Il Data Protection Officer e l'errore sulla interdisciplinarietà delle sue conoscenze
Il recente provvedimento sanzionatorio emesso dal Garante per la Protezione dei Dati personali (provv. n. 90 dell'11 marzo 2021) consente di trarre dalla realtà concreta che quotidianamente deve affrontare chi si occupa di data protection spunti per riflettere su competenze, requisiti e qualità che un Data Protection Officer deve possedere, argomento che operativamente si riflette nelle selezioni dei DPO.
Il recente provvedimento sanzionatorio emesso dal Garante per la Protezione dei Dati personali (provv. n. 90 dell'11 marzo 2021) consente di trarre dalla realtà concreta che quotidianamente deve affrontare chi si occupa di data protection spunti per riflettere su competenze, requisiti e qualità che un Data Protection Officer deve possedere, argomento che operativamente si riflette nelle selezioni dei DPO.
Per maggiore chiarezza espositiva è opportuno riepilogare, almeno per cenni, la vicenda decisa nel provvedimento del Garante, emesso nell'ambito della sorveglianza sistematica di uno spazio specifico con mezzi ottici o audiovisivi, per lo più a scopo di protezione della proprietà, o per proteggere la vita e la salute delle persone, fenomeno molto significativo dei nostri giorni.
In punta di fatto, risulta che un ateneo italiano ha installato, appunto per ragioni di sicurezza, un sistema di videosorveglianza nei locali di un dipartimento frequentato da docenti, ricercatori, assegnisti di ricerca, borsisti, tecnici e amministrativi, nonché dal personale degli Enti di ricerca ospitati in convenzione, oltre che dal personale della ditta per il servizio di pulizia e il servizio di vigilanza.
Sul tema dell'utilizzo di sistemi di videosorveglianza da parte di soggetti pubblici il Garante si è espresso in passato (provv. dell'8 aprile 2010), chiarendo che il trattamento dati personali deve avvenire nel rispetto del principio di finalità nonché delle norme nazionali, le quali "includono misure appropriate e specifiche a salvaguardia della dignità umana […] degli interessati in particolare per quanto riguarda la trasparenza del trattamento […] e i sistemi di monitoraggio sul posto di lavoro" (artt. 6, par. 2 e 88, par. 2 del Regolamento).
Tra queste, in particolare, spicca l'art. 4, comma 1, della legge 20 maggio 1970, n. 300, per il quale "gli impianti audiovisivi e gli altri strumenti dai quali derivi anche la possibilità di controllo a distanza dell'attività dei lavoratori possono essere impiegati esclusivamente per esigenze organizzative e produttive, per la sicurezza del lavoro e per la tutela del patrimonio aziendale e possono essere installati previo accordo collettivo stipulato dalla rappresentanza sindacale unitaria o dalle rappresentanze sindacali aziendali […].
In mancanza di accordo, gli impianti e gli strumenti di cui al primo periodo possono essere installati previa autorizzazione della sede territoriale dell'Ispettorato nazionale del lavoro o, in alternativa, […] della sede centrale dell'Ispettorato nazionale del lavoro".
Ebbene, l'attività istruttoria ha consentito di accertare che l'università ha utilizzato il sistema di videosorveglianza in assenza di un previo accordo con le rappresentanze sindacali o di un'autorizzazione dell'Ispettorato nazionale del lavoro, inficiando così la condizione di liceità del trattamento dei dati (anche per effetto del rinvio diretto all'art 4 St. Lav. operato dal Codice privacy, art. 114).
In conclusione, l'ateneo è stato sanzionato dal Garante per illiceità del trattamento di dati personali.In disparte da ogni considerazione in tema di responsabilità derivanti, occorre in prima battuta operare una precisazione. Dal provvedimento sanzionatorio non è dato rilevare se vi sia stata una interlocuzione col DPO, precedentemente o successivamente all'installazione delle videocamere, per cui non si vuole incentrare la discussione su tale aspetto.
Diversamente, dalla fattispecie si può argomentare una riflessione più generale relativamente all'estensione della "materia della protezione dei dati", di cui tanto il Titolare quanto il DPO, devono assicurare la compliance sostanziale, seppur su due piani operativi diversificati.Ed ecco il punto: aspetti legati alla tutela delle ragioni dei lavoratori, al piano delle condizioni di lavoro e a quello dei rapporti fra i datori di lavoro e i lavoratori si riflettono irrimediabilmente sulla liceità del trattamento dei dati personali.
Eppure, le lotte dell'autunno caldo che portarono all'approvazione dello Statuto dei Lavoratori - con il suo divieto di controllo dell'attività lavorativa - non erano mosse dall'intento di dare protezione ai dati personali bensì quello di dare protezione alla dignità del lavoro e dei lavoratori.Oggi, però, quel vincolo giuridico codificato nello Statuto dei Lavoratori, e nato all'insegna delle lotte sindacali, esplica la sua forza cogente in un altro dominio, quella della protezione dei dati personali.
Da qui dobbiamo trarre l'insegnamento presente nel provvedimento del Garante: il rispetto del quadro formale all'epoca definito con il divieto di controllo dei lavoratori sottende la tutela della dignità delle persone e la protezione dei dati personali, che di quel diritto alla dignità sono manifestazione, non può esser ridotta alla sola compliance verso il GDPR.
Anzi, il regolamento unionale probabilmente rappresenta l'ultimo miglio di un percorso fatto di regole della più variegata pertinenza disciplinare il cui rispetto, a seconda delle specificità del singolo caso concreto, è indispensabile per assicurare la condizione essenziale di liceità del trattamento nell'ottica della tutela della dignità umana.
Così definito l'ambito di azione della data protection possiamo intendere che i quesiti più dibattuti nei vari fora tematici, il DPO quale figura interna o esterna dell'ente/azienda, di estrazione giuridica o con spiccati skills informatici, se non entrambi per assicurare competenze interdisciplinari, scontano un errore prospettico di fondo, quello di voler esigere dal DPO conoscenze multidisciplinari che riflettano la multiformità disciplinare della materia trattata.Indubbiamente il DPO dovrà possedere una "conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati" (art 37.5 GDPR) e il livello di conoscenza specialistica dovrebbe essere determinato in base ai trattamenti di dati effettuati e alla protezione richiesta per i dati personali oggetto di trattamento (C 97).
Ma se la "materia protezione dei dati" personali si estende per tutto il territorio della protezione dei diritti e delle libertà fondamentali delle persone, conoscere quella "materia" significa saper riconoscere diritti e libertà in ogni contesto in cui si esplica un trattamento, così come saper individuare i rischi di compromissione derivanti - anche - dalle tecnologie della società dell'informazione.
In siffatto scenario è facile convenire che non esista una figura che possa racchiudere in sé tali conoscenze e qualità, in grado di gestire direttamente e singolarmente la complessità del fenomeno. L'interdisciplinarietà della materia non può esser affrontata e risolta esigendo un'interdisciplinarietà delle conoscenze del DPO, quanto piuttosto costruendo relazioni tra differenti professionalità, tutte aventi necessariamente i requisiti prescritti dall'art. 37 GDPR e pari dignità nel ruolo di garanzia, assegnando ad una di esse il compito di fungere da contatto principale per il titolare e gli interessati.
In definitiva, l'accountability potrà esse raggiunta non attraverso nuove competenze o nuove figure professionali bensì attraverso una chiara prospettiva organizzativa che sappia creare valore promuovendo l'ibridazione di saperi. Oggigiorno, la massima innovazione nasce dalle frontiere dei saperi, laddove le conoscenze si sovrappongono dando vita ad una ibridazione indispensabile per governare fenomeni complessi.
*Avv. Gianluca Fasano, Istituto di Ricerca ISTC-CNR
