Responsabile del trattamento o Data protection officer: c’è differenza?
Il GDPR definisce due ruoli cruciali: il Responsabile del trattamento e il Data Protection Officer (DPO). Il responsabile del trattamento opera per conto del titolare, seguendo istruzioni specifiche e offrendo garanzie adeguate. Il DPO, figura indipendente, facilita l’applicazione della normativa e monitora la conformità. La principale differenza sta nell’autonomia: il responsabile segue direttive, il DPO agisce indipendentemente. Questi ruoli non sono intercambiabili: nominare un responsabile non sostituisce l’obbligo di designare un DPO, se necessario. Il registro dei trattamenti, obbligatorio per titolari e responsabili, può essere gestito dal DPO sotto la loro responsabilità. Comprendere queste distinzioni è essenziale per una corretta implementazione del GDPR.
Responsabile del trattamento vs DPO: Differenze chiave nel GDPR
Dopo la recentissima modifica[1] all’articolo 29 del Codice della privacy che ha riaperto il dibattito in ordine alla configurabilità (o sopravvivenza) del ruolo del responsabile interno anche in epoca successiva al 25 maggio 2018 (data in cui il Regolamento generale sulla protezione dei dati – di seguito anche solo Regolamento o RGPD- sarà pienamente applicabile), è forse opportuno chiarire, per chi non abbia troppa dimestichezza con la normativa, quali differenze ci siano tra il responsabile del trattamento e il responsabile per la protezione dei dati, e se i due ruoli possano essere in qualche modo fungibili o interscambiabili.
Scopo di questa breve disamina non è chiarire la configurabilità o meno del responsabile interno nel riformato quadro europeo; vi è chi sostiene che tale ruolo sia incompatibile con il Regolamento generale sulla protezione dei dati e chi, invece, sostiene che la sopravvivenza del responsabile interno sia auspicabile. La due opposte fazioni vedono schierati commentatori di indubbia autorevolezza e qualunque sia la scelta definitiva che verrà compiuta dal legislatore nazionale probabilmente non sederà il dibattito.
Qui si vuole solo evidenziare la differenza tra i due ruoli (responsabile del trattamento e responsabile della protezione dei dati), in modo da consentire, anche a chi non abbia familiarità con il regolamento, di districarsi tra gli adempimenti che impone la nuova normativa.
Chi è il Responsabile del trattamento dei dati personali?
Il responsabile del trattamento è definito dal Regolamento europeo come “la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento[2]”. L’articolo 28 del Regolamento generale sulla protezione dei dati prevede altresì che “qualora un trattamento debba essere effettuato per conto del titolare del trattamento, quest’ultimo ricorra unicamente a responsabili del trattamento che presentino garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate, in modo tale che il trattamento soddisfi i requisiti del presente regolamento e garantisca la tutela dei diritti dell’interessato”.
Il Codice della privacy definisce[3], invece, il responsabile come “la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo preposti dal titolare al trattamento di dati personali”, e dispone (all’art. 29) che sia “individuato tra soggetti che per esperienza, capacità e affidabilità forniscano idonea garanzia del pieno rispetto delle vigenti disposizioni in materia di trattamento, ivi compreso il profilo relativo alla sicurezza”.
Il Garante della Privacy ha osservato[4] che “Il regolamento definisce caratteristiche soggettive e responsabilità di titolare e responsabile del trattamento negli stessi termini di cui alla direttiva 95/46/CE (e, quindi, al Codice italiano)”. In pratica il responsabile è un soggetto al quale vengono delegati dei trattamenti da parte del titolare: nel momento in cui viene affidato un servizio all’esterno, se il soggetto al quale viene affidato il servizio opera “per conto” del titolare, siamo in presenza di un responsabile.
Il Garante ha osservato[5] che il Regolamento “prevede obblighi specifici in capo ai responsabili del trattamento, in quanto distinti da quelli pertinenti ai rispettivi titolari”. Al di là di ogni considerazione in ordine alla permanenza del responsabile interno, anche alla luce della nuova formulazione dell’articolo 29 del Codice della privacy, ciò che qui rileva è che il responsabile, interno o esterno che sia, dovrà offrire adeguate garanzie in ordine ai trattamenti che gli sono demandati e, soprattutto, dovrà attenersi alle istruzioni impartite dal titolare (cfr. articolo 29 del Codice della privacy e art. 28 comma 3, lettera a, del RGPD).
Data Protection Officer (DPO): Ruolo e responsabilità nel GDPR
Il Regolamento generale sulla protezione dei dati tratta del Responsabile della protezione dei dati (d’ora innanzi Data Protection Officer, DPO o RPD per evitare di indurre in confusione il lettore) nella sezione dedicata alle misure di sicurezza. Già quindi emerge una prima differenza tra il Responsabile del trattamento e il DPO, in quanto tra le garanzie che il responsabile del trattamento dovrà offrire al titolare c’è anche la nomina del DPO, ove necessaria.
In base al RGPD, infatti, non solo i titolari, ma anche i responsabili del trattamento sono tenuti a nominare un Data Protection Officer.
La designazione del DPO è obbligatoria per tutte le autorità pubbliche e tutti i soggetti pubblici, indipendentemente dai dati oggetto di trattamento, e per altri soggetti che, come attività principale, effettuino un monitoraggio regolare e su larga scala delle persone fisiche, ovvero trattino su larga scala categorie particolari di dati personali.
Come ha specificato il Gruppo di lavoro ex art 29 (di seguito anche WP29), nelle Linee guida sui responsabili della protezione dei dati, “Anche ove il regolamento non imponga in modo specifico la designazione di un RPD, può risultare utile procedere a tale designazione su base volontaria. Il Gruppo di lavoro “Articolo 29” incoraggia gli approcci di questo genere.
La figura del RPD non costituisce una novità assoluta. La direttiva 95/46/CE3 non prevedeva alcun obbligo di nomina di un RPD, ma in molti Stati membri questa è divenuta una prassi nel corso degli anni.
Ancor prima dell’adozione del RGPD, il Gruppo di lavoro ha sostenuto che questa figura rappresentasse un elemento fondante ai fini della responsabilizzazione, e che la nomina del RPD potesse facilitare l’osservanza della normativa e aumentare il margine competitivo delle imprese. Oltre a favorire l’osservanza attraverso strumenti di accountability (per esempio, supportando valutazioni di impatto e conducendo o supportando audit in materia di protezione dei dati), i RPD fungono da interfaccia fra i soggetti coinvolti: autorità di controllo, interessati, divisioni operative all’interno di un’azienda o di un ente.”
Il DPO, a differenza del responsabile del trattamento ha il compito di facilitare l’applicazione della normativa, e il Gruppo di lavoro, nelle menzionate linee guida, espressamente lo definisce “facilitatore”.
In base all’articolo 37, paragrafo 5 del Regolamento, il DPO “è designato in funzione delle qualità professionali, in particolare della conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati, e della capacità di assolvere i compiti di cui all’articolo 39”.
L’articolo 37, paragrafo 5, non specifica le qualità professionali da prendere in considerazione nella nomina di un DPO, ma il Gruppo di lavoro ex art. 29 ha precisato che “sono pertinenti (…) la conoscenza (…) della normativa e delle prassi nazionali ed europee in materia di protezione dei dati e un’approfondita conoscenza del RGPD. Proficua anche la promozione di una formazione adeguata e continua rivolta ai RPD da parte delle Autorità di controllo.
E’ utile la conoscenza dello specifico settore di attività e della struttura organizzativa del titolare del trattamento; inoltre, il RPD dovrebbe avere buona familiarità con le operazioni di trattamento svolte nonché con i sistemi informativi e le esigenze di sicurezza e protezione dati manifestate dal titolare.
Nel caso di un’autorità pubblica o di un organismo pubblico, il RPD dovrebbe possedere anche una conoscenza approfondita delle norme e procedure amministrative applicabili”.
Occorre quindi non confondere le qualità professionali e le competenze del DPO con le doti di esperienza capacità e affidabilità che la normativa nazionale richiede al responsabile del trattamento debba possedere per prestare adeguate garanzie al titolare in ordine ai trattamenti che è chiamato ad effettuare per conto del titolare stesso.
Autonomia e indipendenza del DPO secondo il GDPR
Infine, il DPO può essere sia un soggetto interno che esterno alla struttura del titolare. La scelta tra le due opzioni compete al titolare (o al responsabile del trattamento, nel caso in cui l’obbligo di designazione lo riguardi) ma è essenziale in entrambi i casi che al DPO siano garantite autonomia e indipendenza: in merito, come ha osservato recentemente il Garante[6], l’art. 38, par. 3, del RGPD fissa alcune garanzie essenziali per consentire ai DPO di operare con un grado sufficiente di autonomia all’interno dell’organizzazione.
In particolare, occorre assicurare che il DPO “non riceva alcuna istruzione per quanto riguarda l’esecuzione di tali compiti”. Il considerando 97 del Regolamento aggiunge che i DPO “dipendenti o meno del titolare del trattamento, dovrebbero poter adempiere alle funzioni e ai compiti loro incombenti in maniera indipendente”. Ciò significa, come chiarito nelle Linee guida, che “il RPD, nell’esecuzione dei compiti attribuitigli ai sensi dell’articolo 39, non deve ricevere istruzioni sull’approccio da seguire nel caso specifico, quali siano i risultati attesi, come condurre gli accertamenti su un reclamo, se consultare o meno l’autorità di controllo. Né deve ricevere istruzioni sull’interpretazione da dare a una specifica questione attinente alla normativa in materia di protezione dei dati”.
Inoltre, sempre ai sensi dell’art. 38, par. 3, del RGPD, il DPO “riferisce direttamente al vertice gerarchico del titolare del trattamento o del responsabile del trattamento”. Tale rapporto diretto garantisce, in particolare, che il vertice amministrativo venga a conoscenza delle indicazioni e delle raccomandazioni fornite dal RPD nell’esercizio delle funzioni di informazione e consulenza a favore del titolare o del responsabile.
Indipendenza e istruzioni: Differenze chiave tra responsabile del trattamento e DPO
Al di là delle differenze relative ai compiti o alle attività peculiari dei due soggetti (o alla designazione, che, come si è visto sopra, nel caso del Data Protection Officer può avvenire anche ad opera del responsabile) è evidente l’aspetto che maggiormente distingue le due figure: una è destinata a operare in posizione di autonomia e indipendenza, e non deve assolutamente ricevere istruzioni dal titolare, l’altra invece è completamente assoggettata al potere direzionale del titolare e non solo deve ricevere istruzioni scritte[7], ma deve anche attenervisi scrupolosamente.
Al responsabile del trattamento, infatti, è precluso discostarsi dalle istruzioni del titolare e non solo: se un responsabile del trattamento viola il RGPD, determinando le finalità e i mezzi del trattamento, egli è considerato un titolare del trattamento[8], con ciò che ne consegue in termini di responsabilità e sanzioni.
In linea generale, infatti, mentre il titolare del trattamento risponde per il danno cagionato dal trattamento che violi il GDPR, il responsabile del trattamento risponde (in solido con il titolare e per l’intero ammontare del danno) solo se non ha adempiuto gli obblighi del GDPR specificatamente diretti ai responsabili del trattamento o ha agito in modo difforme o contrario rispetto alle legittime istruzioni del titolare del trattamento[9].
Invece il DPO, nell’esecuzione dei compiti attribuiti, non deve ricevere istruzioni e il titolare del trattamento o il responsabile del trattamento mantengono la piena responsabilità dell’osservanza della normativa in materia di protezione dei dati e devono essere in grado di dimostrare tale osservanza.
Responsabile del trattamento e DPO: i ruoli sono intercambiabili?
Da quanto detto sin qui si comprende che la risposta a questa domanda non può che essere negativa. I due ruoli non sono fungibili né sovrapponibili e il titolare che sia obbligato a designare un DPO non potrà certo pensare di venir meno a tale obbligo nominando un responsabile del trattamento!
Anche ove il titolare non sia obbligato, ma decida di designare facoltativamente il DPO deve star attento a non far confusione tra i ruoli: come ha ricordato il WP29 nelle linee guida sopra richiamate, se si procede alla nomina di un DPO su base volontaria, troveranno applicazione tutti i requisiti di cui agli articoli 37-39 per quanto concerne la nomina stessa, lo status e i compiti del DPO esattamente come nel caso di una nomina obbligatoria.
Registro dei trattamenti: Obbligo per titolare, responsabile e ruolo del DPO
Un’ultima annotazione riguarda il registro dei trattamenti, obbligo a cui, a norma dell’articolo 30 del Regolamento generale sulla protezione dei dati, è tenuto il titolare o il responsabile (con le eccezioni previste all’ultimo comma dell’articolo 30 RGPD), che nella pratica (e limitatamente alla ma personale esperienza), mi è parso generare qualche perplessità.
L’articolo 30 RGPD, al secondo comma, dispone che ogni responsabile del trattamento tenga un registro di tutte le categorie di attività relative al trattamento svolte per conto di un titolare del trattamento, contenente almeno gli elementi elencati nell’articolo medesimo.
Il WP29[10] ha osservato, per quanto riguarda il registro dei trattamenti, che sebbene la sua tenuta sia un obbligo che ricade sul titolare del trattamento o sul responsabile del trattamento, e non sul DPO, nulla vieta al titolare del trattamento o al responsabile del trattamento di affidare al DPO il compito di tenere il registro delle attività di trattamento sotto la responsabilità del titolare o del responsabile stesso. Tale registro va considerato uno degli strumenti che consentono al DPO di adempiere agli obblighi di sorveglianza del rispetto del regolamento, informazione e consulenza nei riguardi del titolare del trattamento o del responsabile del trattamento.
Anche il fatto di delegare al DPO la tenuta del registro, pertanto, non deve indurre in errore e far ritenere fungibili o sovrapponibili i ruoli di data protection officer (responsabile per la protezione dei dati) e responsabile del trattamento.
NOTE
- [1] L’articolo 29 del Codice della privacy è stato modificato dall’art.28, comma 1, lettera a), numeri 1) e 2), della legge 20 novembre 2017, n. 167, recante “Disposizioni per l’adempimento degli obblighi derivanti dall’appartenenza dell’Italia all’Unione europea – Legge europea 2017”
- [2] Articolo 4, comma1, n. 8 REGOLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO E DEL CONSIGLIO del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati)
- [3] Articolo 4, comma 1, lettera g) del D. Lgs. 196/03
- [4] Garante Privacy, RegolamentoUE, Guida all’applicazione del Regolamento europeo in materia di protezione dei dati personali, “titolare, responsabile, incaricato del trattamento”: http://garanteprivacy.it/titolare-responsabile-incaricato-del-trattamento
- [5] Garante Privacy, RegolamentoUE, Guida all’applicazione del Regolamento europeo in materia di protezione dei dati personali, “titolare, responsabile, incaricato del trattamento”: http://garanteprivacy.it/titolare-responsabile-incaricato-del-trattamento
- [6] Autorità garante per la protezione dei dati personali Nuove Faq sul Responsabile della Protezione dei dati (RPD) in ambito pubblico (in aggiunta a quelle adottate dal Gruppo Art. 29 in Allegato alle Linee guida sul RPD) http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/7322110
- [7] Articolo 29 REGOLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO E DEL CONSIGLIO del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati) e Articolo 29, comma 5 del D. Lgs. 196/03
- [8] Articolo 28, comma 10, REGOLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO E DEL CONSIGLIO del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati)
- [9] Articolo 82 REGOLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO E DEL CONSIGLIO del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati)
- [10] GRUPPO DI LAVORO ARTICOLO 29 PER LA PROTEZIONE DEI DATI, Linee – guida sui responsabili della protezione dei dati (RPD) Adottate il 13 dicembre 2017 – Versione emendata e adottata in data 5 aprile 2017(WP243)
BIBLIOGRAFIA
- Commission Nationale de l’Informatique et des Libertés, Règlement européen sur la protection des données personnelles GUIDE DU SOUS – TRAITANT EDITION SEPTEMBRE 2017 https://www.cnil.fr/sites/default/files/atoms/files/rgpd-guide_sous-traitant-cnil.pdf
- GRUPPO DI LAVORO ARTICOLO 29 PER LA PROTEZIONE DEI DATI, Linee – guida sui responsabili della protezione dei dati (RPD) Adottate il 13 dicembre 2017 – Versione emendata e adottata in data 5 aprile 2017(WP243) http://194.242.234.211/documents/10160/0/WP+243+-+Linee-guida+sui+responsabili+della+protezione+dei+dati+%28RPD%29.pdf
- Autorità garante per la protezione dei dati personali, Guida all’applicazione del Regolamento europeo in materia di protezione dei dati personali http://www.garanteprivacy.it/guida-all-applicazione-del-regolamento-europeo-in-materia-di-protezione-dei-dati-personali
- Autorità garante per la protezione dei dati personali Il Responsabile della Protezione dei Dati (RPD) http://www.garanteprivacy.it/rpd
- Autorità garante per la protezione dei dati personali Nuove Faq sul Responsabile della Protezione dei dati (RPD) in ambito pubblico (in aggiunta a quelle adottate dal Gruppo Art. 29 in Allegato alle Linee guida sul RPD) http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/7322110
A cura di: Cristina Vicarelli
Avvocato del Foro di Perugia, si occupa principalmente di protezione dei dati personali, privacy, diritto dell’informatica e di Internet.
https://www.cristina-vicarelli.it