Chi omette la designazione subisce sanzioni pesanti
Dopo le Faq generali del Gruppo di lavoro dell’articolo 29 e quelle del Garante privacy per i Dpo degli enti pubblici, arrivano le Faq per i Dpo dei privati. Una prima linea di demarcazione rispetto all’ambito pubblicistico del ruolo riguarda il profilo dell’obbligatorietà della designazione: obbligatoria è la designazione del Dpo per tutti gli enti pubblici, cioè senza alcun discrimine; mentre obbligatoria lo è per i privati, solo in presenza di determinate circostanze. Il regolamento europeo permette, però, allo Stato membro di prevedere ulteriori casi di obbligatorietà.
Conseguenza pratica derivante da questa diversità di disciplina è la necessità, per il contesto privato, di operare una preliminare valutazione finalizzata a stabilire la sussistenza delle condizioni di legge che fanno scattare tale obbligatorietà. Valutazione delicata, non sempre agevole, foriera di rilevanti conseguenze, in quanto l’omessa designazione del Dpo obbligatorio è sanzionabile amministrativamente con il pagamento di una somma il cui massimo ammontare è pari a 10 milioni di euro ovvero, se superiore, al 2% del giro di affari globale annuo.
La valutazione operata dovrà essere comprovata documentalmente e, nel caso in cui si pervenga a conclusioni di non obbligatorietà, ne andranno evidenziate le argomentazioni, al fine di consentire al Garante di accertare agevolmente il rispetto della prescrizione. Questa documentazione andrà ad arricchire il composito sistema documentale data protection che ciascuna azienda titolare del trattamento, e per taluni versi anche se “responsabile”, è tenuta a realizzare e mantenere aggiornato, al fine di comprovare la propria accountability.
Contrariamente al caso precedente, prive di conseguenze giuridiche saranno le ipotesi opposte di valutazioni che dovessero erroneamente concludere per l’obbligatorietà della designazione, in realtà non dovuta nel caso di specie. La designazione del Dpo è un elemento rafforzativo per la tenuta del sistema data protection aziendale, per cui la designazione volontaria è da accogliere comunque con favore; tant’è che nei casi di dubbia obbligatorietà, le Autorità consigliano di procedere comunque alla designazione.
Di interesse, al riguardo, sono gli esempi forniti nelle Faq, sia in senso confermativo dell’obbligatorietà sia per quelli per i quali appare improbabile tale obbligo. È bene ricordare, comunque, che gli esempi forniti non si sostituiscono alla citata valutazione preliminare, in quanto l’obbligo di designazione sussiste solo in presenza dei presupposti di legge.
La designazione è operazione di innesco per una molteplicità di prescrizioni ulteriori che vanno puntualmente rispettate: a partire dall’evitare confusioni terminologiche con altre figure organizzative affini ma non rispondenti ai requisiti che la legge indica per il Dpo. In proposito, infatti, considerata la funzione di vigilanza non operativa, tipica del ruolo, è plausibile riscontrare la presenza all’interno dell’organizzazione aziendale di un parallelo ruolo operativo privacy; in tal caso, la denominazione attribuita a questa funzione non dovrà risultare ambigua rispetto al diverso ruolo legale del Dpo per evitare il disorientamento degli interessati.
L’avvenuta designazione (sia essa obbligatoria o volontaria) sarà comunicata al Garante utilizzando l’apposito modulo indicato nelle Faq, mentre i dati di contatto vanno pubblicati sul sito web aziendale. Se la scelta cadrà su un interno, oltre alla redazione dell’atto di designazione, si dovrà avere cura di evitare conflitti di interesse con eventuali compiti ulteriori già assegnati alla stessa persona. Se, invece, la scelta riguarderà un esterno, la contrattualizzazione del rapporto di servizio dovrà fornire specifiche indicazioni su compiti, risorse e quant’altro utile per lo svolgimento del mandato nel contesto di riferimento; con l’avvertenza che, anche in caso di contratto con una società, l’individuazione riguardi comunque una persona fisica.
