DPO, Giurista o Ingegnere? Il volto di una nuova figura professionale riconosciuta a livello europeo
Grazie all’entrata in vigore del nuovo Regolamento Europeo 679/16, concernente la tutela delle persone fisiche con riguardo al trattamento dei dati personali e la libera circolazione di tali dati, vi è stato uno stravolgimento generale del concetto di Privacy a livello internazionale.
Tale Regolamento, comunemente chiamato GDPR (General Data Protection Regulation), è un atto legislativo europeo, le cui disposizioni sono integralmente obbligatorie ed automaticamente vincolanti, sia per le Autorità Pubbliche che per i singoli cittadini, in tutti gli Stati membri fin dalla sua entrata in vigore.
(come previsto dall’art. 288 del “Trattato sul funzionamento dell’UE” che cita “Per esercitare le competenze dell’Unione, le istituzioni adottano regolamenti, direttive, decisioni, raccomandazioni e pareri. Il regolamento ha portata generale. Esso è obbligatorio in tutti i suoi elementi e direttamente applicabile in ciascuno degli Stati membri”).
In forza del principio del primato (o di preminenza) del diritto europeo su quello nazionale, il GDPR prevale su eventuali leggi degli Stati membri incompatibili o in contrasto con esso.
Il legislatore ha sentito il bisogno di emanare tale regolamento sostanzialmente per due motivi: la prima motivazione è data dall’utilizzo stesso dell’atto legislativo del Regolamento, cosicché in tutti gli Stati Membri venisse utilizzata la medesima normativa in materia di protezione dei dati personali; la seconda motivazione è legata all’evoluzione tecnologica (nascita di smartphone, social network, i cloud per salvare i file, ect).
Assodata quindi l’importanza storica e l’impatto che tale regolamento ha apportato al concetto privacy, è necessario far emergere il cambiamento ritenuto più evidente, ovvero la nascita, all’interno del panorama normativo, di una nuova figura professionale, quella del Responsabile della Protezione Dati (RSP), più comunemente chiamata con l’acronimo DPO, Data Protection Officer. Tale figura si aggiunge a quelle “classiche privatistiche” quali Titolare e Responsabile del trattamento.
Il DPO è all’apparenza una figura contorta riconosciuta a livello internazionale, in realtà si tratta semplicemente di una persona fisica avente responsabilità limitate al proprio contratto che ricopre un doppio ruolo all’interno dell’azienda o della Pubblica amministrazione nella quale opera.
Infatti deve vigilare tutti i processi interni alla struttura e deve offrire consulenza, rappresentando il tramite tra l’azienda e l’Autorità Garante nazionale. In linea generale la qualifica di DPO – Data Protection Officer – di fatto muta l’attività del consulente privacy in azienda.
E’ opportuno specificare che la figura del Responsabile della Protezione Dati non è una figura del tutto nuovo nel panorama mondiale. Infatti era già nota a partire dagli anni ‘90 soprattutto negli USA e nel sistema anglosassone con il termine di Chief Privacy Officer (CPO), “agente della privacy”.
Questa figura strategica di gestione è stata istituita dalle grandi società per rispondere alla preoccupazione dei consumatori sull’utilizzo dei propri dati personali e per meglio gestire il rispetto delle norme inerenti al tema.
Il DPO e il CPO hanno competenze analoghe, ma il primo si distingue dal secondo per essere una figura non operativa e autonoma che esercita le proprie funzioni di controllo in piena indipendenza senza ricevere alcuna istruzione o impartizione gerarchica.
E’ evidente che il responsabile della protezione dei dati debba essere designato in funzione di una conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati, e altresì deve avere una spiccata abilità nell’assolvere tutti i compiti attribuitigli.
Il GDPR non entra nel dettaglio né delle qualità né delle competenze professionali che debba possedere il DPO e questo ha dato adito a diverse interpretazioni lasciando aperta ed irrisolta una domanda fondamentale: il DPO deve essere un Giurista o un Ingegnere?
Purtroppo a questa domanda non vi è risposta certa, ma risulta ovvio che il DPO debba poter offrire, con il grado di professionalità e preparazione adeguati alla complessità dei compiti da svolgere, la consulenza necessaria per progettare, verificare e mantenere un sistema organizzato di gestione dei dati personali, collaborando con il titolare nell’adozione di un complesso di misure e garanzie adeguate al contesto in cui è chiamato a operare.
Per poter conoscere meglio il volto di tale nuova figura professionale è indispensabile rifarsi agli articoli 37,38,39 del GDPR che definiscono in modo chiaro ogni singolo aspetto legato al Data Protection Officer.