Il Regolamento (UE) 2016/679 (GDPR) prevede che un gruppo imprenditoriale (definito all’art. 4, n. 19 come un gruppo costituito da un’impresa controllante e dalle imprese da questa controllate) possa procedere con la nomina di un unico responsabile della protezione dei dati personali (o DPO, che in questi casi viene anche indicato brevemente come DPO di gruppo), purché tale responsabile sia facilmente raggiungibile da ciascuno stabilimento (o sede, n.d.r.) del gruppo.
Inoltre, il DPO di gruppo dovrà essere in grado di comunicare in modo efficace con gli interessati e di collaborare con le diverse autorità di controllo.
Indice degli argomenti
DPO di gruppo e concetto di raggiungibilità
Le Linee-guida del WP29 WP243 rev. 01 (versione aggiornata del 5 aprile 2017) al paragrafo 2.2 specificano che il concetto di raggiungibilità si riferisce ai compiti del DPO in quanto punto di contatto per gli interessati, l’autorità di controllo e i soggetti interni all’organismo o all’ente, tenuto conto che uno dei compiti del DPO consiste “nell’informare e fornire consulenza al titolare del trattamento o al responsabile del trattamento nonché ai dipendenti che eseguono il trattamento in merito agli obblighi derivanti dal presente regolamento”.
Allo scopo di assicurare la raggiungibilità del DPO, interno o esterno, è importante garantire la disponibilità dei dati di contatto nei termini previsti dal GDPR.
A ciò si aggiunga che il WP29 ha chiarito, inoltre, che il DPO, se necessario con il supporto di un team di collaboratori, deve essere in grado di comunicare con gli interessati in modo efficiente e di collaborare con le autorità di controllo interessate.
Questo aspetto è di fondamentale importanza se solo si pensa alla necessità che le comunicazioni in questione devono avvenire nella lingua utilizzata dalle autorità di controllo e dagli interessati volta per volta in causa.
Pertanto, il fatto che il DPO sia raggiungibile – vuoi fisicamente all’interno dello stabile ove operano i dipendenti, vuoi attraverso una linea dedicata o altri mezzi idonei e sicuri di comunicazione – è fondamentale al fine di garantire all’interessato la possibilità di contattare il DPO stesso.
Ma vi è di più: il WP29, delinea inoltre una serie di aspetti necessari perché il DPO di gruppo possa adempiere correttamente al proprio ruolo e specificamente:
- la raggiungibilità del DPO e la relativa disponibilità dei dati di contatto da riferirsi non soltanto alle diverse sedi/stabilimenti aziendali, ma a tre differenti soggetti:
- autorità;
- interessati;
- dipendenti dell’intero gruppo;
- la presenza di strumenti di comunicazione/informativi efficaci;
- la creazione, ove le dimensioni lo richiedano, di un team di collaboratori del DPO, tutti aventi specifiche competenze e requisiti professionali.
Nel caso di una holding e di un gruppo internazionale, la nomina del DPO deve, inevitabilmente, fare i conti con una criticità relativa alla duplicità del ruolo assegnato a questa nuova figura introdotta dal legislatore europeo.
Potrebbe sembrare, a primo acchito, propendere per la designazione di un DPO di gruppo che sia quindi il medesimo per controllante e controllata; tuttavia, a questa scelta si contrappone una necessità concreta che consiste nel ruolo stesso del DPO che costituisce il punto di contatto con l’Autorità Garante con tutto ciò che ne consegue in termini di conoscenza e conoscibilità di provvedimenti, linee guida e raccomandazioni delle diverse Autorità di controllo europee, che al momento risultano tendenzialmente disomogenee.
Linee guida per la nomina del DPO di gruppo
Alla luce di quanto innanzi, se è vero – da un lato -che ogni gruppo di imprese, internazionale o meno, può decidere se avvalersi:
- di un singolo DPO o di un DPO in team;
- di una persona fisica o di una società di servizi;
- di un soggetto interno o esterno all’impresa;
è altrettanto vero che in base a quanto previsto dall’art. 38, il DPO deve essere tempestivamente e adeguatamente coinvolto in tutte le questioni che riguardano la protezione dei dati personali e che gli siano fornite le risorse necessarie per lo svolgimento delle sue funzioni in maniera del tutto indipendente.
L’eventuale coordinamento del DPO di gruppo con le sedi aziendali dislocate su più Paesi, deve essere specificamente studiato e messo a punto per essere adeguato e tempestivo, come richiesto dalla norma, specialmente nei flussi informativi tra le diverse componenti dell’organigramma aziendale e, in particolare, in relazione alle attività di informazione e consulenza ai titolari del trattamento dei dati personali ed ai dipendenti delle diverse società del Gruppo.
La scelta ottimale, nei casi di organizzazione societarie con più sedi nei diversi paese europei o extra UE sarebbe quella di nominare un DPO per la holding-controllante e un DPO per le diverse sedi all’estero, posto che deve garantirsi un alto livello di coordinamento tra i diversi componenti (dipartimenti e sedi/stabilimenti) ed il DPO stesso, considerato che, di fatto, quest’ultimo rappresenta uno snodo cruciale in materia di privacy che deve essere progettata tenendo conto delle caratteristiche di ogni impresa e del gruppo di imprese, calibrando la scelta anche sulla base della governance di gruppo e delle realtà normativa in cui l’impresa agisce.
