Tra Europa e Italia, tre spunti evolutivi per la figura del Data Protection Officer
A quattro anni dalla entrata in vigore del Regolamento UE 2016/679 (GDPR), un grande percorso è stato fatto con l’impegno di tutti gli attori dell’ecosistema privacy. I legislatori nazionali sono intervenuti con norme collaterali e/o applicative al GDPR, da ultimo in Italia con le innovazioni del Decreto “Capienze” ( D.L. 139 / 2021 convertito nella L. 205/2021) per gli aspetti attinenti alla privacy nel comparto della pubblica amministrazione. e altre potranno e saranno emanate in linea con il carattere in progress della privacy anche in relazione all’innovazione tecnologica e delle forme di business.
Non secondario è stato l’impegno delle associazioni di settore fra cui Federprivacy. Per contribuire a questo impegno, questo intervento si focalizza – a fini propositivi - sulla lettura congiunta delle previsioni sul Data Protection Officer del GDPR (artt. 37 – 39) e dell’analogo (almeno a livello di principi generali) Regolamento UE 2018/1725 per i trattamenti effettuati dalle Istituzioni, organi e organismi dell’Unione (artt. 43 – 45). Ciò nella considerazione che, sebbene tali norme si rivolgono a tipologie di titolari diversi (ma gli organi comunitari costituiscono peraltro una forma di P.A.) comunque sono volte e tutelare la medesima esigenza ovvero la privacy delle persone nello spazio UE e SEE.
Il fatto che si tratti di norme emanate dalle medesime Autorità e la loro sequenza temporale induce a ritenere che, ove aggiuntive o di maggior dettaglio, le previsioni del Regolamento UE 2018/1725 non possano essere inferite anche, in maniera analogica, per il GDPR, specie laddove non vi provvedano Linee guida dell’EDPB (organismo che a con il GDPR ha sostituito il Gruppo dei Garanti WP29).
Su ciò fa leva la proposta dei seguenti possibili interventi evolutivi del Codice Privacy italiano, che potrebbero essere perseguiti anche solo al livello della pubblica amministrazione per corrispondere (un contrappeso a favore della tutela dei diritti degli interessati) alla maggiore autonomia per i titolari-P.A. conseguenti alle previsioni del Decreto “Capienze”. Infatti, atteso che il DPO è una figura terza nel circuito applicativo della privacy, quanto più tale figura è disegnata in maniera articolata, tanto più potrà contribuire a perseguire un baricentro sostenibile fra le diverse esigenze.
Oltre ai due Regolamenti, sono state tenute presenti le Linee guida del WP29 e il Paper dell’EDPB su tale ruolo nonché le linee guida e le Faq del Garante per il DPO.
Poteri di indagine - Rispetto al design dei compiti del DPO previsti del GDPR, nel Regolamento UE 2018/1725 è fra l’altro previsto che egli possa, oltre che formulare raccomandazioni al titolare / responsabile del trattamento, “indagare sulle questioni e sui fatti direttamente collegati con l’esercizio delle sue funzioni” d’iniziativa o a richiesta, oltre che del titolare e del responsabile, “del comitato del personale interessato [su tale comitato cfr punto 3] o di qualsiasi persona”.
Tale previsione conferisce un maggior spessore all’attività che il DPO potrà svolgere, di sorveglianza dell’osservanza del Regolamento europeo in quanto abilitato anche a effettuare “carotaggi” le cui conclusioni potranno essere utili per titolare / responsabile per un vagliare un eventuale fine tuning del proprio assetto privacy (o, nel caso di carenze, operare per superarle) e per gli interessati per una maggior tutela dei propri diritti. Va da sé che, anche in relazione alle risorse su cui il Data Protection Officer può contare, andranno definite norme applicative, da parte di ciascun organismo europeo, per esperire tali indagini ed eventualmente accordi di servizio con altre funzioni di controllo, in primis con la funzione di internal auditing, per la loro conduzione.
Quanto al GDPR, per il DPO non è esplicitata la facoltà di indagare, per cui la sorveglianza sull’osservanza del GDPR – e delle norme nazionali e delle policy del titolare / responsabile – sarà esperibile in funzione delle disposizioni interne di ciascuna organizzazione e del contenuto di eventuali accordi di servizio con le altre funzioni di controllo, che potranno anche prevedere input del DPO per eventuali indagini su aspetti di interesse comune.
Ciò in concreto potrà configurare una soluzione parzialmente analoga a quella del Regolamento europeo, che comunque sarà meno tutelante per l’interessato che potrà contattare il titolare / responsabile del trattamento in ordine ai propri diritti ma senza poter contare sulla disamina e risposta autonoma da parte del Data Protection Officer che, è utile ricordarlo, non tutela direttamente gli interessi dell’ente in cui opera, ma, da terzo qual è, opera per la tutela dei diritti degli interessati e per la compliance dell’ente per il quale agisce al quadro dispositivo della privacy.
Ipotesi evolutiva: “semplicemente” recepire la previsione sul potere di indagine del DPO nel Codice Privacy.
Durata dell’incarico - Il GDPR non prevede una durata specifica per l’incarico specificando comunque che “questi non possa essere rimosso o penalizzato in relazione all’adempimento dei propri compiti”.
Se l’incarico di DPO è assegnato all’esterno dell’organizzazione, pubblica o privata che sia, il relativo contratto di servizi non potrà che definire anche una durata, tenendo anche presente, per incarichi nella pubblica amministrazione, di importo “sottosoglia” comunitaria, il principio di rotazione come prospettato dall’ANAC nella delibera n. 421/2020 “Richiesta di parere in merito all’applicazione del principio di rotazione ai contratti aventi ad oggetto il servizio di protezione dei dati personali (DPO)”. Se l’incarico è assegnato a uno specialista interno, non è detto che la durata venga necessariamente specificata e la cessazione sarà di fatto rimessa all’intesa fra le parti; in mancanza di ciò l’”esonero” potrebbe trovare tutela solo in tribunale.
Il Regolamento UE 2018/1725 prevede che la designazione sia effettuata per un periodo da tre a cinque anni e che la cessazione anticipata (“destituzione”) del DPO possa essere esperita, “se non soddisfa più le condizioni richieste per l’esercizio delle sue funzioni solo con il consenso del Garante europeo”.
Sia le Linee guida che il Paper evidenziano come una durata la più lunga possibile (comunque un quinquennio per il Regolamento UE, anche se non vi è preclusione al rinnovo) costituisca un fattore a supporto dell’indipendenza del DPO.
Ipotesi evolutiva: (almeno) in ambito pubblico, dove il DPO deve essere nominato per default, andrebbe previsto che la nomina debba essere per un periodo di tempo definito e da esplicitare nell’atto di designazione, eventualmente allineato come durata a quello previsto, dallo specifico contratto di settore, per gli incarichi dirigenziali (a prescindere se l’elemento individuato sia in possesso di tale qualifica). Inoltre andrebbe regolamentata la revoca che – salvo accordo fra le parti - dovrebbe prevedere anche il consenso del Garante per la protezione dei dati personali o, in alternativa, di una Commissione da individuare (di cui preferibilmente faccia parte anche una organizzazione di settore - come Federprivacy - individuata dall’interessato).
La previsione di una durata per l’incarico di Data Protection Officer, oltre a evitare all’origine la eventualità di accuse poco gradevoli di accondiscendenza anziché di terzietà per mantenere la carica, eviterebbe frizioni nel caso di avvicendamento e renderebbe contendibile la posizione senza preclusioni per il DPO uscente potrebbe comunque essere confermato. Peraltro, l’ipotesi di un mandato con durata predefinita, agevolerebbe anche un proficuo riutilizzo di una figura con le articolate competenze del DPI - accresciute durante l’incarico per la visione trasversale che può consolidare in tale veste - in altri ambiti organizzativi in ottica di proficuo melting pot e diffusione delle competenze.
Le organizzazioni di rappresentanza del personale - “I diritti e le libertà fondamentali delle persone fisiche, in particolare il diritto alla protezione dei dati personali” sono protetti da entrambi i regolamenti ma in modo “atomistico”. Con una particolare eccezione: il Regolamento UE prevede che il DPO possa essere consultato oltre che dalle figure del sistema organizzativo privacy e dalle persone interessate, anche dal “comitato del personale interessato”, un organismo elettivo rappresentativo degli interessi del personale di istituzioni comunitarie di collegamento permanente con le stesse, che svolge un ruolo (unitario) diverso e solo per alcuni versi parallelo a quello dei diversi sindacati rappresentativi del personale. Come sopra cennato, tale comitato può anche richiedere una indagine del DPO.
Nell’ordinamento italiano, nel comparto pubblico come in quello privato, un comitato della specie non è previsto e, così come in ambito GDPR, non è previsto che il sindacato possa rivolgersi al Data Protection Officer per conto del personale: non è neanche vietato ma il RPD, pur se tenesse conto di eventuali questioni sottoposte dai sindacati, non è tenuto a interagire con gli stessi né competente a trattate questioni di tenore sindacale. Altro discorso è ipotizzare contatti fra un DPO di parte sindacale e quello dell’organizzazione su questioni comuni, essendo comunque entrambi terzi rispetto alla dialettica sindacale in senso stretto. Non è certo precluso alle organizzazioni sindacali rivendicare nei confronti dei titolari e responsabili del trattamento, per conto dei loro rappresentati, il loro coinvolgimento nella definizione dell’assetto privacy interno alle organizzazioni nell’ambito delle relazioni industriali.
Ma potersi interfacciare anche con il DPO, per proporre da parte sindacale una disamina terza di specifiche questioni, dovrebbe costituire un valore aggiunto per tutti atteso che le risultanze potrebbero essere utili per un fine tuning della privacy interna.
Ipotesi evolutiva: in questa sede, prendendo spunto dal ruolo per certi aspetti di stimolo del predetto comitato del personale comunitario, si propone che, nell’ordinamento nazionale, almeno lo spazio di azione previsto per il citato comitato (consultazione del DPO e proposta di indagini) possa essere previsto a favore di ciascuna delle rappresentanze sindacali rappresentative del personale, per il comparto pubblico di pertinenza.
Dal punto di vista di ciascun dipendente ciò sarebbe una tutela maggiore per i propri diritti, potendo contare su una entità intermedia, dotata di una visuale più ampia che quella della singola persona, per chiedere ragguagli sull’applicazione interna del GDPR ed eventualmente promuovere un intervento più incisivo di indagine del DPO.
Esplicitare un tale ruolo per le rappresentanze dei lavoratori, consentirebbe anche loro di poter perseguire tramite il DPO una maggiore trasparenza / conoscibilità “sulle questioni e sui fatti direttamente collegati con l’esercizio delle sue funzioni di cui [il DPO] viene a conoscenza”: se è vero che le risorse umane sono il principale asset delle organizzazioni, una tale eventualità dovrebbe trovare accoglienza presso le parti datoriali pubbliche (e private), in linea con la trasparenza che dovrebbe connotare il trattamento dei dati personali.
Del resto, un passo verso il riconoscimento di un coinvolgimento delle rappresentanze sindacali anche su aspetti privacy è già stato di recente operato in Italia con il D.Lgs. 104 / 2022 (Decreto Trasparenza) di recepimento della direttiva (UE) 2019/1152, “relativa a condizioni di lavoro trasparenti e prevedibili nell'Unione europea” (cfr sulle nuove disposizioni i vari interventi pubblicati su Federprivacy a partire dall’articolo "Decreto Trasparenza: impatti sulla privacy dei lavoratori e ricadute operative per imprese e DPO" di Monica Perego), laddove prevede, fra l’altro, che le informazioni inerenti l’”utilizzo di sistemi decisionali o di monitoraggio automatizzati” debbano essere rese ai lavoratori e anche alle rappresentanze sindacali (sia nel pubblico che nel privato).
Per quanto attiene al DPO, prevedere un ampliamento delle parti che siano legittimate a fornire input per approfondimenti di specifici aspetti darebbe maggiore spessore al suo ruolo di soggetto terzo, faro della privacy nell’organizzazione.
I tre punti sopra esposti intendono costituire un contributo evolutivo alla figura del DPO per rafforzarne il ruolo e renderlo un protagonista a 360° della privacy nelle organizzazioni per stimolare la riflessione in argomento. Se fossero anche in parte perseguiti, il settore pubblico porterebbe avanti il testimone, nella costruzione in progress della privacy, con potenziale impatto anche verso un utilizzo calibrato dei maggiori margini di manovra previsti per le P.A. dal Decreto Capienze.
Ma sarebbero da propugnare anche nel comparto privato: la privacy dovrebbe valere per tutti in maniera omogenea. E sono proposte su cui gli operatori di ogni Paese membro potrebbero condurre una riflessione perché la privacy dovrebbe essere perseguita secondo regole uniformi.