secure office locker with key in lock

Il DPO esterno nelle PMI

/ Diritto delle nuove tecnologie / Di
Tempo di lettura stimato:11 Minuti, 16 Secondi

Per molte piccole e medie imprese, il Responsabile della protezione dei dati viene ancora percepito come una figura opaca, talvolta evocata in modo automatico, talaltra esclusa con eccessiva disinvoltura. È un equivoco che, ad ormai 8 anni dall’applicazione del GDPR, merita di essere sciolto. Cominciamo col dire che il Regolamento non impone la nomina del DPO in ogni contesto aziendale, ma la prevede quando il trattamento è svolto da un’autorità o organismo pubblico, oppure quando le attività principali consistono nel monitoraggio regolare e sistematico degli interessati su larga scala o nel trattamento su larga scala di categorie particolari di dati o di dati relativi a reati e condanne penali. Fuori da questi casi, la designazione resta comunque possibile su base volontaria.

Per le PMI, il punto non è soltanto stabilire se la nomina sia obbligatoria. Il vero tema è comprendere quando il DPO esterno rappresenti una scelta organizzativa utile, sostenibile e continuativa. In molte realtà imprenditoriali di dimensioni medio-piccole, infatti, i trattamenti connessi alla gestione ordinaria di fornitori e dipendenti non integrano, di regola, i presupposti dell’art. 37 GDPR, anche se tuttavia non mancano eccezioni, specie quando l’impresa sviluppa servizi digitali, soluzioni innovative o modelli di business fondati su profilazione, geolocalizzazione, dati sanitari o altri flussi informativi ad alta intensità. Proprio per questo, la valutazione non può essere meccanica, ma deve essere calibrata sulle attività principali e sulla concreta fisionomia del trattamento.

Non si tratta quindi di un adempimento “ornamentale”.

Il primo chiarimento è quindi alquanto netto: il DPO non coincide con un referente interno genericamente addetto alla privacy, né con un delegato operativo cui scaricare l’intera compliance. Il Regolamento lo colloca accanto al titolare e al responsabile del trattamento, ma con una funzione alquanto diversa: non decide finalità e mezzi del trattamento, non sostituisce il management, non assorbe le responsabilità del titolare. I suoi compiti minimi sono quelli indicati dall’art. 39 GDPR, e cioè informare e consigliare, sorvegliare l’osservanza della disciplina, fornire pareri sulla DPIA, cooperare con l’autorità di controllo e fungere da punto di contatto. La responsabilità della conformità, però, resta in capo al titolare o al responsabile del trattamento.

Questa distinzione è decisiva per le PMI. Quando si acquista un servizio di DPO esterno, non si compra una “immunità regolatoria”. Si introduce, piuttosto, un presidio di sorveglianza, consulenza e raccordo, che può diventare particolarmente prezioso laddove l’impresa non disponga internamente di competenze giuridiche, organizzative e tecniche adeguate.

Ma chiariamo adesso perché l’esternalizzazione può funzionare nelle PMI.

Il GDPR consente sia che il DPO sia un dipendente, sia che assolva i propri compiti in base a un contratto di servizi. Tale ultima impostazione rende l’esternalizzazione perfettamente compatibile con il modello europeo di governance dei dati. Per una PMI, questa soluzione ha una ratio evidente, e cioè quella di accedere a competenze specialistiche senza appesantire in modo strutturale l’organigramma. Ma la nomina esterna, va detto, è legittima e utile solo se il professionista — o la struttura professionale designata — assicura una conoscenza specialistica della normativa e delle prassi, familiarità con i trattamenti svolti, comprensione del settore di attività e capacità di promuovere una cultura della protezione dei dati all’interno dell’organizzazione.

Da questo punto di vista, il DPO esterno è tanto più efficace quanto più riesce a operare non come consulente episodico, ma come funzione continuativa. Sul puntro bisogna sottolineare infatti che la figura è chiamata a presidiare procedure organizzative, monitoraggio della conformità, gestione dei reclami, cooperazione con l’autorità e attività di informazione e sensibilizzazione. Si tratta di un ufficio sostanziale, non di una mera firma in calce a un contratto.

Il nodo delle responsabilità sta nel definire cosa fa il DPO e cosa resta all’impresa

Un secondo equivoco ricorrente riguarda infatti proprio la responsabilità. La presenza del DPO, anche esterno, non trasferisce sull’incaricato le obbligazioni del titolare. L’impresa conserva il dovere di strutturare basi giuridiche corrette, informative adeguate, misure tecniche e organizzative proporzionate, registri, valutazioni di impatto e procedure di gestione dei data breach. Il DPO affianca, verifica, segnala, consiglia, non governa in via sostitutiva l’intera macchina aziendale.

Per questa ragione, nelle PMI il rapporto con il DPO esterno dovrebbe essere costruito in termini di servizio continuativo di accompagnamento, con perimetro chiaro: mappatura dei trattamenti, verifica periodica, supporto su informative e contratti, presidio della formazione interna, pareri sulle criticità più esposte e interfaccia con il Garante quando necessario. La continuità vale più della nominalità. Una designazione formalmente corretta ma sostanzialmente inerte espone l’impresa a un rischio ben più serio di quello che vorrebbe evitare, e cioè la compliance apparente.

Ma vi è una clausola che molte PMI sottovalutano, e cioè quella dell’indipendenza.

Il DPO, per legge, deve essere coinvolto tempestivamente e adeguatamente in tutte le questioni riguardanti la protezione dei dati. Deve ricevere le risorse necessarie, non deve ricevere istruzioni per quanto riguarda l’esecuzione dei propri compiti, non può essere rimosso o penalizzato per il loro adempimento; deve riferire direttamente al vertice gerarchico. Queste garanzie non sono accessorie, ma costituiscono il vero nucleo della sua funzione.

Per le PMI ciò implica una conseguenza pratica molto chiara. Anche quando il DPO è esterno, il rapporto contrattuale non può essere congegnato come se si trattasse di un esecutore subordinato alle preferenze del management. Un DPO che debba negoziare ogni accesso, inseguire informazioni frammentarie o mendicare risorse non è realmente indipendente. Leggi, regolamenti e pareri delle Autorità sul punto sono molto esplicite: le risorse devono essere finanziarie, organizzative, strutturali e umane, proporzionate alla natura e complessità dei trattamenti.

Ma in una siffatta costruzione, la frontiera più delicata è senz’altro rappresentata dal conflitto d’interessi.

Nella prassi aziendale, soprattutto nelle strutture snelle, si tende talvolta a cumulare il ruolo di DPO con funzioni che incidono direttamente sulle scelte di trattamento. È una soluzione pericolosa. Le Linee guida WP243 precisano che il DPO non può rivestire un ruolo che comporti la definizione delle finalità o delle modalità del trattamento. Sono perciò tipicamente confliggenti gli incarichi apicali o direzionali in aree come IT, marketing, risorse umane, finanza, direzione generale, nonché ogni posizione che influenzi in concreto mezzi e finalità del trattamento.

Nelle PMI questo profilo è ancora più sensibile, perché il perimetro delle funzioni è spesso concentrato in poche persone. Proprio qui il DPO esterno può risultare preferibile, in quanto riduce il rischio di sovrapposizioni patologiche e rafforza l’autonomia del presidio privacy. Ma anche l’esternalizzazione non è di per sé risolutiva. Un DPO esterno che, ad esempio, assista stabilmente l’impresa in ruoli incompatibili o la rappresenti in giudizio su questioni che toccano la protezione dei dati potrebbe comunque trovarsi in conflitto. Serve quindi una chiara architettura contrattuale, con perimetro delle attività, garanzie di indipendenza e meccanismi di prevenzione dei conflitti ben definiti.

Ma ora veniamo al punto realmente saliente di questa breve analisi. E cioè al quando le PMI dovrebbero pensarci seriamente, anche se non obbligate.

Come abbiamo visto, non tutte le PMI sono obbligate a nominare un DPO. Ma molte dovrebbero interrogarsi seriamente sull’opportunità di farlo. Accade, per esempio, quando il trattamento dei dati costituisce una componente strutturale del servizio offerto, quando vi è un uso sistematico di piattaforme digitali, quando i dati particolari assumono rilievo competitivo od operativo, oppure quando la filiera dei fornitori tecnologici rende necessario un presidio specialistico non occasionale. Le stesse linee di orientamento precedentemente richiamate ricordano che il trattamento “su larga scala” va apprezzato alla luce del numero di interessati, del volume e della varietà dei dati, della durata del trattamento e della sua estensione geografica.

Si pensi, ad esempio, a una software house che sviluppa piattaforme gestionali in cloud per clienti aziendali, a una società di digital marketing che analizza dati degli utenti per campagne pubblicitarie, oppure a una PMI che gestisce applicazioni mobili o piattaforme di prenotazione on-line. In queste realtà il dato personale rappresenta la materia prima del servizio digitale, pur senza integrare necessariamente i requisiti della “larga scala” previsti dall’art. 37 GDPR per l’obbligo di nomina del DPO. In simili contesti, la designazione di un DPO esterno può comunque risultare una scelta prudenziale e organizzativamente virtuosa, poiché consente di presidiare in modo continuativo la conformità normativa e la governance dei trattamenti.

In altri termini, la domanda giusta non è soltanto: “Siamo obbligati?”. La domanda davvero utile è: “Abbiamo bisogno di una funzione indipendente e continuativa che aiuti l’impresa a governare il rischio privacy?”. In molti casi, la risposta è sì, prima ancora che per obbligo, per elementare prudenza organizzativa.

Il DPO esterno nelle PMI non va letto quindi come un lusso regolatorio, né come un orpello documentale. È, piuttosto, una figura di equilibrio. Chiarisce ruoli. Riduce opacità. Sorveglia processi. Intercetta criticità prima che diventino violazioni. E, soprattutto, restituisce alla protezione dei dati la sua corretta natura: non un fastidio ancillare, ma una funzione di affidabilità dell’impresa.

Per una PMI che tratta dati in modo non marginale, la scelta più avveduta non è attendere il problema. È valutare adesso la nomina di un DPO, verificando obbligatorietà, perimetro dei trattamenti, rischi specifici, indipendenza della funzione e sostenibilità del servizio nel tempo. La nomina del DPO, quando ben costruita, non chiude soltanto un adempimento: apre una governance più matura del dato.

Per approfondire:

- G. FINOCCHIARO, La protezione dei dati personali in Italia, Bologna, 2019;

- M. G. RICCIO, G. SCORZA, E. BELISARIO, GDPR e Normativa Privacy Commentario, Padova, 2018;

- R. SCIAUDONE, E. CARAVÀ, Il codice della privacy - Commento al D. Lgs. 30 giugno 2003, n. 196 e al D. Lgs. 10 agosto 2018 n. 101 alla luce del Regolamento (UE) 2016/679 (GDPR), Pisa, 2019; 

- S. SICA, V. ZENO ZENCOVICH, Manuale di diritto dell'informazione e della comunicazione, Padova, 2019; 

- A. CICCIA MESSINA, N. BERNARDI, Privacy e Regolamento Europeo, Padova, 2017; 

- R. BESSI, Il trasferimento dei dati personali verso paesi terzi nel regolamento generale sulla protezione dei dati, in Rivista di diritto dei media, 3/2017, pp. 1-28.

- G. BUTTARELLI, Il trasferimento internazionale dei dati personali tra continuità e innovazione: il regolamento generale sulla protezione dei dati e il protocollo modificativo alla convenzione 108 del Consiglio d'Europa, in Diritto dell'informazione e dell'informatica, 1/2018, pp. 3-24.

- P. DE HERT, V. PAPAKONSTANTINOU, The new General Data Protection Regulation: Still a sound system for the protection of individuals?, in Computer Law & Security Review, 2016, vol. 32, n. 2, pp. 179-194.

- F. FABBRINI, Schrems II: A watershed moment for data privacy?, in European Law Review, 2020, vol. 45, n. 6, pp. 769-789.

- G. FINOCCHIARO, G. RESTA, Il trasferimento internazionale dei dati personali tra diritto europeo e diritto interno: profili sostanziali e processuali, in Giurisprudenza italiana, 2019, vol. 167, n. 11-12, pp. 2615-2624; 

- G. FINOCCHIARO, Identità personale su Internet: Il diritto alla contestualizzazione dell’informazione, in DInf, 28, 3, 2012, 383; 

- G. FINOCCHIARO, Il diritto all’oblio nel quadro dei diritti della personalità, in DInf, 29, 4-5, 2014, 596;

- A. RICCI, I diritti dell’interessato, in G. FINOCCHIARO (a cura di), Il nuovo Regolamento europeo sulla privacy e sulla protezione dei dati personali, Bologna, 2016, 201;

- F. PIZZETTI, Le Autorità Garanti per la protezione dei dati personali e la sentenza della Corte di giustizia sul caso Google Spain: è tempo di far cadere il “Velo di Maya”, in RESTA-ZENO-ZENCOVICH, Il diritto all’oblio su Internet dopo la sentenza Google Spain, Roma, 2015, 274; 

- F. PIZZETTI, Il prisma del diritto all’oblio, in F. PIZZETTI, Il caso del diritto all’oblio, Torino, 2013, 21-63; 

- T.E. FROSINI, Il diritto all’oblio e la libertà informatica, in F. PIZZETTI (a cura di), Il caso del diritto all’oblio, Torino, 2013, 94; 

- A. MANTELERO, Il diritto all’oblio dalla carta stampata ad Internet, in F. PIZZETTI (a cura di), Il caso del diritto all’oblio,  Torino, 2013, 145-172;

- SIANO, Il diritto all’oblio in Europa e il recente caso spagnolo, in F. PIZZETTI (a cura di), Il caso del diritto all’oblio, Torino, 2013, 125; 

- D’ANTONIO, Oblio e cancellazione dei dati nel diritto europeo, in SICA-D’ANTONIO-RICCIO (a cura di), La nuovadisciplina europea della privacy, Milano, 2016, 207; 

- FERRI, Diritto all’informazione e diritto all’oblio, in RDC, 1990, I, 818; 

- OROFINO, Trattamento dei dati personali e libertà di espressione e di informazione, in CALIFANO-COLAPIETRO (a cura di), Innovazione tecnologica e valore della persona, Il diritto alla protezione dei dati personali nel Regolamento UE 2016/679, Napoli, 2017; 

- E. PELINO, I diritti dell’interessato, in BOLOGNINI-PELINO-BISTOLFI, Il Regolamento privacy europeo, Commentario alla nuova disciplina sulla protezione dei dati personali, Milano 2016, 259, 263, 264; 

- RICCIO, Diritto all’oblio e responsabilità dei motori di ricerca, in DInf, 29, 4-5, 2014, 759; 

- COOLEY, Treatise on the Law of Torts del 1879, in GLANCY, The Invention of the Right to Privacy, Arizona Law Review, vol. 29, 1, 1979; 

- WARREN-BRANDEIS, The Right to Privacy, in Harvard Law Review, vol. 4, 1890, V, 193-220; 

- G. ALPA, A. IANNINI, P. ROCCO, Circolazione e protezione dei dati personali tra libertà e regole del mercato, Milano, 2019; 

- G.M. RICCIO, G. SCORZA, E. BELISARIO, GDPR e normativa privacy, Commentario, Padova, 2018; 

- L. BOLOGNINI, E. PELINO (diretto da), Codice della disciplina privacy, Milano, 2019; 

- A. AVITABILE, Il Data Protection Officier, in G. FINOCCHIARO (diretto da), Il nuovo regolamento europeo sulla privacy e protezione dei dati personali, Bologna, 2017; 

- E. PELINO, L. BOLOGNINI, C. BISTOLFI, Il Regolamento privacy europeo. Commentario alla nuova disciplina sulla protezione dei dati personali, Milano, 2016.

The following two tabs change content below.
Il mio profilo FacebookIl mio profilo LinkedIn

Nicola Nappi

⚖️ Diritto commerciale, assicurativo, bancario, delle esecuzioni, di famiglia. Diritti reali, di proprietà, delle locazioni e del condominio. IT Law. a Studio Legale Nappi
*Giurista, Master Universitario di II° livello in Informatica Giuridica, nuove tecnologie e diritto dell'informatica, Master Universitario di I° livello in Diritto delle Nuove Tecnologie ed Informatica Giuridica, Corso di Specializzazione Universitario in Regulatory Compliance, Corso di Specializzazione Universitario in European Business Law, Corso di Perfezionamento Universitario in Criminalità Informatica e Investigazioni digitali - Le procedure di investigazione e di rimozione dei contenuti digitali, Corso di Perfezionamento Universitario in Criminalità Informatica e Investigazioni digitali - Intelligenza Artificiale, attacchi, crimini informatici, investigazioni e aspetti etico-sociali, Master Data Protection Officer, Consulente esperto qualificato nell’ambito del trattamento dei dati.
error: Misure tecnologiche di protezione attive ex art. 11 WIPO Copyright Treaty, §1201 del DMCA, art. 6, dir. 29/2001/CE, art. 102-quater, l. 22 aprile 1941, n. 633, art. 171-ter, l. 22 aprile 1941, n. 633.