Data protection officer e obblighi di cooperazione con il Garante
Su Agenda Digitale, un articolo a firma di Marzio Vaglio fa il punto sui nuovi obblighi di cooperazione con il Garante per la protezione dei dati personali cui i Data Protection Officer, in italiano Responsabili della Protezione Dati, devono osservare, pur nel rispetto dei vincoli di segretezza o riservatezza, alla luce di quanto disposto dal nuovo Regolamento comunitario di riferimento.
È l’art. 39 del GDPR - si legge in apertura - che descrive, piuttosto dettagliatamente, i compiti che devono essere affidati dal designante al DPO: “1. Il responsabile della protezione dei dati è incaricato almeno dei seguenti compiti: (…)”. La formulazione della norma non lascia dubbi sul fatto che tutti i compiti elencati dal 1° paragrafo, lettere da a) a e), devono essere affidati al DPO, mentre l’avverbio “almeno”, ci lascia comprendere che il titolare o il responsabile del trattamento ben potrebbero incaricare il DPO di ulteriori compiti. Naturalmente – ma non approfondiremo in questa sede il punto – dovrà trattarsi di compiti non incompatibili con quelli elencati dall’art. 39 e, in particolare, tali da non indurre situazioni di conflitto d’interessi (art.38,6) o compromettere l’indipendenza del DPO.
I compiti “obbligatori”
Tra i compiti, per dir così, “obbligatori” nel senso che non possono mancare nell’incarico del DPO, leggiamo nell’art. 39 che il responsabile della protezione è incaricato di:
- cooperare con l’autorità di controllo;
- fungere da punto di contatto per l’autorità di controllo per questioni connesse al trattamento, tra cui la consultazione preventiva di cui all’articolo 36, ed effettuare, se del caso, consultazioni relativamente a qualunque altra questione.
Per ben comprendere, in concreto, il significato e gli orizzonti di questi due “compiti”, è bene tener presente, con riguardo alla posizione del responsabile della protezione, l’art. 38,5 GDPR, in virtù del quale “Il responsabile della protezione dei dati è tenuto al segreto o alla riservatezza in merito all’adempimento dei propri compiti, in conformità del diritto dell’Unione o degli Stati membri.”
Sul punto si esprimono anche, piuttosto sommariamente invero, le “Linee guida sui responsabili della protezione dei dati – WP243 Rev. 01” del Gruppo di lavoro articolo 29 per la protezione dei dati.
Il vincolo di riservatezza e il rapporto con l’Autorità di controllo
Questi compiti attengono al ruolo di “facilitatore” attribuito al DPO e già menzionato nell’introduzione alle presenti linee guida. Il DPO funge da punto di contatto per facilitare l’accesso, da parte dell’autorità di controllo, ai documenti e alle informazioni necessarie per l’adempimento dei compiti attribuitile dall’articolo 57 nonché ai fini dell’esercizio dei poteri di indagine, correttivi, autorizzativi e consultivi di cui all’articolo 58. Si è già rilevato che il DPO è tenuto al rispetto delle norme in materia di segreto o riservatezza, in conformità del diritto dell’Unione o degli Stati membri (articolo 38, paragrafo 5); tuttavia, tali vincoli di segreto/riservatezza non precludono la possibilità per il DPO di contattare e chiedere lumi all’autorità di controllo. L’articolo 39, paragrafo 1, prevede che il DPO possa consultare l’autorità di controllo con riguardo a qualsiasi altra questione, se del caso.
Ebbene, le poche righe che precedono – nella loro apparente semplicità – inducono ad una riflessione che merita un approfondimento che forse finora è mancato: sembrerebbe, infatti, da poter ricavare dalle parole impiegate dal WP29 che il DPO possa, se non debba, consegnare all’autorità documenti e informazioni che, dichiaratamente, potrebbero essere da essa utilizzate per ricavarne evidenze di inadempimenti sanzionabili.
Ciò sembra contrario all’essenza stessa dell’obbligo di segreto/riservatezza e, su un piano più generale, del canone generale “nemo tenetur se detegere”, che è principio di diritto comune agli ordinamenti degli Stati membri dell’Unione europea, ben conosciuto sia dalla Corte di giustizia dell’Unione europea, sia dalla Corte europea di Strasburgo.
Allora occorre chiedersi: che rapporto c’è tra l’obbligo del segreto o della riservatezza e il dovere di cooperazione con l’autorità di controllo? Fin dove si estende tale cooperazione? La facoltà, attribuita al DPO, di consultare l’autorità di controllo per qualunque questione connessa al trattamento, come deve esercitarsi in concreto per essere coerente con l’obbligo di segreto o riservatezza