domenica 18.11.2018
caricamento meteo
Sections

Data protection officer e obblighi di cooperazione con il Garante dei dati personali

Nel nuovo Regolamento comunitario vengono fornite precise indicazioni in materia, pur nel rispetto dei principi di segretezza o riservatezza. Marzio Vaglio approfondisce il tema su Agenda Digitale
Data protection officer e obblighi di cooperazione con il Garante dei dati personali

foto di mohamed_assan (pixabay.com/photo-3256079 - CC0 1.0)

Su Agenda Digitale, un articolo a firma di Marzio Vaglio fa il punto sui nuovi obblighi di cooperazione con il Garante per la protezione dei dati personali cui i Data Protection Officer, in italiano Responsabili della Protezione Dati, devono osservare, pur nel rispetto dei vincoli di segretezza o riservatezza, alla luce di quanto disposto dal nuovo Regolamento comunitario di riferimento.

È l’art. 39 del GDPR - si legge in apertura - che descrive, piuttosto dettagliatamente, i compiti che devono essere affidati dal designante al DPO: “1. Il responsabile della protezione dei dati è incaricato almeno dei seguenti compiti: (…)”. La formulazione della norma non lascia dubbi sul fatto che tutti i compiti elencati dal 1° paragrafo, lettere da a) a e), devono essere affidati al DPO, mentre l’avverbio “almeno”, ci lascia comprendere che il titolare o il responsabile del trattamento ben potrebbero incaricare il DPO di ulteriori compiti. Naturalmente – ma non approfondiremo in questa sede il punto – dovrà trattarsi di compiti non incompatibili con quelli elencati dall’art. 39 e, in particolare, tali da non indurre situazioni di conflitto d’interessi (art.38,6) o compromettere l’indipendenza del DPO.

I compiti “obbligatori”
Tra i compiti, per dir così, “obbligatori” nel senso che non possono mancare nell’incarico del DPO, leggiamo nell’art. 39 che il responsabile della protezione è incaricato di:

        • cooperare con l’autorità di controllo;
        • fungere da punto di contatto per l’autorità di controllo per questioni connesse al trattamento, tra cui la consultazione preventiva di cui all’articolo 36, ed effettuare, se del caso, consultazioni relativamente a qualunque altra questione.

Per ben comprendere, in concreto, il significato e gli orizzonti di questi due “compiti”, è bene tener presente, con riguardo alla posizione del responsabile della protezione, l’art. 38,5 GDPR, in virtù del quale “Il responsabile della protezione dei dati è tenuto al segreto o alla riservatezza in merito all’adempimento dei propri compiti, in conformità del diritto dell’Unione o degli Stati membri.”

Sul punto si esprimono anche, piuttosto sommariamente invero, le “Linee guida sui responsabili della protezione dei dati – WP243 Rev. 01” del Gruppo di lavoro articolo 29 per la protezione dei dati.

Il vincolo di riservatezza e il rapporto con l’Autorità di controllo

Questi compiti attengono al ruolo di “facilitatore” attribuito al DPO e già menzionato nell’introduzione alle presenti linee guida. Il DPO funge da punto di contatto per facilitare l’accesso, da parte dell’autorità di controllo, ai documenti e alle informazioni necessarie per l’adempimento dei compiti attribuitile dall’articolo 57 nonché ai fini dell’esercizio dei poteri di indagine, correttivi, autorizzativi e consultivi di cui all’articolo 58. Si è già rilevato che il DPO è tenuto al rispetto delle norme in materia di segreto o riservatezza, in conformità del diritto dell’Unione o degli Stati membri (articolo 38, paragrafo 5); tuttavia, tali vincoli di segreto/riservatezza non precludono la possibilità per il DPO di contattare e chiedere lumi all’autorità di controllo. L’articolo 39, paragrafo 1, prevede che il DPO possa consultare l’autorità di controllo con riguardo a qualsiasi altra questione, se del caso.

Ebbene, le poche righe che precedono – nella loro apparente semplicità – inducono ad una riflessione che merita un approfondimento che forse finora è mancato: sembrerebbe, infatti, da poter ricavare dalle parole impiegate dal WP29 che il DPO possa, se non debba, consegnare all’autorità documenti e informazioni che, dichiaratamente, potrebbero essere da essa utilizzate per ricavarne evidenze di inadempimenti sanzionabili.

Ciò sembra contrario all’essenza stessa dell’obbligo di segreto/riservatezza e, su un piano più generale, del canone generale “nemo tenetur se detegere”, che è principio di diritto comune agli ordinamenti degli Stati membri dell’Unione europea, ben conosciuto sia dalla Corte di giustizia dell’Unione europea, sia dalla Corte europea di Strasburgo.

Allora occorre chiedersi: che rapporto c’è tra l’obbligo del segreto o della riservatezza e il dovere di cooperazione con l’autorità di controllo? Fin dove si estende tale cooperazione? La facoltà, attribuita al DPO, di consultare l’autorità di controllo per qualunque questione connessa al trattamento, come deve esercitarsi in concreto per essere coerente con l’obbligo di segreto o riservatezza

Continua a leggere su Agenda Digitale

Azioni sul documento
Pubblicato il 22/10/2018 — ultima modifica 19/10/2018
Aggiungi commento

Puoi aggiungere un commento riempiendo il form sottostante. Formattato come testo semplice. I commenti sono moderati.

Domanda: Quanto fa tre più tre ?
La tua risposta:

ParER - Polo archivistico regionale dell'Emilia-Romagna Viale Aldo Moro 64, 40127 Bologna - Tel. +39 051 527 3317 - email: redazioneparer@regione.emilia-romagna.it

IBACN, via Galliera, 21 - 40121 Bologna - Tel. +39 051 527 66 00 - Fax +39 051 232 599

Regione Emilia-Romagna (CF 800.625.903.79) - Viale Aldo Moro 52, 40127 Bologna - Centralino: 051.5271

Ufficio Relazioni con il Pubblico: Numero Verde URP: 800 66.22.00, urp@regione.emilia-romagna.it, urp@postacert.regione.emilia-romagna.it

Strumenti personali