Stamattina ho ricevuto una mail da un collega e, come spesso accade a chi svolge il mio mestiere, ho scaricato un file word in quanto il collaboratore mi aveva richiesto un’esplicita approvazione del documento allegato. Una volta aperto il file Microsoft Word ha rilevato il seguente errore:

Errore Word
Errore Word

Il programma Microsoft Word permette all’utente di aprire i file mediante il pulsante “Abilita modifica” in alto a destra, previa assunzione di responsabilità, chiedendo dunque all’utente di confermare l’affidabilità della fonte di provenienza. Quanti di voi avrebbero cliccato sul pulsante?

Ebbene. Se lo avessi fatto (e l’ho fatto, anche se con le dovute cautele, ovvero all’interno di una virtual machine) il mio sistema informatico sarebbe stato infettato da sei virus differenti, che avrebbero intaccato i file di registro facendomi perdere, nella migliore delle ipotesi, mezza giornata di lavoro per sistemare il problema.

Questo episodio offre la possibilità di fare alcune considerazioni in merito alla nuova figura professionale del Data Protection Officer (o Responsabile della Protezione dei Dati) che è stata introdotta nel nostro ordinamento con il regolamento n. 2016/679 (il GDPR). Il DPO è una figura con particolari competenze in campo informatico, giuridico, di valutazione del rischio e di analisi dei processi la cui regolamentazione è frutto dell’interpretazione del gruppo degli esperti e dei garanti nazionali (WP29). I compiti del DPO sono elencati dall’art. 39 del GDPR, il quale stabilisce che tale figura debba:

  • informare il Titolare ed il responsabile del trattamento relativamente agli obblighi di legge previsti dal Regolamento o da ulteriori normative dell’Unione in materia di dati personali;
  • controllare l’osservanza del Regolamento da parte del Titolare del trattamento o del Responsabile del trattamento;
  • fornire pareri circa la valutazione d’impatto sulla protezione dei dati;
  • collaborare con l’autorità di controllo, effettuando consultazioni su qualsiasi altra eventuale questione.

Secondo l’art. 37 del GDPR la nomina del DPO è obbligatoria in tre casi:

  1. se il trattamento è svolto da un’autorità pubblica o da un organismo pubblico;
  2. se le attività principali del titolare del trattamento o del responsabile del trattamento consistono in trattamenti che richiedono il monitoraggio regolare e sistematico di interessati su larga scala;
  3. se le attività principali del titolare del trattamento o del responsabile del trattamento consistono nel trattamento su larga scala di categorie particolari di dati o di dati personali relativi a condanne penali e reati.

Fortunatamente il gruppo di lavoro articolo 29 (WP29) è stato sufficientemente chiaro – almeno per quanto riguarda la professione del legale – nel fornire l’interpretazione del concetto di “larga scala”, fornendo alcuni esempi di trattamento che non necessitano della nomina del DPO ad hoc, ovvero:

  • trattamento di dati relativi a pazienti svolto da un singolo professionista sanitario
  • trattamento di dati personali relativi a condanne penali e reati svolto da un singolo avvocato

Sul sito del Garante italiano – in particolare nella sezione faq relative al DPO (http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/7322110) – ad ogni modo si legge che:

“nel caso in cui soggetti privati esercitino funzioni pubbliche (in qualità, ad esempio, di concessionari di servizi pubblici), può risultare comunque fortemente raccomandato, ancorché non obbligatorio, procedere alla designazione di un RPD (ndr. DPO).”

Tornando all’episodio di stamattina, vi starete certamente chiedendo se un bravo DPO avrebbe permesso di eliminare il virus informatico. Probabilmente la risposta corretta sarebbe negativa, il DPO non è un informatico, ma lo riterrei comunque responsabile per l’erronea consulenza sulle misure di sicurezza e di gestione necessarie che, se fossero state correttamente adottate, avrebbero evitato il problema.

La questione relativa alla responsabilità del DPO ha dato avvio ad un interessante dibattito che vede da un lato chi rileva che si tratti di una mera figura di controllo e di consulenza priva di responsabilità esecutive (lo stesso GDPR è molto chiaro nell’affermare che: “La conformità alla protezione dei dati è una responsabilità aziendale del responsabile e del titolare del trattamento, non del DPO”), dall’altro chi pone l’accento sulla responsabilità contrattuale del DPO nei confronti del suo committente. A ben vedere entrambe le posizioni sono condivisibili, in quanto un’errata consulenza ben potrebbe configurare l’ipotesi di inadempimento di obblighi contrattuali nei confronti del titolare del trattamento che legittimerebbe l’impresa o l’ente pubblico non solo a sciogliere il contratto per giusta causa, ma anche a chiedere l’eventuale risarcimento dei danni.ù

Leggi tutti gli articoli della rubrica Road to GDPR

© RIPRODUZIONE RISERVATA