DPO Responsabile della Protezione dei Dati (R.P.D.)
Dal prossimo 25 maggio il nuovo Regolamento UE/679/2016 in materia di Protezione dei Dati Personali (GDPR, General Data Protection Officer) sarà direttamente applicabile sul territorio di tutti gli Stati membri dell’Unione Europea.
La sua portata innovativa appare subito evidente: oltre ad unificare a livello europeo la normativa sulla Privacy, il GDPR ha introdotto delle importanti novità che mirano ad intensificare il grado di tutela dei singoli interessati e dei dati personali che li riguardano.
Una delle novità forse più interessanti riguarda l’introduzione dell’obbligo di nomina del Responsabile della Protezione dei Dati – R.P.D. (meglio noto con il suo acronimo in inglese D.P.O. – Data Protection Officer), chiamato a facilitare l’osservanza delle nuove disposizioni dettate dal Legislatore europeo.
In realtà, tale figura non è del tutto estranea al sistema di protezione dei dati personali nell’U.E.: il R.P.D. può infatti essere considerato come il nuovo privacy officer di cui all’art. 18 della Direttiva 95/46/CE sulla “tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati” (che verrà abrogata contestualmente all’entrata in vigore del GDPR), che ad oggi consente agli Stati membri di predisporre un regime di agevolazioni nel caso in cui venga nominato un soggetto autonomo ed indipendente, cui demandare l’applicazione della normative nazionali di attuazione della direttiva stessa. Previsto obbligatoriamente in diversi Paesi UE da alcuni anni (si pensi ad esempio al sistema tedesco), in Italia il Garante della Privacy aveva già auspicato che i titolari del trattamento individuassero una figura affina per “il ruolo di referente con il Garante”.
In particolare, a norma del nuovo art. 37 GDPR grava sul Titolare del trattamento e, ove presente, il Responsabile del trattamento l’obbligo di nominare un R.D.P. ogniqualvolta il trattamento:
- è effettuato da un’autorità pubblica o da un organismo pubblico (fatta eccezione per le autorità giurisdizionali nell’esercizio delle funzioni giurisdizionali);
- richiede un monitoraggio regolare e sistematico su larga scala;
- ha per oggetto, sempre su larga scala, i dati personali di cui all’art. 9 o i dati relativi a condanne penali e/o reati di cui all’art. 10.
La genericità di tale previsione si scontra però con la natura obbligatoria della nomina del R.P.D. per tutti i soggetti che presentano i requisiti previsti.
Per sopperire a tale lacunosità, il Gruppo di lavoro ex art. 29 (WP-29, Working Party Article 29) ha elaborato le “Linee Guida sui responsabili della protezione dei dati (RPD)”, con l’intento di aiutare gli utenti nell’interpretazione e, conseguentemente, nell’applicazione delle disposizioni in materia. In esse, ad esempio, il WP-29 consiglia la designazione del R.P.D. anche su base volontaria, ovvero quando il titolare non sia ex lege obbligato a nominare il Responsabile della protezione dati, in virtù del principio di responsabilizzazione (in inglese Accountability, secondo il quale il titolare del trattamento deve adottare tutte le misure tecniche e organizzative necessarie a garantire che il trattamento è effettuato conformemente al GDPR) che caratterizza l’intera disciplina del nuovo Regolamento.
Le sanzioni previste in caso di inosservanza del GDPR
L’importanza di adeguarsi correttamente alla nuova normativa e agli obblighi ad essa connessi deriva soprattutto dal sistema sanzionatorio previsto in caso di inosservanza delle disposizioni del GDPR; ciò concerne sia la nomina del R.P.D., ove obbligatoria, sia l’adeguamento ai nuovi standard di Privacy richiesti.
L’art. 83 reca una disciplina specifica per l’applicazione delle sanzioni amministrative pecuniarie in esso previste, le quali devono essere emanate in modo da risultare effettive, proporzionate e dissuasive. In particolare, l’Autorità di controllo nominata in ogni Stato membro deve valutare, caso per caso, la sussistenza degli elementi indicati nel paragrafo 2 della medesima norma (a titolo esemplificativo, il carattere doloso o colposo dell’omissione, le categorie di dati oggetto del trattamento sospetto o la natura, la gravità e la durata della violazione stessa) al fine di poter compiutamente valutare se -e in quali misure- emettere la sanzione.
In merito al quantum delle stesse, le sanzioni amministrative pecuniarie previste per la violazione delle disposizioni del GDPR possono arrivare fino a 20.000.000 EUR, o per le imprese, fino al 4 % del fatturato mondiale totale annuo dell’esercizio precedente, se superiore.
Alla luce della forte incidenza economica del sistema sanzionatorio de quo, si spiegano le preoccupazioni dei soggetti obbligati ad adeguarsi al nuovo Regolamento entro il termine del prossimo 25 maggio. In Italia sarà compito del Garante per la Protezione dei Dati Personali verificare e controllare l’avvenuta applicazione delle nuove norme in materia di protezione dei dati personali.
I poteri del Garante per la Protezione dei Dati Personali
Le Autorità nazionali preposte al controllo saranno adesso titolari di ulteriori poteri di vigilanza e di correzione; l’art. 58 GDPR elenca infatti le nuove attribuzioni ad esse riconosciute, distinguendo, in particolare, tra:
- Poteri di indagine;
- Poteri correttivi;
- Poteri autorizzativi e consultivi.
Fermo restando che i singoli Stati membri possono disporre la previsione di poteri ulteriori rispetto a quelli espressamente elencati nell’art. 58, a norma del paragrafo 5 ogni Stato membro deve garantire alla propria Autorità di controllo il potere di agire in sede giurisdizionale -e stragiudiziale- in caso di violazione delle disposizioni contenute nel GDPR.
Tuttavia, il potere di azione di dette Autorità trova un limite nella previsione di garanzie adeguate, tra cui la possibilità di ricorrere avverso i provvedimenti delle Autorità attraverso un effettivo ricorso giurisdizionale e l’operatività del principio del giusto processo, in ossequio delle disposizioni nazionali ed europee che rispettino i principi fondamentali previsti dalla Carta dei diritti fondamentali dell’U.E.
Inoltre, le Autorità nazionali preposte al controllo della disciplina GDPR sono tenute a informare i Parlamenti nazionali sulle attività svolte attraverso relazioni annuali (consultabili pubblicamente), nelle quali deve altresì comparire un elenco delle tipologie di violazioni notificate e di misure adottate a norma dell’articolo 58, paragrafo 2 (ai sensi dell’art. 59 GDPR).