Società

La valorizzazione del ruolo del DPO nei recenti consessi sovranazionali

A Budapest la 31° edizione della European Conference of Data Protection Authorities (Spring Conference 2023)

immagine non disponibile

di Alessandra Spangaro*

Si è di recente conclusa, a Budapest, la 31° edizione della European Conference of Data Protection Authorities (Spring Conference 2023) con partecipanti provenienti da quasi quaranta Paesi, che si sono confrontati in più sessioni di lavoro, delle quali, per la prima volta, una aperta al pubblico.

I lavori sono stati suddivisi più panel, ciascuno dei quali dedicato ad uno specifico tema.

Il primo è stato dedicato alle nuove tecnologie ed al loro impatto sulla vita quotidiana delle persone, in considerazione del sempre maggiore sfruttamento dei dati personali, il cui flusso appare già oggi massivo ed ancora in continua crescita.

Proprio in considerazione della mole dei dati oggi disponibili, il secondo panel è stato dedicato al rapporto tra la tutela dei dati personali e il diritto della concorrenza, settori giuridici apparentemente distanti ed autonomi, ma che ben possono intersecarsi e, auspicabilmente, connettersi in vista di un fine comune.

Sotto un primo profilo, infatti, il trattamento dei dati comporta significativi vantaggi competitivi per le persone e, ancor più, per le imprese e, conseguentemente, larghi profitti; d'altro canto, la disponibilità di sempre maggiori quantità di dati rischia di essere nelle mani di pochi attori, i più grandi e consolidati sul mercato, finendo per creare un vero e proprio monopolio di fatto, che si autoalimenta costantemente.

Occorre quindi che le Autorità nazionali garanti della tutela dei dati personali e quelle garanti della concorrenza agiscano coordinandosi e con una visione di intenti comune, per assicurare sia che l'accesso a tali dati avvenga attraverso fair conditions, nell'ambito di un sistema di concorrenza effettiva, sia una adeguata tutela dei dati personali.

Il terzo panel, svoltosi sempre a porte chiuse, è stato dedicato alla cooperazione tra Paesi dello spazio economico europeo e Paesi esterni ad esso ("Paesi SEE" e "Paesi non-SEE"), con l'obiettivo di condividere l'esperienza pratica acquisita dopo l'emanazione del GDPR, con un riguardo particolare al coordinamento con quei Paesi nei quali la normativa non è direttamente applicabile.

In tale contesto non si è mancato poi di evidenziare la sempre maggior rilevanza delle decisioni delle Corti internazionali, anche nella prospettiva di un tanto necessario, quanto sempre più complesso aggiornamento professionale. La corretta applicazione delle norme, infatti, non può prescindere da una approfondita conoscenza dell'interpretazione che di quelle norme fanno le Corti superiori nelle decisioni che sono chiamate a pronunciare; a tal fine, dunque, nel panel sono stati predisposti ed analizzati anche specifici "casi studio".

L'open day sul Data protection officer

Nell'ambito della Conferenza si è svolta una ulteriore sessione, per la prima volta a porte aperte, dedicata alla sempre maggior rilevanza del ruolo del Responsabile della protezione dei dati (RPD) o, secondo la più diffusa dizione anglofona, Data protection officer (DPO), in coerenza con l'azione coordinata per l'attuazione del Regolamento nel 2023 (Coordinated Enforcement Framework - CEF 2023), avviata pochi mesi prima dall'European Data protection Board (EDPB).

Tale figura professionale è stata introdotta dal GDPR (a Budapest, la 31° edizione della European Conference of Data Protection Authorities (Spring Conference 2023) GDPR (Reg. EU 679/2016, artt. 37 ss., pur essendo già stata prevista in settori tangenziali, quali quello dell'oggi abrogato Reg. EU 45/2001, concernente la tutela delle persone fisiche in relazione al trattamento dei dati personali da parte delle istituzioni e degli organismi comunitari, nonché la libera circolazione di tali dati) ed è, come noto, specificamente deputata alla protezione dei dati personali nell'ambito dei trattamenti effettuati dalle pubbliche autorità o da soggetti privati, se svolti su larga scala e relativi a particolari categorie di dati o comunque tali da richiedere il monitoraggio regolare e sistematico degli interessati.

Si tratta, dunque, di situazione nelle quali i dati personali sono esposti a rischi particolarmente incisivi, in quanto direttamente connessi a diritti fondamentali (quali la salute, ma anche la libertà di espressione, ove si pensi, per esempio, all'iscrizione di un soggetto ad un partito politico o a un sindacato); di qui la necessità di una tutela elevata, affidata (anche) ad un professionista che abbia una adeguata esperienza in ordine alla normativa applicabile, alle prassi applicative, oltre ad una specifica conoscenza del settore nell'ambito del quale si troverà ad operare, svolgendo un ruolo chiave nell'organizzazione del titolare o del responsabile del trattamento, in quanto sintesi di una doppia, delicata veste, al contempo consigliere e controllore, in bilico tra l'assenza di una diretta potestà decisoria e l'obbligo di essere coinvolto – per espressa previsione del GDPR (art. 38) – in tutte le questioni che riguardano la protezione dei dati, con piena garanzia di indipendenza ed autonomia.

La delicatezza del ruolo del DPO è poi ancora accresciuta dal fatto che egli funge da punto di contatto tra l'ente per il quale lavora e l'Autorità nazionale di controllo e ciò è probabilmente uno dei tratti più significativi e qualificanti della sua attività, potendo notevolmente contribuire al dialogo tra gli attori del trattamento e i relativi controllori o meglio garanti.

In sintesi, come emerso nel corso della Spring Conference, nelle mani del DPO finisce per concentrarsi, in via di fatto, il successo o il fallimento degli standard di tutela di qualsiasi organizzazione tratti dati personali; ad una maggiore competenza e professionalità del DPO corrisponde, come evidente, una più ampia compliance di quell'ente e, in ultima analisi, una più corretta applicazione del GDPR.

In considerazione di ciò, i lavori dell'open day hanno evidenziato non solo la rilevanza del ruolo e della funzione assunta da tale professionista, ma anche l'importanza di creare una rete tra i DPO dei diversi Paesi, per condividere informazioni, buone prassi e metodi di formazione dei professionisti stessi, nella consapevolezza che formazione e condivisione delle conoscenze costituiscono due aspetti inscindibili.

L'attuale situazione nel panorama nazionale

Il legislatore italiano ha preso atto da tempo della rilevanza del ruolo del DPO, provvedendo anzi a valorizzarlo ulteriormente rispetto a quanto previsto nel GDPR.

Il D. Lgs. 101/2018 ha, infatti, integrato la previsione dell'art. 37 GDPR, ampliando il novero dei casi in cui la nomina del DPO deve considerarsi necessaria, estendendola, per esempio all'autorità giudiziaria che tratti i dati nell'esercizio delle proprie funzioni; così, certamente anche i Tribunali, i T.A.R. e le Commissioni tributarie – oltre che i rispettivi organi di seconda istanza – devono provvedere alla nomina di un DPO, o meglio avrebbero dovuto provvedere già a far data dal 2018, anno in cui il GDPR ha acquistato efficacia, essendosi tuttavia registrati diversi ritardi.

La piena compliance alla normativa, in relazione alla nomina del DPO, invero, ha stentato ad affermarsi non solo presso l'autorità giurisdizionale, potendo anzi considerarsi un dato comune a molte pubbliche autorità, anche di rilevanti dimensioni.

Significativo è dunque il fatto che, in ossequio al CEF 2023 ed all'esito della conclusione dei lavori della Spring Conference, il Garante italiano abbia dato corso ad una indagine nei confronti dei grandi enti locali per verificare il rispetto degli obblighi inerenti alla figura del DPO (dalla sua designazione, alla pubblicazione e alla comunicazione dei sui dati di contatto al Garante stesso attraverso l'apposita procedura on line dal medesimo messa a disposizione), dando già avvio anche ai procedimenti per l'adozione dei provvedimenti correttivi o sanzionatori, in relazione alle prime violazione rilevate.

Il fine, oltre alla complessiva compliance al GDPR, è, nell'immediato, collezionare tutti i dati dei DPO di tali enti perché questi possano facilmente e prontamente essere contattati in caso di necessità. Le medesime verifiche verranno poi riservate a breve, come già annunciato dal Garante, anche agli enti locali più piccoli e, in generale, agli altri enti pubblici tenuti alla nomina del DPO.

*a cura dell' Avv. Alessandra Spangaro, DigitalMediaLaws

Per saperne di piùRiproduzione riservata ©