DPO: QUANDO È OBBLIGATORIO

Una delle principali novità inserita nel Regolamento Europeo sulla protezione dei dati (Regolamento U.E. 2016/679 anche GDPR), è rappresentata dalla figura del Data Protection Officer (DPO). La sua nomina è obbligatoria solo in casi espressamente previsti dal Regolamento:
“Il Regolamento europeo prevede tre situazioni in cui il Titolare o il Responsabile sono obbligati a nominare un DPO:

a) il trattamento è effettuato da un’autorità pubblica o da un organismo pubblico, eccettuate le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali;
b) le attività principali del titolare del trattamento o del responsabile del trattamento consistono in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala;
c) le attività principali del titolare del trattamento o del responsabile del trattamento consistono nel trattamento, su larga scala, di categorie particolari di dati personali di cui all’articolo 9 o di dati relativi a condanne penali e a reati di cui all’articolo 10”.

Sussiste, dunque, l’obbligo di nomina nel settore pubblico, mentre in quello privato, vi è obbligo solo se il Titolare o il Responsabile si trovano a svolgere, su larga scala, quale attività principale, il monitoraggio regolare e sistematico di un interessato oppure tratta dati particolari ex art. 9 del GDPR o relativi a condanne penali ex art. 10 del GDPR. È il caso di:

• Imprese assicurative
• Istituti di credito
• Sistemi di informazione creditizia
• Società finanziarie, di informazione commerciale, di revisione contabile, di recupero crediti
• Istituti di vigilanza
• Partiti e movimenti politici
• CAF e patronati
• Società operanti nel settore delle utilities come telecomunicazione, energia elettrica e gas
• Imprese di somministrazione lavoro e ricerca di personale
• Ospedali privati
• Terme
• Laboratori di analisi mediche e riabilitazione
• Società di call center, di servizi informatici e televisivi a pagamento
• Hosting di posta e società di informatica che monitorano misure di sicurezza informatica.

In molteplici altri casi la nomina tale funzione nella propria organizzazione, seppur non obbligatoria, è altamente raccomandata. Cerchiamo di capire il perché.

DPO: una figura raccomandata in ogni organizzazione

Il Garante della protezione dei dati personali, nelle sue FAQ sul DPO, prevede che “nei casi diversi da quelli previsti dall’art. 37, par. 1, lettere b) e c), del GDPR, la designazione del DPO non è obbligatoria (ad esempio, in relazione a trattamenti effettuati da liberi professionisti operanti in forma individuale o comunque che non effettuano trattamenti su larga scala; amministratori di condominio; agenti, rappresentanti e mediatori non operanti su larga scala; imprese individuali o familiari; piccole e medie imprese, con riferimento ai trattamenti dei dati personali connessi alla gestione corrente dei rapporti con fornitori e dipendenti – a tale ultimo riguardo, cfr. anche considerando 97 del GDPR, in relazione alla definizione di attività “accessoria”).

In ogni caso, resta comunque raccomandata, anche alla luce del principio di accountability che permea il GDPR, la designazione di tale figura (v., in proposito, WP 243, cit., par. 1), i cui criteri di nomina, in tale evenienza, rimangono gli stessi sopra indicati ”.

Ancor prima dell’adozione del Regolamento europeo Privacy, il Gruppo di lavoro dei Garanti WP 29 (ora, European Data Protection Board – EDPB) ha sostenuto la rilevanza della figura del DPO in quanto:

• rappresenta un elemento fondante ai fini della responsabilizzazione;
• può facilitare l’osservanza della normativa e aumentare il margine competitivo delle imprese;
• può favorire l’osservanza attraverso strumenti di accountability (per esempio, supportando valutazioni di impatto e conducendo o supportando audit in materia di protezione dei dati);
• funge da interfaccia fra i soggetti coinvolti: autorità di controllo, interessati, divisioni operative all’interno di un’azienda o di un ente.

Di conseguenza, in considerazione dell’obbligatorietà della normativa relativa alla protezione dei dati personali in ogni settore in cui vengono trattati dati personali, sorge la necessità di adeguamento alla stessa. Si ha, dunque, la necessità di una figura preparata, terza e autorevole che informi, consigli e vigili sull’osservanza della normativa, anche al fine di evitare problemi in caso di ispezioni e prevenire pesanti sanzioni. Inoltre, trattandosi di una figura di intermediazione tra l’organizzazione, gli interessati e l’Autorità Garante, è opinione solida che la nomina di un Responsabile per la protezione dei dati personali costituisca un buon investimento al fine di evitare di incorrere in problematiche molto più rilevanti e fastidiose per qualsiasi realtà.

Cosa si rischia se non si nomina il DPO

Il mancato rispetto della nomina del Responsabile per la protezione dei dati comporta la sanzione amministrativa pecuniaria fino a 10.000.000 di euro, o per le imprese, fino al 2% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore .
La mancata nomina di un DPO, quindi, comporta l’irrogazione di sanzioni ingenti. Molti sono stati i provvedimenti sanzionatori emessi a seguito di tale violazione.

Le Autorità Garanti in vena di sanzioni

Al fine di rammentare quanto sia importante la nomina di un DPO e quanto, la sua designazione, sia oggetto di controlli, si riportano alcuni provvedimenti sanzionatori emessi in questi anni.

Sanzione spagnola

Ricordiamo il provvedimento del 1°aprile 2020 con cui l’Autorità spagnola (“Agencia Española Protección Datos” – “AEPD”) ha comminato una sanzione nei confronti di una società iberica di consegne a domicilio, realizzate attraverso prenotazioni su una piattaforma online, utilizzata da migliaia di clienti, per omessa nomina del DPO. La società, per sua natura, si trovava a trattare una grande mole di dati personali, anche relativi a preferenze alimentari, allergie, dati di geolocalizzazione.

Sanzioni italiane per mancata nomina del DPO

E, ancora, si possono citare due provvedimenti emessi dal Garante italiano:

• il provvedimento n. 272/2020 nei confronti di un comune del nord Italia
• l’ordinanza di ingiunzione nei confronti di Ministero dello Sviluppo Economico (11 febbraio 2021)

Entrambi relativi a sanzioni per mancata nomina di un Responsabile per la protezione dei dati.
In particolare, nel secondo caso, il Garante per la protezione dei dati personali ha ordinato al Mise il pagamento di una sanzione di 75.000 euro per non avere nominato il Responsabile della protezione dati entro il 28 maggio 2018, data di piena applicazione del GDPR, e avere diffuso sul sito web istituzionale informazioni personali di oltre 5.000 manager. Per la prima volta l’Autorità ha sanzionato una Pubblica Amministrazione per non avere designato il DPO entro il termine stabilito ed avere provveduto alla nomina e alla comunicazione al Garante dei dati di contatto con notevole ritardo.

Sanzioni in Austria e in Germania

L’Autorità Garante austriaca (DSB), il 12 agosto 2019, ha irrogato una sanzione che ammonta a € 50.000 ad una società del settore medico che non ha nominato un Responsabile della protezione dei dati (Data Protection Officer – DPO) ai sensi dell’art. 37 GDPR, né pubblicato i suoi dati di contatto o segnalato all’Autorità di controllo.

Il commissario federale tedesco per la protezione dei dati e la libertà di informazione (BfDI) ha punito un fornitore di telecomunicazioni locale (Rapidata GmbH). La società, infatti, pur avendone obbligo, non ha ottemperato ai requisiti legali previsti dall’articolo 37 del GDPR per nominare il responsabile della protezione dei dati (Data Protection Officer – DPO) della società, nonostante le ripetute richieste da parte dell’Autorità stessa. L’importo esiguo dell’ammenda di € 10.000 è stato definito in considerazione dal fatto che si tratta di una società appartenente alla categoria delle microimprese.

Si può facilmente notare, quindi, come la sussistenza della nomina a Responsabile per la protezione dei dati personali, nei casi in cui sussiste l’obbligo, è nell’occhio del ciclone di molteplici Autorità di controllo. E non si esagera nell’affermare che, essendo ormai trascorsi anni dall’entrata in vigore del Regolamento, le Autorità saranno sempre meno clementi, prevedendo sanzioni sempre più copiose per società o pubbliche amministrazioni inadempienti.