Il profilo formativo del DPO (Data Protection Officer o anche Responsabile della protezione dati, così come indicato nell’articolo 37 del GDPR) deve essere di tipo giuridico. Questa, almeno, è la pronuncia del TAR del Friuli Venezia Giulia in una sentenza dello scorso settembre alla quale è seguito un gran bel dibattito.
Indice degli argomenti
I limiti della sentenza del Tar del Friuli
I titoli degli articoli che commentano le sentenze sono sempre e necessariamente troppo generici: occorre leggere la sentenza e non la riga del titolo (e questo vale per ogni decisione presa da un organo giudiziario in qualsiasi branca del diritto).
In primo luogo chiariamo immediatamente che le pronunce di un organo di giustizia amministrativa si rivolgono al settore pubblico. In secondo luogo il TAR è un Tribunale di primo grado e, per quanto la sentenza sia condivisibile e ben argomentata, non ha di certo l’autorevolezza di una pronuncia del Consiglio di Stato. Quindi, prima di dare per accolto un certo indirizzo è il caso di attendere che la pronuncia arrivi agli organi apicali della giustizia amministrativa.
Entrando nel merito, l’organo di giustizia amministrativa friulano è stato chiamato a giudicare su un ricorso proposto da un avvocato che lamentava il mancato conferimento del ruolo di DPO per un’Azienda di Assistenza Sanitaria, scelta ricaduta su un altro professionista, preferitogli in quanto portatore di certificazione di Lead Auditor ISO27001 e laureato in informatica.
Su questo voglio invitare i lettori a non essere superficiali: non è un confronto fra laurea in giurisprudenza e certificazione LA ISO 27001; il ricorrente, oltre alla laurea, aveva allegato un cospicuo curriculum di titoli in materia (non precisati dalla sentenza ma evidentemente ritenuti autorevoli). Il TAR fa notare, inoltre, un altro aspetto passato in sordina: ovvero che l’Amministrazione resistente non gode di certificazione ISO27001, quindi un Lead Auditor, in pratica, non offrirebbe all’organizzazione alcuna ulteriore pretesa robustezza dell’impianto di sicurezza.
Quest’ultimo passo ritengo sia da sottolineare in quanto ho potuto notare che molti titolari, nei loro annunci, andavano a richiedere questa certificazione pur non essendo essi stessi certificati.
La pronuncia nel merito
Oltre quanto detto, la Sentenza individua l’incompletezza del profilo certificato dalla LA ISO27001 in quanto indidividua nel ruolo del DPO “la specifica funzione di garanzia insita nell’incarico conferito, il cui precipuo oggetto non è costituito dalla predisposizione dei meccanismi volti ad incrementare i livelli di efficienza e di sicurezza nella gestione delle informazioni ma attiene semmai, come rilevato nel ricorso, alla tutela del diritto fondamentale dell’individuo alla protezione dei dati personali indipendentemente dalle modalità della loro propagazione e dalle forme, ancorché lecite, di utilizzo”.
L’oggetto dell’attenzione del DPO non è quindi quello di predisporre le misure di sicurezza, ma quella di garantire fin dall’origine il diritto degli interessati a che dal trattamento non possano derivare loro conseguenze nefaste.
Da qui si comprende anche la portata innovativa della figura introdotta dal GDPR rispetto al passato: una figura che abbia come missione le pretese degli interessati e non quelli delle organizzazioni titolare, le quali (almeno in teoria) non avrebbero bisogno di un obbligo giuridico per essere spronate ad affidare la sicurezza delle proprie informazioni ad un professionista qualificato.
Ben si conciliano con questa lettura anche le garanzie riconosciute al DPO dall’art. 39 par. 3 e gli obblighi di coinvolgimento in tutte le questioni attinenti le operazioni di trattamento e la consultazione in sede di redazione della DPIA: non è scorretto quindi affermare che il DPO debba assumere anche posizioni scomode al titolare, e ciò in contrapposizione al ruolo del responsabile della sicurezza, il quale presta la propria professionalità seguendo le istruzioni e gli interessi del suo datore o committente (ovviamente, un’amministrazione illuminata sa comunque come fare tesoro delle posizioni dissidenti).
La pronuncia prosegue, nell’escludere l’attinenza delle competenze certificate dalla LA ISO27001 individuando “nell’esame dei programmi dei corsi finalizzati all’acquisizione della certificazione ISO/IEC/27001), caratterizzati da una durata particolarmente contenuta (2/5 giorni), per un massimo di 40 ore, dalla netta prevalenza delle tematiche attinenti all’organizzazione aziendale (e ciò a discapito dei profili giuridici) e dall’assenza di contenuti riferibili all’attività e alla struttura delle pubbliche amministrazioni”.
In sostanza, questa non andrebbe a coprire le lacune in materia giuridica derivanti da una formazione in ambito informatico.
Il DPO: requisiti indicati dalla norma
Lo spirito generale del GDPR non è quello di indicare specificatamente ai titolari come agire ma quali risultati cogliere. Gli artt. 37-39 seguono questa filosofia e di conseguenza non fanno riferimento ad alcuna laurea o titolo. In merito, l’art. 37 par. 5 ci dice che “Il responsabile della protezione dei dati è designato in funzione delle qualità professionali, in particolare della conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati, e della capacità di assolvere i compiti di cui all’articolo 39”.
Sarebbe certamente pretenzioso affermare che solo chi è laureato in giurisprudenza può conoscere la norma, che tra l’altro non è oggetto di studio obbligatorio nei corsi di laurea (sono necessari quindi ulteriori titoli), ma sicuramente è corretto affermare che il giurista dovrebbe avere quella sensibilità alla lettura del corpo normativo, che non può soffermarsi solo alla lettera del GDPR e del Decreto attuativo ma deve coinvolgere un’assionomica conoscenza dell’intero Ordinamento giuridico, unico modo per poter giungere ad una corretta interpretazione ed applicazione della norma (considerazione forse banale, ma assolutamente da precisare, non potendo ridurre lo sforzo del giurista ad un mero esercizio mnemonico), cui deve sempre accompagnarsi l’esperienza nell’individuare le conseguenze che possono derivare agli interessati.
Su questa scorta è imposto (la norma parla di parere su richiesta, ma nell’ottica generale del GDPR è praticamente necessario), quale mero esempio, il coinvolgimento del DPO nella redazione della DPIA (che si rivolge in primo luogo all’impatto inteso come conseguenze sull’interessato e solo in secondo luogo alle minacce e la relativa mitigazione). Un giurista specializzato quindi, seppur, ripeto, non si può dire possa pretendere l’esclusiva di tale professionalità, appare sicuramente come idoneo a tal compito.
Per contro, mentre in materia di normativa l’articolo pretende una “conoscenza specialistica”, in merito alla materia di protezione dati si limita ad indicare “una conoscenza delle prassi”, parole che rivelano un diverso tenore delle competenze richieste, seppur queste ultime non devono assolutamente deficitare; e di fatti anche le linee guida WP243 utilizzano un tono molto più moderato “il DPO dovrebbe avere buona familiarità con le operazioni di trattamento svolte nonché con i sistemi informativi e le esigenze di sicurezza e protezione dati manifestate dal titolare”.
In assenza di “considerando” dedicati alla questione, occorre ancora far riferimento ai compiti indicati dall’art. 39; questi sono:
- informare e fornire consulenza al titolare del trattamento o al responsabile del trattamento nonché ai dipendenti che eseguono il trattamento in merito agli obblighi derivanti dal presente regolamento nonché da altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati;
- sorvegliare l’osservanza del presente regolamento, di altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati nonché delle politiche del titolare del trattamento o del responsabile del trattamento in materia di protezione dei dati personali, compresi l’attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo;
- fornire, se richiesto, un parere in merito alla valutazione d’impatto sulla protezione dei dati e sorvegliarne lo svolgimento ai sensi dell’articolo 35;
- cooperare con l’autorità di controllo; e fungere da punto di contatto per l’autorità di controllo per questioni connesse al trattamento, tra cui la consultazione preventiva di cui all’articolo 36, ed effettuare, se del caso, consultazioni relativamente a qualunque altra questione.
A questi devono essere aggiunti ulteriori compiti individuati da altri articoli, come quello di fungere da contatto per gli interessati. Ciò a rafforzare la convinzione che agisca più a tutela di questi che dell’organizzazione che lo ha assunto.
I compiti iscritti dalla norma, come possiamo cogliere, sono per lo più in ordine al rispetto del regolamento, alla formazione e di punto di contatto per interessati ed autorità di controllo. La conoscenza delle prassi di sicurezza, in ogni caso, non deve mancare, soprattutto in ordine al compito di sorveglianza, e per esperienza si può affermare che, nella pratica, devono andare anche oltre il livello della “familiarità” espresso dalle linee guida WP243.
Occorre però ancora far riferimento alla portata dell’innovazione imposta dal Regolamento, che ha voluto imporre, affianco alle figure già presistenti riferite alla sicurezza delle informazioni, una persona che apportasse un contributo, mi si passi il termine, “etico” nella progettazione delle operazioni di trattamento.
Inoltre non va assolutamente posto in secondo piano il divieto di incaricare un DPO che possa avere un conflitto di interesse: sul punto, se il suo compito è quello di sorvegliare sull’efficacia delle misure di sicurezza, questo non può certamente essere la stessa persona che le ha assunte.
Il DPO: la cooperazione è la chiave del successo
Per concludere, voglio precisare quanto sciocco sia l’atteggiamento di chi vuol ridurre l’individuazione delle competenze del DPO ad una lotta fra caste.
Se i compiti del DPO sono limitati alla cura degli aspetti riguardanti i diritti degli interessati, è consequenziale che debba poter contare su esperti tecnici degni di fiducia. Se quindi il tecnico informatico non sempre si può rivestire di questo nome, il suo ruolo resta il cardine di un valido processo di trattamento, mentre l’esperto giuridico deve far da garante degli interessati.
Non hanno senso le preoccupazioni di quelli che vedono sfumare con ciò delle proprie possibilità lavorative solo perché il DPO gode di determinate garanzie, ciò in quanto il tecnico di sicurezza è un ruolo la cui necessità non era certo da imporre.
Al contrario, all’imposizione del DPO a determinate organizzazioni consegue che sarà proprio questo a pretendere un sempre più serio coinvolgimento dei tecnici di sicurezza e soprattutto nella loro selezione meritocratica. Resta essenziale al DPO giurista di poter contare su professionisti tecnici di piena fiducia e con i quali deve avere piena intesa: se l’organizzazione titolare non può permettersi un team, occorre in ogni caso che possa far riferimento a tecnici esterni proprio perché le sue competenze in materia sono umanamente limitate e conseguentemente devono essere coperte da un altro professionista ad hoc.
Una “tirata d’orecchie” va comunque rivolta alle organizzazioni che, nell’ottica di un risparmio economico, hanno inteso fondere le figure, riproponendo così, col nuovo e sicuramente di forte impressione nome di DPO, semplicemente un tecnico di sicurezza, una figura quindi che doveva esserci già da tempo, agirando del tutto la portata innovativa della norma e non dando al potenziale impatto sugli interessati l’attenzione che fa da cardine alle pretese del GDPR.
