti;
15) penalizzazione del Dpo a seguito di assolvimento dei propri compiti;
16) ostruzionismo rispetto alla relazione con il vertice gerarchico del titolare/responsabile;
17) ostruzionismo rispetto al contatto diretto con gli interessati;
18) nomina di Dpo in conflitto di interessi;
19) attribuzione indebita al Dpo di compiti ulteriori;
20) omessa consultazione del Dpo in caso di data protection impact assessment;
Si tratta di violazioni di diversa natura, formale o sostanziale, con un diverso effetto sul piano dei possibili danni per gli interessati.
Non c’è graduazione nella norma incolpatrice, tutto è rimesso all’autorità Garante, che ha una forbice estesissima: da un decimale di euro a 10 milioni di euro. Un potere da far tremare i polsi. Un campanello di allarme per titolari/responsabili, chiamati a un assessment serio su cosa hanno fatto in materia di Dpo.
Una spia che si accende anche per i Dpo già nominati: sono in grado di garantire le prestazioni che il titolare/responsabile si attende?
Concorso di persone - L’articolo 166 del Codice della privacy stabilisce che nell'adozione dei provvedimenti sanzionatori amministrativi si osservano, oltre ad altri, se ed in quanto applicabili, gli articoli da 1 a 9 della legge 689/1981 e tra questi, dunque, anche l’articolo 5 sul concorso di persone (“quando più persone concorrono in una violazione amministrativa, ciascuna di esse soggiace alla sanzione per questa disposta, salvo che sia diversamente stabilito dalla legge”).
Quanto regga la tesi dell’incompatibilità dell’articolo della legge 689/1981 con lo “statuto della privacy” (composto da Gdpr e Codice della privacy), ce lo diranno gli interventi, futuri, di autorità garanti e giudici.
Chiaro, però, che il pericolo (della contestazione a titolo di concorso di persone nell’illecito amministrativo) si amplifica se al Dpo si danno compiti promiscui e spuri. Ci riferiamo ai casi, tanti, in cui al Dpo si danno, impropriamente, compiti di adeguamento dei trattamenti al Gdpr. Inutile far finta di niente, tanto è un segreto di Pulcinella il fatto che, non in pochi casi, ci si avvale del Dpo anche per le attività di stretta competenza del titolare. In questa “zona grigia” l’articolo 5 (legge 689/1981) è uno spettro che aleggia.
Avviso - Infine, un avviso ai lettori. Nel paragrafo dedicato al “concorso di persone” non ho formulato una tesi, ma ho solo proposto un tema di approfondimento. Invito, quindi, chi lo desideri, a partecipare a un dibattito su questi temi, evitando di “assentire” o “dissentire”. Queste condotte dialettiche, spesso polemiche, talvolta sterili esercizi autoreferenziali, sono finalizzate a “concordare” o a “non concordare” rispetto ad una opinione. Non avendo espresso nessuna opinione (né in un senso né in un altro), non ha ragion d’essere nessuna divisione tra parti contrapposte. Il confronto, invece, sarà proficuo e utile se si privilegia un altro approccio e cioè se si daranno argomenti a sostegno dell’una o dell’altra opzione. Dobbiamo, infatti, operare per decodificare il Gdpr e il Codice, per far crescere la cultura della privacy e della protezione dei dati e per dare dignità e rilievo alla figura del Dpo. E tutto ciò nei nostri comportamenti istituzionali, imprenditoriali e professionali. Dobbiamo aiutare noi stessi e le autorità a individuare le soluzioni interpretative e operative più adeguate. Non perdiamo tempo a darci ragione o torto. Piuttosto investiamo tempo ed energie intellettuali per rendere effettiva una normativa molto spesso criptica, talvolta plurivalente, mai semplice, eppure così necessaria e vitale nella complicata società di oggi.