A conclusione del primo anno di attività come DPO esterno, nel presentare la relazione annuale sul lavoro svolto per il vertice gerarchico, alcuni dei referenti interni delle società si sono posti il problema di individuare la norma di riferimento per tale adempimento.
La domanda più ricorrente è stata: fra i compiti assegnati al DPO dal GDPR non si rileva un obbligo di relazione periodica e quindi perché riferire al CdA?
Indice degli argomenti
La relazione annuale del DPO: le previsioni del GDPR
La necessità/opportunità di relazionare i vertici societari non è da individuare fra i compiti del DPO previsti dall’art. 39 del Regolamento. Il dettato normativo di riferimento è, invece, l’art. 38, comma 3° che definisce la posizione del DPO.
Tale norma stabilisce che il responsabile della protezione dei dati “riferisce direttamente al vertice gerarchico del titolare o del responsabile”.
Il legislatore europeo, quindi, ha voluto assicurarsi che la nomina di questa importante figura di garanzia non fosse un mero atto formale volto semplicemente a soddisfare una previsione del Regolamento, bensì la scelta consapevole del titolare di avere un interlocutore diretto con i vertici amministrativi relativamente ai trattamenti dei dati personali effettuati dalla Società; in particolare, per quanto riguarda la conformità della Società stessa sia alla normativa sia alla regolamentazione interna.
Quindi, l’assegnazione di questa prerogativa al DPO è uno dei tasselli sostanziali che devono essere implementati da parte del titolare – che è tenuto ad “attuare misure tecniche e organizzative adeguate” – nel suo programma di conformità al GDPR.
È sempre utile sottolineare, al fine di ribadire l’importanza dei singoli adempimenti, come il grado di conformità al GDPR rilevi anche nei casi di accertata violazione dello stesso.
Come noto, le sanzioni amministrative previste dal GDPR non sono predefinite: al contrario, l’art. 83 indica unicamente gli importi massimi irrogabili e contiene un elenco di criteri che le autorità di controllo devono tenere in considerazione per valutare se infliggere una sanzione amministrativa pecuniaria e l’ammontare della stessa.
Tali elementi sono tra l’altro derivati dal Considerando 150: “il… Regolamento dovrebbe specificare le violazioni, indicare il limite massimo e i criteri per prevedere la relativa sanzione amministrativa pecuniaria che dovrebbe essere stabilita dall’autorità di controllo competente in ogni singolo caso tenuto conto di tutte le circostanze pertinenti della situazione specifica, in particolare della natura, gravità e durata dell’infrazione, e delle relative conseguenze, nonché delle misure adottate per assicurare la conformità agli obblighi derivanti dal presente regolamento e prevenire o attenuare le conseguenze della violazione…”.
Concetto ribadito dalle “Linee guida riguardanti l’applicazione e la previsione delle sanzioni amministrative pecuniarie ai fini del regolamento UE 2016/679”, adottate il 3 ottobre 2017 dal Gruppo di Lavoro Articolo 29 (di seguito anche “WP29”)[1].
Nel graduare quindi l’eventuale sanzione, l’Autorità dovrà tenere conto delle concrete modalità con il quale sono stati declinati gli adempimenti privacy dal punto di vista sostanziale (adeguamenti documentali informativi, formativi e organizzativi, ivi compresa la concreta sensibilità del vertice aziendale alle problematiche privacy).
Come dimostrare il rapporto diretto col vertice gerarchico
Anche in tal caso troverà applicazione il principio di accountability, vale a dire che sarà il titolare ad organizzarsi per essere in grado di dimostrare l’esistenza del rapporto diretto fra DPO e vertice societario. Tuttavia, alcuni elementi utili a dimostrare l’effettivo riferimento diretto al vertice gerarchico sono stati indicati dal WP29 nelle “Linee guida sui responsabili della protezione dei dati”[2].
Il documento chiarisce che “tale rapporto diretto garantisce che il vertice amministrativo (per esempio, il consiglio di amministrazione) sia a conoscenza delle indicazioni e delle raccomandazioni fornite dal RDP nel quadro delle sue funzioni di informazione e consulenza a favore del titolare del trattamento o del responsabile del trattamento. Un altro esempio di tale rapporto diretto consiste nella redazione di una relazione annuale delle attività svolte dal RDP da sottoporre al vertice gerarchico”.
Ecco quindi introdotto il tema della relazione annuale quale strumento, in linea con il principio di accountability, per dimostrare l’effettiva attenzione dei vertici societari al tema della tutela dei dati personali.
L’argomento è stato ripreso da alcuni Garanti europei fra cui quello italiano, nelle FAQ o negli approfondimenti riguardo il ruolo del DPO (a titolo meramente esemplificativo, si segnalano le indicazioni fornite dall’ICO[3] e dal CNIL[4]).
Anche nel recente “manuale per RDP”[5], nel citare le possibili criticità qualora il titolare o il responsabile del trattamento dovessero rifiutarsi di seguire il parere del proprio DPO, si richiamano proprio le Linee Guida sui responsabili della protezione dei dati del WP29 e, in particolare, si legge che “se il titolare del trattamento o il responsabile del trattamento prende decisioni incompatibili con il GDPR e i consigli del DPO, il DPO dovrebbe avere la possibilità di rendere chiara la propria opinione dissenziente al massimo livello di gestione e a coloro che prendono le decisioni. A questo proposito l’art. 38 paragrafo 3 del GDPR, prevede che il DPO riferisca direttamente al più alto livello di gestione del titolare o del responsabile. Tale rapporto diretto garantisce che il senior management (ad esempio il consiglio di amministrazione) sia a conoscenza dei consigli e delle raccomandazioni del DPO, come compiti del DPO di informare e consigliare il titolare o il responsabile. Un altro esempio di rapporto diretto è la stesura di una relazione annuale delle attività del DPO fornito al vertice gerarchico”.
Seguendo quindi le diverse indicazioni, per dar conto della corretta posizione del DPO, occorre che lo stesso possa interloquire con i vertici aziendali riferendo direttamente il proprio parere, per esempio in merito alla DPIA effettuata o alle valutazioni degli eventuali data breach.
Tuttavia, in diversi casi, il parere del DPO è fornito a dirigenti appositamente delegati per la materia e non è necessario, secondo quanto previsto dalla politica aziendale, che approdino in CdA.
È appena il caso di sottolineare come in alcune Società, nel periodo considerato, potrebbero non esserci stati, perché non necessari, pareri “straordinari” del DPO. Ecco che in queste situazioni la relazione annuale al vertice gerarchico è lo strumento più consono per dimostrare l’interesse dell’organo amministrativo alle problematiche privacy.
L’interesse del titolare (o del responsabile) e del DPO
In ogni caso, per il titolare del trattamento la relazione annuale potrà rappresentare l’occasione per verificare le concrete attività poste in essere dal responsabile della protezione di dati interno e utile strumento per la valutazione complessiva della risorsa individuata.
Nel caso di DPO esterno, la relazione potrà essere utilizzata per verificare l’operato del DPO, confrontandolo con gli impegni individuati nel contratto di servizio.
Analizzando tale adempimento dalla prospettiva del DPO, emerge, per quanto riguarda il DPO interno, l’opportunità di informare i massimi vertici sullo stato dell’arte dell’organizzazione privacy della società, per evidenziare gli aspetti problematici riscontrati nell’applicazione concreta del GDPR e per illustrare così le necessità ulteriori al fine di migliorare l’organizzazione aziendale.
Gli stessi temi potranno essere affrontati dal DPO esterno per giustificare le attività svolte in relazione all’incarico ricevuto, nonché per segnalare le aree di miglioramento cui ritiene indispensabile intervenire.
Preso atto dell’importanza della relazione periodica, in molti contratti di servizi come DPO esterno, e nella lettera di incarico come DPO interno, è stata nella prassi inserita un’apposita clausola avente ad oggetto l’impegno di predisposizione della relazione annuale.
In talune società il suddetto adempimento è stato altresì descritto e previsto nella policy relativa al trattamento dei dati personali.
La relazione annuale del DPO: come strutturarla
La struttura della relazione potrà essere più o meno dettagliata a seconda della complessità e delle abitudini aziendali.
In generale sarà più articolata e circostanziata qualora le problematiche affrontate dal DPO siano illustrate al vertice solo con la relazione annuale.
Al contrario, meno descrittiva e per punti essenziali se il vertice gerarchico in corso d’anno è già stato formalmente interessato su alcuni temi.
Nell’ottica di fornire alcuni spunti riguardo i contenuti di detto resoconto, si suggerisce di predisporre:
- una parte generale, con l’indicazione delle riunioni svolte in azienda e i relativi partecipanti (delegato del titolare, comitato privacy, referente privacy o delle diverse funzioni a seconda delle diverse realtà aziendali), la descrizione delle attività di verifica in merito all’organizzazione aziendale privacy, alle policy, circolari e le verifiche relative ai processi connessi agli adempimenti previsti in materia di tutela del dati personali (registro dei trattamenti, informative, nomine responsabili, individuazione autorizzati, diritti degli interessati ecc.) nonché l’accertamento circa l’erogazione della formazione agli autorizzati;
- una parte specifica, in merito ai pareri riguardo le DPIA attivate, agli eventuali data breach, alla gestione di particolari richieste degli interessati e dell’Autorità di controllo, alle verifiche attuate relative ai contratti con i responsabili, ovvero la programmazione di verifiche future.
A chi va indirizzata la relazione annuale del DPO
Le linee guida e gli approfondimenti sopra citati, indicano quale vertice aziendale il Consiglio di Amministrazione. Occorre tuttavia considerare che in molte realtà le problematiche privacy sono state delegate ad un consigliere o all’Amministratore Delegato o al Direttore Generale (il cosiddetto delegato del titolare).
In tali casi si ritiene corretto indirizzare la relazione all’organo che ha proceduto alla nomina del DPO: sia esso il CdA ovvero il delegato.
Nel caso in cui il report fosse indirizzato al delegato, a garanzia dell’organo delegante, sarà opportuno che sia il delegato, almeno una volta l’anno, a fornire al CdA un’informativa relativa alla situazione privacy aziendale comprendente la relazione del DPO.
In tal modo, il CdA potrà evitare la così detta “culpa in vigilando”, tenendo conto che il Codice Privacy, così come novellato dal D.lgs. 101/2018, ha incrementato le fattispecie di reato per trattamenti illeciti di dati personali.
La relazione annuale del DPO nei gruppi societari
Per quanto riguarda i Gruppi societari, con nomina di unico responsabile della protezione dei dati ai sensi dell’art. 37, comma 2, del GDPR, in genere è la Capogruppo che determina le politiche e l’organizzazione privacy complessiva.
Nonostante l’unicità della nomina, la relazione andrà presentata a tutte le società del gruppo poiché, ai fini privacy, quest’ultime agiscono come autonomi titolari del trattamento (salvo ovviamente il caso della contitolarità).
In quest’ottica la relazione dovrà necessariamente contenere una parte generale comune, relativa all’organizzazione e alla documentazione privacy utilizzata nel Gruppo, e una parte specifica per ciascuna società.
Rapporti con la relazione di compliance
Da ultimo, pare opportuno dedicare un breve cenno alla necessità di coordinamento fra il DPO e la funzione compliance.
Come noto quest’ultima ha il compito di verificare che le procedure aziendali siano coerenti con l’obbiettivo di prevenire la violazione di norme (leggi, regolamenti, norme di condotta) al fine di evitare il rischio di incorrere in sanzioni, perdite finanziarie o danni reputazionali.
Le banche, gli intermediari che offrono servizi finanziari e le assicurazioni, debbono istituire obbligatoriamente la funzione compliance secondo le indicazioni fornite dai rispettivi regolatori. Molte aziende di altri settori, in particolare quelle quotate e/o appartenenti a gruppi internazionali, pur non essendo destinatarie di una norma di legge, hanno ritenuto necessario istituire la funzione di compliance.
Nel perimetro normativo di compliance (antiriciclaggio, safety, sicurezza informatica, trasparenza ecc.) è altresì ricompresa la tutela della privacy.
Laddove costituito, lo specifico presidio organizzativo presenta al CdA un’informativa periodica sulle modalità di gestione del rischio di non conformità. Si segnala quindi l’esigenza di coordinamento fra la relazione del DPO e quella della compliance che deve tener conto di quanto indicato dal DPO stesso per una corretta valutazione del rischio privacy.
NOTE
- Sul punto si veda quanto espresso a pag. 12 delle sopracitate linee guida. ↑
- Linee guida adottate il 13 dicembre 2016 ed emendate il 5 aprile 2017. ↑
- l’Information Commissioner’s Office (anche “ICO”), nella sua Guida al GDPR ha precisato “the DPO must be independent, an expert in data protection, adequately resourced, and report to the highest management level”. ↑
- la Commission nationale de l’informatique et des libertés (anche “CNIL”) nella Délibération n°2017-219 del 13 luglio 2017 ha chiarito che “le demandeur prévoit que le délégué fait rapport directement au niveau le plus élevé de la direction de l’organisme. Un exemple/modèle de bilan annuel d’activité et l’indication de la présentation annuelle”. ↑
- The DPO Handbook – Guidance for data protection officers in the public and quasi‐public sectors on how to ensure compliance with the European Union General Data Protection Regulation (Regulation (EU) 2016/679), a cura di Douwe Korff and Marie Georges – Progetto T4DATA, Luglio 2019, illustra compiti e ruolo del Responsabile della protezione dei dati dei soggetti pubblici, elaborato nell’ambito del progetto T4data da esperti di diversi paesi e dai funzionari di alcune Autorità di Controllo fra cui il Garante italiano ↑