Unione Europea
La figura del data protection officer (DPO) è uno dei temi che maggiormente sta facendo discutere tra le possibili novità del Regolamento europeo sulla privacy.
Provare a delinearne i contorni – in assenza di una legislazione definitiva e di un’approvazione che, probabilmente, dovrebbe intervenire solo nel 2015 – appare un esercizio complesso e, in parte, inutile.
Più interessante, allora, mi sembra provare a ragionare sulle motivazioni che spingono verso l’introduzione di tale soggetto – peraltro già esistente nell’ordinamento italiano, seppur con sfumature differenti rispetto a quelle tracciate dal Regolamento – e sulle sue ricadute pratico-applicative.
Inizialmente, come è noto, il Regolamento aveva previsto l’obbligatorietà di questa figura per tutti i soggetti, pubblici e privati, con più di 250 dipendenti. Gli emendamenti proposti – da ultimo, lo scorso ottobre, quelli della Commissione LIBE (Committee for Civil Liberties, Justice and Home Affairs) – hanno virato verso una opzione differente, che fa dipendere la necessità della nomina di un DPO in relazione alla mole dei dati personali trattati.
Sul punto, si scontrano i due modelli dominanti a livello europeo.
Da un lato, i Paesi che prevedono il privacy officer e ne impongono la nomina in relazione al numero dei dipendenti: è questa la scelta tedesca (almeno 9 dipendenti ovvero in presenza di trattamenti automatizzati), slovena (almeno 50 dipendenti) e slovacca (almeno 20 dipendenti).
In senso opposto, invece, si muovono altri ordinamenti, come la Francia e l’Olanda, dove la presenza di un DPO esonera le imprese da taluni adempimenti amministrativi, primo fra tutti la notifica all’autorità garante nazionale dei trattamenti realizzati. Del resto, a ben vedere, il collegamento tra notifica e presenza di una figura specializzata nell’organigramma è presente sin dalla prima stesura del Regolamento comunitario.
Affrontata nella prospettiva dei soggetti che dovrebbero essere gravati dall’introduzione della nuova figura, due sono le maggiori criticità.
Innanzi tutto, i costi associati con il DPO.
Secondo alcuni – non so in base a quali calcoli, considerando che il Regolamento è ancora in corso di approvazione – tale figura dovrebbe determinare un costo per le imprese e le pubbliche amministrazioni pari a circa 80 mila euro annui: una cifra importante, in special modo in un periodo in cui il risparmio di spesa è divenuto una priorità.
Pur non volendo negare che il problema sussista, bisogna ammettere che la tutela dei diritti fondamentali ha sempre comportato dei costi sociali: nessuno potrebbe seriamente pensare di rinunciare alla sicurezza sul lavoro solo perché determina un costo di impresa.
Nel caso che ci interessa, la scelta legislativa mi sembra netta e confermata dall’espunzione, dal testo originariamente licenziato, dell’inciso che faceva dipendere la presenza del DPO anche dal “cost of implementation”. I costi per le imprese, nell’ottica del legislatore europeo, non possono costituire un ostacolo alla piena tutela delle situazioni giuridiche soggettive riconosciute dal diritto comunitario, prima, e interno, poi.
Sebbene l’impostazione adottata appaia, in linea teorica, condivisibile, attesa l’irriducibilità dei diritti fondamentali ai paradigmi del risparmio di spesa, resta tuttavia un dubbio in merito all’effettività della previsione legislativa.
Facciamo un passo indietro. Una recente indagine condotta dall’ICO (Information Commissioner’s Office) ha dimostrato che il 71% degli utenti non legge le informative pubblicate sui siti e che il 62% degli utenti stessi vorrebbe che queste informative fossero più chiare e/o semplificate.
Un’altra ricerca indipendente ha spiegato che occorrerebbero ben 244 ore lavorative all’anno per leggere tutte le nuove privacy policy che un utente incontra e che, anche a voler operare una scrematura di tali privacy policy, con il rischio quindi di “saltare” informazioni importanti, le ore necessarie sarebbero comunque non meno di 154. Questi dati, a livello nazionale, sono stati confermati da una ricerca che ho svolto, con il Laboratorio In.Di.Co. dell’Università di Salerno e il collega Rino Sica, l’anno scorso, su di un campione di studenti universitari.
Alla luce di tali riscontri, verrebbe da affermare che la forma – nel settore della tutela dei dati personali – prevale ineluttabilmente sulla sostanza. Non è un mistero che la lunghezza delle informative risponda sì all’esigenza di rispettare il quadro normativo, ma altresì a disincentivare gli utenti dalla lettura.
Il richiamo alle privacy policy è, quindi, dettato dalla necessità di avvertire del rischio che potrebbe riguardare anche il DPO. L’innovazione del Regolamento comunitario verrebbe senz’altro a essere svilita se si ritenesse di adempiere all’obbligo normativo unicamente rispettando previsioni formali, senza migliorare effettivamente il livello qualitativo della gestione dei trattamenti di dati personali.
Peraltro, qualche parola merita di essere spesa anche a proposito del grado di specializzazione richiesto in capo al privacy officer. Il paragrafo 5 dell’art. 35 impone “qualità professionali e conoscenza specialistica della normativa”: una definizione apparentemente analitica, in realtà generica e foriera di interpretazioni divergenti.
Né si comprende se il DPO possa essere un soggetto già presente nell’organigramma aziendale o se debba essere necessariamente selezionato tra soggetti esterni. Molto interessante – e per taluni aspetti preoccupante – è il parere del Düsseldorfer Kreis (l’autorità che raccoglie i Garanti tedeschi), che ha escluso che il DPO possa essere il responsabile delle risorse umane o dei settori sicurezza e tecnologia.
Ora, se il privacy officer deve essere necessariamente un soggetto esterno all’impresa (o, quanto meno, non riconducibile agli organigrammi esistenti) si pone il problema dell’individuazione dei contorni di tale figura. Al momento, stanno fiorendo moltissimi corsi per la formazione di DPO, la cui validità – sotto il profilo formale, ma anche sostanziale – è piuttosto discutibile. Possiamo, infatti, ritenere che un soggetto che ha frequentato un corso gestito da un ente privato, a seguito di un percorso formativo di qualche decina di ore (nella migliore delle ipotesi) abbia la competenza adatta al ruolo al quale è preposto? Possiamo considerare che ciò sia sufficiente ad assicurare l’esperienza e la conoscenza della normativa richieste dal Regolamento? Non sarebbe opportuno prevedere altresì un obbligo di aggiornamento per una materia, come la privacy, in perenne evoluzione (si pensi ai provvedimenti dell’Autorità Garante)?
Queste necessità, poi, appaiono ancora più rilevanti nel caso delle multinazionali e dei gruppi imprenditoriali. Il Regolamento ammette che possa esservi anche un unico privacy officer per l’intera struttura: ma esiste davvero una figura professionale in possesso di una conoscenza specifica e transnazionale delle problematiche connesse con il trattamento dei dati personali? Un soggetto che abbia padronanza dei provvedimenti dei Garanti e della giurisprudenza dei singoli Stati membri?
In conclusione, sono dell’avviso che il DPO possa rivestire un ruolo fondamentale nell’effettiva tutela dei dati personali, soprattutto in una società globalizzata, dove sempre più frequenti sono gli scambi di informazioni tra Paesi differenti. Svilirne funzioni e potenzialità e tradurre le nuove previsioni legislative in un mero adempimento formale degli obblighi imposti, però, non potrebbe che confermare l’idea che la privacy sia un costo per le imprese e non una risorsa per i cittadini.
– Relazione presentata al Convegno “Il nuovo Regolamento europeo tra attese e preoccupazioni” organizzato dalla rivista Privacy Outlook e tenutosi a Roma il 24 febbraio 2014 presso la Sala del Cenacolo della Camera dei Deputati.
– Giovanni Maria Riccio: Studio legale e-Lex – Belisario Scorza Riccio & Partners, Roma. Professore di Diritto comparato ed europeo della comunicazione, Università di Salerno.
