Fissata la timeline per le aziende italiane per nominare questa figura professionale. Bisogna attivarsi al più presto per non incorrere in sanzioni
Il 24 maggio 2016 è entrato in vigore il Regolamento Europeo della Privacy (Reg. UE n. 679/2016) che dovrà essere applicato dai singoli Stati Membri a partire dal 25 maggio 2018. Un Regolamento ambizioso, i cui obiettivi principali consistono nel rafforzare la libera circolazione dei dati personali anche al di fuori dell’Ue e assicurare un altissimo standard di tutela ai dati delle persone fisiche trattati nel contesto di un’attività economica.Il concetto di dato personale che emerge dal Reg. UE si estende a tutte quelle informazioni che siano in grado di identificare una persona fisica e centrale è il principio del consenso al trattamento, del quale si ribadisce la revocabilità in ogni tempo, escludendosi qualunque forma di consenso tacito. Numerose le novità introdotte dal Reg., ma quella che è senza dubbio considerata tra le più significative è data dall’inedita figura professionale del responsabile della protezione dei dati personali, il cd. Data Protection Officer (DPO).
Il DPO è un soggetto autonomo, esperto in materia di privacy, ed è obbligatoria la sua presenza: 1) per le amministrazioni e organismi pubblici, escluse le autorità giurisdizionali; 2) per i titolari o i responsabili la cui principale attività consiste in trattamenti che, per la loro natura, oggetto o finalità richiedono il monitoraggio sistematico e regolare su larga scala; 3) per i titolari o i responsabili la cui principale attività consiste in trattamenti, su larga scala, di dati sensibili- inclusi quelli relativi alo stato di salute o alla vita sessuale- di dati genetici, dati giudiziari (condanne penali e reati) e dati biometrici (immagine facciale, dati dattiloscopici etc.).
Attenzione! Le aziende soggette all’obbligo di nomina del DPO che entro il 25 maggio 2018 (quelle italiane sarebbero oltre 23.000) non avranno provveduto a nominare questa figura professionale sono esposte al rischio di sanzioni fino a 10 milioni di euro o, in caso di impresa, pari al 2% del fatturato totale annuo mondiale dell’esercizio precedente, se superiore.
Bisogna, quindi, attivarsi al più presto.
Ma quali sono i compiti del DPO e soprattutto chi è il DPO?
Sebbene il Regolamento nulla stabilisca sul punto, dal tenore normativo del provvedimento emerge come scelta preferenziale quella di affidare le mansioni del DPO ad un giurista. L’art. 39 invero prevede che il DPO sia «designato in funzione delle qualità professionali, in particolare della conoscenza specialistica della normativa e della prassi in materia di protezione dei dati, e della capacità di assolvere i compiti a lui assegnati al Regolamento».
D’altra parte, l’art. 38 sanziona il cd. conflitto di interessi: l’indipendenza del DPO è imprescindibile perché i suoi compiti comportano obblighi di controllo solitamente affidati alle autorità. Si ritiene, quindi, una scelta da escludere a priori quella di nominare DPO l’IT manager dell’azienda di interesse o chi è addetto a reparti che in larga misura gestiscono dati personali (es. ufficio legale, risorse umane, direzione marketing). Quanto all’inquadramento contrattuale, non è previsto che il contratto che lega il DPO al titolare o al Responsabile abbia una durata minima, ma – nel caso di DPO esterno – è preferibile che abbia una durata non al di sotto dei 4 anni.
Veniamo ai compiti del DPO.
Si tratta di mansioni dettagliate e complesse, oltre che numerose, per adempiere le quali il titolare o il responsabile del trattamento dovranno mettere a disposizione dell’Officer le risorse umane e finanziarie necessarie. In linea generale, il DPO garantisce un controllo interno all’impresa, al fine di minimizzare i rischi di violazione del Regolamento e di permettere alle Autorità preposte al controllo di fare riferimento ad un’unica figura, che dovrà fungere da terminale delle imprese stesse in caso di informazioni o sanzioni. In estrema sintesi, egli deve:
a) informare e consigliare il titolare o il responsabile del trattamento, nonché i dipendenti, in merito agli obblighi derivanti dal Regolamento europeo e da altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati;
b) verificare l’attuazione e l’applicazione del Regolamento, delle altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati nonché delle politiche del titolare o del responsabile del trattamento in materia di protezione dei dati personali, inclusi l’attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale coinvolto nelle operazioni di trattamento, e gli audit relativi; c) fornire, se richiesto, pareri in merito alla valutazione d’impatto sulla protezione dei dati e sorvegliare i relativi adempimenti; d) fungere da punto di contatto per gli interessati in merito a qualunque problematica connessa al trattamento dei loro dati o all’esercizio dei loro diritti; e) fungere da punto di contatto per il Garante per la protezione dei dati personali oppure, eventualmente, consultare il Garante della Privacy di propria iniziativa.
Passiamo alle sanzioni, davvero impressionanti. Oltre a quella citata in caso di violazione delle norme sulla designazione, posizione e compiti del DPO, il Reg. UE prevede che siano soggette a sanzioni amministrative fino a 10 milioni di euro, o in caso di un’impresa, fino al 2% del fatturato totale annuo mondiale dell’esercizio precedente, se superiore, le violazioni delle norme stabilite in materia di: consenso dei minori, documentazione relativa a ciascun trattamento di dati personali, sicurezza del trattamento, cooperazione con l’autorità di vigilanza, notificazione dei cd. data breach all’autorità e altro.
L’ammontare delle sanzioni può salire, invece, fino a 20 milioni di euro, o in caso di un’impresa, fino al 4% del fatturato totale annuo mondiale dell’esercizio precedente, se superiore, per le violazioni in materia di principi base del trattamento, condizioni per il consenso, diritti degli interessati, trasferimento di dati personali all’estero, mancata ottemperanza a un ordine o a una limitazione temporanea o definitiva del trattamento disposti dall’autorità di vigilanza.Il tempo sta per scadere. Le aziende italiane non possono permettersi di perdere risorse economiche per il mancato adeguamento agli obblighi europei perché quelle risorse vanno investite, piuttosto, in innovazione e formazione, le due leve di effettiva competitività nell’era digitale. L’invito è quello di iniziare quanto prima a pianificare una strategia e a non lasciarsi prendere dal panico (più che legittimo!).