Il DPO come misura a garanzia dell’accountability. Linee guida e accorgimenti alla luce della giurisprudenza delle Autorità di Controllo europee

A distanza di poco più di tre anni dal 25 maggio 2018, giorno in cui il Regolamento (UE) 2016/679 (“GDPR”) ha trovato definitiva applicazione in Europa, può essere interessante domandarsi quale sia la fisionomia e il ruolo operativo che il responsabile della protezione dei dati (“DPO”) ha via via assunto e consolidato nella prassi delle grandi aziende e degli enti pubblici nonché, soprattutto, chiedersi se la funzione ricoperta sia effettivamente in linea con la più autentica ratio sottesa agli artt. 38 e 39 del GDPR, che disciplinano rispettivamente la posizione e i compiti del DPO.

La giurisprudenza delle Autorità di Controllo europee e, in particolare, una recente pronuncia dell’Autorità lussemburghese potranno certamente assistere i professionisti e gli operatori del mercato nella ricerca di una risposta concreta ai suddetti interrogativi, fornendo importanti spunti di interesse e chiarimenti[1].

 

L’intervento dell’Autorità di Controllo lussemburghese: l’importanza dell’indipendenza del DPO

L’Autorità di Controllo lussemburghese ha reso noto di aver predisposto un piano ispettivo specificamente volto a verificare il rispetto delle norme poste a presidio della corretta operatività della funzione DPO nelle realtà pubbliche e private. Nel quadro di tali iniziative, accertando l’inosservanza da parte di una società di alcune rilevanti disposizioni intese a disciplinare la posizione e i compiti del DPO, giungeva a irrogare nel giugno 2021 una sanzione pecuniaria pari a € 15.000. Più nel dettaglio, alla società sanzionata è stata contestata l’inadeguatezza delle condizioni operative in cui il DPO si trovava ad espletare le sue funzioni, sul presupposto dell’assenza di meccanismi organizzativi capaci di garantire il suo tempestivo coinvolgimento nelle questioni più rilevanti, in contrasto con l’art. 38(1) del GDPR, nonché in ragione dell’impossibilità per il DPO stesso di riferire direttamente al vertice gerarchico della società, in violazione dell’art. 38(3) del GDPR.

Sulla base di tali rilievi, l’Autorità di Controllo lussemburghese evidenziava altresì l’inidoneità e l’inefficacia dell’adempimento da parte del DPO dei compiti di consulenza e sorveglianza previsti dall’art. 39(1), lett. a) e b) del GDPR.

Nella pronuncia, sopra brevemente ripercorsa nei suoi passaggi salienti, sembra trovare conferma l’idea che il DPO configuri una misura a garanzia dell’accountability del titolare. La figura in esame costituisce, cioè, uno strumento capace di rafforzare – attraverso varie e multiformi attività consulenziali, formative, di controllo e di supporto nella valutazione dei rischi di rilevanza privacy – la garanzia del corretto adempimento di tutti gli obblighi di compliance in materia di protezione dei dati personali[2]. Tale inquadramento funzionale del ruolo del DPO parrebbe scoprire ed esaltare la più autentica ratio sottesa agli artt. 38 e 39 del GDPR.

Non solo: in questa prospettiva, sembra possibile individuare e tratteggiare con precisione anche la linea di demarcazione tra il suo peculiare ruolo e quello degli altri uffici e funzioni aziendali dell’organizzazione in cui si inserisce la figura del DPO. Al riguardo, occorre infatti evidenziare che il DPO è tenuto a rivestire un ruolo meramente consulenziale e privo di poteri decisionali e di intervento, mentre l’organizzazione – soprattutto nel momento in cui, in qualità di titolare del trattamento, determina le finalità e i mezzi del trattamento – costituisce il principale centro di imputazione di tutte le volontà decisionali e di ogni connessa responsabilità (artt. 4, n. 7), 5(2), 24, 82 e 83 del GDPR).

Ebbene, anche alla luce delle indicazioni dell’Autorità lussemburghese, deve ritenersi che il presupposto fondamentale del più efficace e corretto esercizio della complessa funzione di DPO consista nel rispetto della garanzia della sua stessa indipendenza, come confermato dal considerando 97 del GDPR e dalle indicazioni provenienti dalle Autorità di controllo europee e dallo stesso Gruppo di lavoro articolo 29 (oggi Comitato europeo per la protezione dei dati)[3]. Come si avrà modo di constatare nel paragrafo che segue, la garanzia del rispetto dell’indipendenza del DPO passa a sua volta attraverso l’osservanza da parte dell’organizzazione che lo ha designato di alcuni obblighi normativi, perlopiù previsti dall’art. 38 del GDPR.

 

L’indipendenza del DPO e strumenti di presidio della stessa

Anzitutto, va evidenziato che l’indipendenza del DPO può essere definita come una forma di estraneità del DPO stesso agli interessi sostanziali sottesi alle finalità perseguite dall’organizzazione che lo ha designato, nonché come una condizione di autonomia e integrità di valutazione rispetto alle questioni relative al trattamento dei dati personali.

Tra i principali obblighi a garanzia dell’indipendenza del DPO non può che rimarcarsi l’obbligo ai sensi dell’art. 38(3) (ult. prop.) del GDPR di assicurare che il DPO riferisca direttamente al vertice gerarchico, senza l’interposizione di filtri, diaframmi decisionali e altri meccanismi procedurali e organizzativi che possano depotenziare l’efficacia dei suoi pareri e delle sue comunicazioni[4]. Evidentemente, l’adempimento di tale obbligo è inteso a contenere il rischio che la voce della figura, in particolare quando dissenziente, si disperda negli uffici aziendali prima di sopraggiungere alle figure apicali e, in tal modo, smarrisca la sua autenticità e la sua efficacia; tale lettura interpretativa del richiamato obbligo sembra essere confermata anche dalla giurisprudenza amministrativa che si è formata sul tema[5].

Ancora, assume essenziale rilevanza nella logica della garanzia dell’indipendenza del DPO l’art. 38(6) del GDPR, che impone che gli obblighi contrattualmente assunti dal DPO – aggiuntivi rispetto a quelli normativamente disposti dall’art. 39 del GDPR – non determinino rischi di conflitti di interessi rispetto alla posizione e ai compiti riconosciuti al medesimo ex lege[6].

In base alle indicazioni del Gruppo di lavoro articolo 29[7], deve ritenersi che i conflitti di interessi ricorrano ogniqualvolta il DPO si trovi a rivestire un ruolo che lo porti a concorrere alle dinamiche decisionali e genetiche delle attività di trattamento; questa impostazione trova riscontro anche nelle molteplici pronunce delle Autorità di controllo europee sul punto[8] .

Tra gli altri obblighi posti a garanzia dell’indipendenza del DPO possono in questa sede ricordarsi, a titolo esemplificativo, oltre all’obbligo di cui all’art. 38(1) del GDPR di assicurare, tramite appositi meccanismi organizzativi, il tempestivo coinvolgimento del DPO nella gestione delle questioni in materia di protezione dei dati personali[9], anche gli obblighi di garantire che il DPO non riceva alcuna istruzione per quanto riguarda l’esecuzione dei suoi compiti e che lo stesso non venga in alcun modo rimosso o penalizzato dal titolare per motivi connessi all’espletamento delle sue funzioni (art. 38(3) (1° e 2° prop.) del GDPR)[10].

 

Considerazioni conclusive e raccomandazioni pratiche

Il corretto adempimento degli obblighi di cui sopra, concorre in misura determinante, come detto, a garantire lindipendenza del DPO, la quale costituisce a sua volta la condizione principale dell’efficacia del suo stesso contributo nelle dinamiche dell’attuazione delle misure di compliance in materia di protezione dei dati personali.

In questo senso, appare molto significativo il fatto che l’intervento dell’Autorità di Controllo lussemburghese si innesti proprio nel quadro di un programma ispettivo specificamente finalizzato ad accertare l’osservanza delle norme poste a presidio dell’operatività del DPO. Non è irragionevole ritenere, infatti, che le altre Autorità di Controllo europee possano indirizzarsi nella medesima direzione, assumendo un approccio analogo nella verifica della concreta ed effettiva utilità dell’azione del DPO quale strumento di garanzia dell’accountability dell’organizzazione che lo ha designato.

Ciò stante, è fortemente raccomandato alle aziende e agli enti pubblici di implementare misure volte a preservare l’indipendenza del DPO e a garantire, in tal modo, la sua stessa operatività. Tra gli accorgimenti più utili, conclusivamente, possono ricordarsi i seguenti:

        • garantire, mediante linee guida o altri adeguati meccanismi organizzativi, che il DPO venga tempestivamente coinvolto nelle questioni attinenti alla protezione dei dati personali e che quotidianamente lo stesso possa dialogare e confrontarsi con le funzioni principalmente coinvolte nelle attività di trattamento di dati personali (si pensi agli uffici IT, HR, marketing, ecc.);
        • attribuire al DPO una collocazione organizzativa tale da consentire che lo stesso possa, altresì, interfacciarsi con il vertice gerarchico in modo diretto e immediato, agile e snello, senza filtri organizzativi e diaframmi decisionali;
        • prevedere – e riflettere adeguatamente all’interno dell’organigramma aziendale/amministrativo/funzionale – una separazione strutturale tra l’ufficio del DPO e gli altri uffici aziendali/amministrativi;
        • predisporre – in particolare laddove non risulti possibile addivenire ad una separazione strutturale nel senso sopra evidenziato – linee guida e procedure interne contenenti indicazioni pratiche e di principio in merito alla individuazione e alla neutralizzazione dei conflitti di interesse tra la funzione del DPO e gli altri incarichi eventualmente assunti.

 

 

[1] Cfr. Délibération n° 20FR/2021 du 11 juin 2021

[2] Cfr., con riferimento alla configurazione del DPO come misura a garanzia degli obblighi di accountability, la già citata Délibération n° 20FR/2021 du 11 juin 2021, ove si legge quanto segue: “Quant à la nature et la gravité de la violation [article 83.2 a) du RGPD], en ce qui concerne les manquements aux articles 38.1, 38.3, 39.1 a) et 39.1 b) du RGPD, la formation restreinte relève que la nomination d’un DPD par un organisme ne saurait être efficiente et efficace, à savoir faciliter le respect du RGPD par l’organisme, que dans le cas où le DPD est associé dès le stade le plus précoce possible à toutes les questions relatives à la protection des données, exerce ses fonctions et missions en toute indépendance, exerce de façon effective ses missions, dont la mission d’information et de conseil du responsable du traitement et la mission de contrôle du respect du RGPD”. In questo stesso senso, cfr. L. Bolognini, E. Pelino, C. Bistolfi, Il Regolamento Privacy Europeo. Commentario alla nuova disciplina sulla protezione dei dati personali, Milano, 2016, p. 330.

[3] Pur trovando l’indipendenza del DPO precipua espressione nelle disposizioni che formano l’art. 38 del GDPR, un riferimento esplicito ad essa si riscontra solo, come accennato, nel considerando 97 del GDPR, alla stregua del quale “[…] Tali responsabili della protezione dei dati, dipendenti o meno del titolare del trattamento, dovrebbero poter adempiere alle funzioni e ai compiti loro incombenti in maniera indipendente”.

V. anche le Linee Guida sui responsabili della protezione dei dati del Gruppo di lavoro articolo 29, pubblicate in data 13 dicembre 2016 ed emendate in data 5 aprile 2017; il Documento di indirizzo su designazione, posizione e compiti del Responsabile della protezione dei dati (RPD) in ambito pubblico, pubblicato dal Garante per la protezione dei dati personali in data 29 aprile 2021, e le sue più risalenti FAQ sul Responsabile della Protezione dei Dati (RPD) in ambito privato e quelle in ambito pubblico.

[4] Ai sensi dell’art. 38(3) (ult. prop.) del GDPR: “Il responsabile della protezione dei dati riferisce direttamente al vertice gerarchico del titolare del trattamento o del responsabile del trattamento”.

[5] A tal riguardo, cfr. Tar Sardegna, Sez. II, sent. n. 1043 del 21 dicembre 2018, che incidentalmente affronta la questione dell’indipendenza del DPO nell’ambito dell’Amministrazione regionale sarda. Nello specifico, dalla sentenza si evince che, nell’ambito delle strutture organizzative complesse, alla figura in esame dovrebbe essere riservata una collocazione gerarchica quanto più elevata possibile e, cioè, tale che il DPO sia posto “alle dirette dipendenze” (organizzative, s’intende) delle figure apicali. Ancora, dalla sentenza emerge anche un ulteriore e significativo aspetto di cui bisogna tenere conto: la strutturazione dell’organigramma aziendale dovrebbe garantire al DPO un canale di interfaccia verso il vertice gerarchico agile, snello e flessibile.

[6] L’art. 38(6) del GDPR stabilisce che: “Il responsabile della protezione dei dati può svolgere altri compiti e funzioni” e che “Il titolare del trattamento o il responsabile del trattamento si assicura che tali compiti e funzioni non diano adito a un conflitto di interessi”. Si noti che la lettera della norma parla di “adito ad un conflitto di interessi” e non, sic et simpliciter, di conflitto di interessi. Prudentemente, quindi, l’interprete è costretto ad argomentare un ambito di applicazione della norma assai esteso, tale da ricomprendere anche il mero rischio di un conflitto di interessi.

[7] Cfr. ancora, in particolare, Linee Guida sui responsabili della protezione dei dati del Gruppo di lavoro articolo 29.

[8] Con riguardo alla configurabilità di conflitti di interesse, risulta particolarmente significativa anche la decisione dell’Autorità di Controllo belga che, con provvedimento del 28 aprile 2020, ha irrogato ad un’azienda belga una sanzione di € 50.000, sulla base, tra l’altro, della violazione dell’obbligo di cui all’art. 38(6) del GDPR. Nel caso specifico, l’Autorità di controllo belga aveva accertato come il DPO non occupasse una posizione sufficientemente libera da conflitti di interesse, svolgendo esso anche la funzione di responsabile dei dipartimenti di compliance, risk management e internal audit. Secondo l’Autorità, allo svolgimento di detta funzione si accompagnava, infatti, un inevitabile intervento decisionale del DPO nella determinazione delle finalità e dei mezzi del trattamento. All’azienda veniva, inoltre, contestata anche l’assenza, a livello aziendale, di regole e linee guida finalizzate a identificare e dirimere ogni eventuale conflitto di interesse tra le varie cariche ricoperte dal DPO ai sensi dell’art. 38(6) del GDPR.

Al riguardo, si veda anche la comunicazione del 15 febbraio 2021 dell’Autorità di Controllo islandese, con la quale è stata negata la sussistenza di un conflitto di interessi in un caso in cui un soggetto operava sia come DPO che come compliance officer, atteso che la struttura aveva comprovato l’adozione di procedure interne volte a prevenire, gestire e risolvere possibili conflitti di interessi.

Cfr., ancora, Tar Sardegna, Sez. II, sentenza n. 1043 del 21 dicembre 2018, ove si legge anche che l’unità organizzativa del DPO non dovrebbe essere “frammentata” in sub-strutture o settori ma dovrebbe configurarsi come autonoma e separata rispetto alle altre funzioni aziendali; ciò, evidentemente, al precipuo scopo di evitare che la disposizione organizzativa degli uffici dia adito ad un conflitto di interessi rilevante ai sensi dell’art. 38(6) del GDPR.

[9] In virtù dell’art. 38(1) del GDPR: “Il titolare del trattamento e il responsabile del trattamento si assicurano che il responsabile della protezione dei dati sia tempestivamente e adeguatamente coinvolto in tutte le questioni riguardanti la protezione dei dati personali”.

[10] In forza dell’art. 38 (3) (1° e 2° prop.) del GDPR: “Il titolare del trattamento e il responsabile del trattamento si assicurano che il responsabile della protezione dei dati non riceva alcuna istruzione per quanto riguarda l’esecuzione di tali compiti. Il responsabile della protezione dei dati non è rimosso o penalizzato dal titolare del trattamento o dal responsabile del trattamento per l’adempimento dei propri compiti”.

 

 

ICTLC Italy
italy@ictlegalconsulting.com