Il 13 dicembre scorso il Data Protection Working Party – il gruppo di lavoro europeo sulla protezione dei dati personali – ha pubblicato le nuove linee guida sul Data Protection Officer specificando i requisiti soggettivi e oggettivi di questa nuova figura, la cui designazione sarà obbligatoria per tutti i soggetti pubblici e per i soggetti privati che effettuano monitoraggio delle persone o trattano dati sensibili su larga scala, a partire dal 2018.
Il documento, in particolare, ha precisato quali debbano essere le competenze professionali e le garanzie di indipendenza e inamovibilità di cui il DPO deve godere nello svolgimento delle proprie funzioni di indirizzo e controllo all’interno dell’organizzazione interessata.
Ai nuovi DPO si richiede anzitutto una solida competenze sulla normativa nazionale ed europea oltre che sulle prassi in materia di protezione di dati del regolamento europeo. Nel caso sia coinvolto un soggetto pubblico, inoltre, sarà necessaria la conoscenza dell’ordinamento e dell’organizzazione delle pubbliche amministrazioni.
Dal punto di vista della responsabilità, le Linee Guida stabiliscono che il DPO non potrà essere personalmente responsabile per eventuali violazioni di legge, richiamando il fatto che l’attuale normativa esige la dimostrazione di osservanza della normativa vigente solo a carico del titolare e del responsabile del trattamento.
Cionondimeno, sarà sempre consentito al titolare del trattamento di citare in giudizio il DPO per inadempimento del contratto di servizio e per essere eventualmente risarcito dei danni occorsi.
Per contro, coloro che avessero subito danni per un trattamento operato dal titolare, ma conforme al parere errato del DPO, potranno agire direttamente verso quest’ultimo a titolo di responsabilità extracontrattuale.
La funzione di DPO, infine, potrà essere svolta anche da consulenti o organizzazioni esterne (come le società) tramite la sottoscrizione di un apposito contratto di servizi, purchè ognuno dei componenti dell’organizzazione sia dotato dei requisiti di competenza necessari.
Il menzionato accordo, oltre a disciplinare gli aspetti essenziali del rapporto, dovrà anche indicare per ciascun cliente un singolo DPO, referente specifico incaricato.
Infine, le Linee Guida sono intervenute sul delicato tema del conflitto di interessi sottolineando che, seppur sia consentito al DPO di svolgere contemporaneamente altre funzioni, l’organizzazione dovrà comunque garantire che tali attività non diano luogo ad un conflitti di interesse.
Per tale ragione, il documento enuncia alcune best practice per i titolari del trattamento, tra cui la preventiva identificazione delle posizioni incompatibili con la funzione di DPO; l’adozione di regole interne per evitare situazioni di conflitto d’interesse e di iniziative di sensibilizzazione dei DPO sul tema, oltre alla espressa dichiarazione dell’assenza di conflitti da parte di questi ultimi.
Proprio il tema del conflitto d’interessi, resta senza dubbio quello di maggiore difficoltà interpretativa, così come testimoniato dalla recente decisione del Garante per la privacy tedesco, che ha multato una società che aveva designato il proprio IT manager come DPO e ledendo così indipendenza prescritta dalla normativa vigente.
Ad oggi, non è ancora noto l’esatto ammontare della sanzione che verrà comminata alla società tedesca, ma la questione del conflitto di interesse resta comunque cruciale per le organizzazioni interessate, che in caso di violazioni potrebbero incorrere in multe fino a 10 milioni di euro o al 2% del fatturato globale annuo.