Se il data protection officer è inadeguato il titolare del trattamento viene sanzionato
L’autorità lussemburghese ha recentemente indicato che, per realtà di trattamento dati complesse, un DPO adeguato dovrebbe avere almeno tre anni di esperienza professionale. L’indicazione è stata resa nell’ambito di una attività ispettiva, in seguito alla quale una società lussemburghese veniva sanzionata dal Garante Privacy nazionale (CNPD) per aver nominato un DPO inadeguato.
(Nella foto: l'Avv. Domenico Battaglia, membro del Gruppo di Lavoro per la tutela della privacy nella gestione del personale)
Da tempo l’organo granducale ha dato luogo ad una serie di audit, uno dei quali relativo a come assicurarsi che un DPO avesse competenze e capacità sufficienti per svolgere a pieno i propri compiti. Esaminata l’attività della società, il Garante lussemburghese ne riscontrava una serie di inadempimenti; tra gli altri puntava il dito sull’inadeguata capacità professionale del DPO. Esso affermava, al punto 28, che il responsabile delle indagini si aspetta che il DPO abbia almeno tre anni di esperienza professionale nel campo dei dati protezione”.
Nel motivare la propria decisione, con cui ha comminato una sanzione amministrativa di € 18.000, l’Autorità la fondava su tre richiami. Il primo è, naturalmente, l’art. 37 par. 5 GDPR, il quale prevede che “il responsabile della protezione dei dati è designato in funzione delle qualità professionali, in particolare della conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati, e della capacità di assolvere i compiti di cui all’articolo 39”. L’articolo 39, come è noto, riassume a grandi linee i compiti del responsabile della protezione dei dati.
Il secondo richiamo è il considerando 97 dello stesso GDPR, secondo cui “il titolare del trattamento o il responsabile del trattamento dovrebbe essere assistito da una persona che abbia una conoscenza specialistica della normativa e delle pratiche in materia di protezione dei dati nel controllo del rispetto a livello interno del presente regolamento […]. Il livello necessario di conoscenza specialistica dovrebbe essere determinato in particolare in base ai trattamenti di dati effettuati e alla protezione richiesta per i dati personali trattati dal titolare del trattamento o dal responsabile del trattamento”.
Infine, la decisione fa riferimento alle linee guida redatte dal WP29, che nella versione italiana (consultabile al della Commissione Europea), al punto 2.5. (Conoscenze e competenze del RPD) riporta tre ambiti cui il DPO deve sottostare: capacità specialistiche, qualità professionali e capacità di assolvere i propri compiti. In relazione al primo ambito, capacità professionali, il Gruppo di Lavoro però non definiva l’ambito temporale in cui ricade il concetto di “specialità” ma indicava che “il livello di conoscenza specialistica richiesto non trova una definizione tassativa; piuttosto, deve essere proporzionato alla sensibilità, complessità e quantità dei dati sottoposti a trattamento”. Sul secondo, il WP29 fa un generico riferimento alla conoscenza della normativa e alla formazione adeguata e continua. Sul terzo campo, ovvero la capacità di assolvere i propri compiti, sottolinea il piano etico sul quale si deve muovere il DPO, specificando invero il fondamento di tale capacità sia “quanto è legato alle qualità personali e alle conoscenze del RPD, sia quanto dipende dalla posizione del RPD all’interno dell’azienda o dell’organismo”.
Ad un esame obiettivo di tali fonti, quindi, permane un dubbio sulla determinazione del lasso temporale triennale come spartiacque tra un DPO “semplice” e un DPO “qualificato”.
D’altra parte, senza nascondersi dietro un’argomentazione, risulta pienamente condivisibile l’assunto di partenza: un DPO, e soprattutto un DPO al servizio di strutture ampie e complesse, deve pienamente soddisfare un elevato standard di capacità e competenza, dato il notevole carico di responsabilità che deve sopportare.
Proprio giovedì scorso, nell’ambito del seminario di presentazione del Corso di alta formazione "Privacy e gestione del personale" è stato menzionato quanto sia necessario che il DPO sia provato in quanto ad idoneità. Il principio, peraltro, va sicuramente applicato analogicamente a coloro i quali, tra gli autorizzati vengano designati per specifici compiti (articolo 2quaterdecies Codice Privacy).
È, dunque, perentorio raccogliere l’indicazione giunta dall’autorità lussemburghese. Non solo per il riferimento temporale, certo indicativo ma non tassativo bensì quanto ai DPO perché continuino a curare la propria competenza specialistica ed ai titolari del trattamento affinché, in modo oculato, scelgano accortamente tale figura. [Per farlo seguendo le indicazioni anche normative sopra appena menzionate, già in fase di individuazione della persona che andrà a ricoprire tale figura, dovranno vagliare – dandone prova documentata – anche le esperienze maturate e le conoscenze acquisite. Solo così potranno poi dimostrare di aver individuato un DPO sufficientemente qualificato per la propria realtà di trattamento].