In un’epoca in cui ci troviamo a vivere sempre più una dimensione virtuale, aumenta esponenzialmente la vulnerabilità dei propri dati personali, che ormai rappresentano la nostra proiezione digitale. La protezione dei dati è chiamata, dunque, ad assumere un ruolo di primo piano. Da qui, l’introduzione della figura del Responsabile della protezione dei dati personali (DPO, dall’inglese Data Protection Officer). Una tematica delicata e quanto mai attuale, al centro della recente opera Il Formulario del DPO. Norme, giurisprudenza, strumenti operativi e modelli di atti, pubblicata con l’editore Giappichelli da tre esperti del settore: l’avvocato Simone Bongiovanni, l’ingegnere Monica Perego e l’avvocato Costanza Mottino. Abbiamo voluto approfondire con loro quali sfide e quali rischi comporta la tutela dei dati personali, per comprendere meglio anche il ruolo del DPO.
Innanzitutto, com’è nata quest’opera? «Abbiamo constatato che mai nessuno ha pubblicato dei modelli di documenti del DPO», racconta l’avvocato Simone Bongiovanni. «Mentre, infatti, esiste un numero consistente di formulari per atti giudiziari, contratti, auditor e quant’altro, abbiamo verificato che non esisteva un testo simile per il DPO. Essendo una figura nuova e destinata a perdurare nel tempo, abbiamo deciso di fornire supporto a coloro che svolgono tale funzione».
«Dato che spesso chi viene nominato DPO sottovaluta quest’apparato, e che la letteratura disponibile è molto scarsa, abbiamo voluto fornire uno strumento utile ai lettori»
Monica Perego
Nella pubblicazione, si dà molta enfasi all’apparato documentale (regolamenti, verbali, relazioni…): «Si tratta dell’insieme di documenti che il DPO dovrà predisporre per dare evidenza del lavoro svolto, dei controlli effettuati, delle richieste pervenute e delle motivazioni all’origine delle azioni svolte», spiega l’ingegnere Monica Perego. «Dato che spesso chi viene nominato DPO sottovaluta quest’apparato, e che la letteratura disponibile è molto scarsa, abbiamo voluto fornire uno strumento utile ai lettori». Inserendo, cioè: il regolamento ed i flussi verso il DPO, il verbale di insediamento, i verbali ordinari che coprono il ciclo di un anno, la relazione del DPO agli organi di governo, i verbali straordinari, quelli in caso di data breach, di valutazione di una DPIA o di richiesta di parere, ed altri ancora. Anche perché, per il DPO, è fondamentale documentare il più possibile le attività che svolge: «Non solo a sua tutela, ma anche al fine di consentire al Titolare di fornire adeguate garanzie agli interessati, all’Organo di Governo dell’organizzazione ed al Garante in caso di ispezione», continua l’ingegnere Monica Perego. «In tal modo si rendono trasparenti le scelte effettuate e si dà evidenza dei processi logici, sulle base delle informazioni disponibili che hanno permesso di formulare, in modo consapevole, un parere o valutazioni in merito a determinati aspetti».
Un’altra particolarità del volume è affrontare alcuni aspetti raramente trattati, come ad esempio l’etica, il budget, lo scadenziario: «Grazie alla nostra esperienza di DPO, in contesti molto complessi e differenziati, ci siamo imbattuti in diversi casi particolari ed abbiamo voluto condividerli», racconta la Perego. «Non per offrire soluzioni preconfezionate che riteniamo inutili, ma per far riflettere su come approcciare le varie problematiche che giornalmente il DPO si trova ad affrontare, affinché egli acquisisca un metodo, a tutela di tutte le parti interessate».
Oltre alla prassi e alle bozze di documenti del DPO, il volume tratta anche della parte normativa: «La protezione dei dati personali è disciplinata dal Reg. Eu 2016/679 ed in Italia dal Codice privacy 196/2003 novellato dal D.lgvo 101/2018, pertanto non si può prescindere da un’analisi approfondita del dettato normativo», afferma l’avvocato Costanza Mottino. Nel testo vi è poi anche un capitolo dedicato ai provvedimenti più salienti del 2020-2021, non solo dell’Autorità italiana ma anche delle altre Autorità europee: «Perché un DPO deve essere sempre aggiornato e lo studio dei nuovi Provvedimenti delle Autorità è un ottimo punto di partenza anche per comprendere come operano i Garanti e su quali punti di attenzione si focalizzano», continua l’avvocato Mottino. Eppure questa figura non è sempre coinvolta all’interno delle Società: «Ha un ruolo multiforme, controlla ma al contempo fornisce consulenza e può istruire. Potrà esercitare al meglio i compiti affidati nella misura in cui sia percepito da tutti i soggetti coinvolti come un elemento in grado di fornire un valore aggiunto all’Organizzazione e non sia percepito solo come uno ostacolo al business della Società».
La tematica è delicata e riguarda la vita di chiunque, ma «purtroppo la tutela dei dati personali è ancora vista solo come una questione burocratica», osserva l’avvocato Bongiovanni: «Anche le nuove generazioni non hanno ancora consapevolezza dei rischi che corrono, né si rendono conto del business che spesso è nascosto dietro la commercializzazione dei dati personali». Va detto che negli ultimi anni, grazie all’introduzione del Reg. Eu 2016/679, c’è stata una maggiore sensibilizzazione sul tema: «La strada, però, è ancora lunga per poter parlare di una reale consapevolezza da parte delle nuove generazioni». Il compito della scuola, in questo contesto? «Può svolgere un ruolo primario per far comprendere come la privacy non sia solo fornire dei consensi, ma soprattutto ragionare sul fatto che rilasciare o meno consensi significhi tutelare la propria persona». Da questo punto di vista, anche la funzione del DPO può contribuire ad una maggiore diffusione di questa sensibilità: «Nel tutelare gli interessati, egli deve infatti favorire la conoscenza dei trattamenti che possono essere effettuati con i loro dati», conclude Bongiovanni. «E, nel caso di interessati appartenenti alle giovani generazioni, questa responsabilità, a carico del DPO, è ancora più rilevante».