Il ruolo "ibrido" del Data Protection Officer nel Regolamento (UE) 2016/679

The research focuses on one of the main innovations introduced by the General Data Protection Regulation (hereinafter “GDPR”), the Data Protection Officer (hereinafter “DPO”), a key professional figure, specialized in data protection, whose primary task is to assist and consult the Controller and the Processor in their activity. To understand the key-role of this professional figure, as well as the arising needs behind its introduction, it is necessary, as a preliminary step, to reconstruct the evolution of personal data protection rights, which culminated in GDPR enactment on 25 May 2016. With the aim of offering an answer to the new, complex needs of technological phenomena, (including the one known as "Big Data") GDPR poses many new technical and legal measures to enforce data protection. Indeed, Big Data is changing the concept of “personal data” and also modalities and even the character of data processing activities. Currently, data processing activities are characterized by the exposure of personal data to (potentially) high risks. However, these data processing activities must be able to be implemented to guarantee additional and different common rights; thus, the controller will be enabled to carry out data processing provided due precautions and protective measures are used. For this reason, the EU legislator has focused the entire new data protection legislation on the “accountability” principle, meaning the capacity of the controller to give proof regarding conformity of processing activities following a legislative framework. For this reason, the controller must be assisted by the DPO. This professional figure works in the company and for the company, but, at the same time, he works like a Supervisory Authority’s “longa manus”. According to the GDPR, the DPO has duties and tasks, but, on analysing this, it will be clear how frequently it does not appear to truly take into account the professional’s peculiarities and duties. The doubt arises in particular on whether, with regard to his functions and role, which seems to be included in the “social role” category, there is the need to rewrite some points of the GDPR rules, through a legislative enforcement with the introduction of other appropriate measures to ensure the best effectiveness of the controller’s activities, and consequently his job effectiveness.

Il lavoro di ricerca è incentrato su una delle principali novità introdotte dal Regolamento (UE) 679/2016: il Data Protection Officer (DPO), professionista specializzato in materia di protezione dei dati personali, il cui precipuo compito consiste nel coadiuvare il Titolare ed il Responsabile del trattamento nell’esercizio delle loro attività. Al fine di comprendere il rilevante ruolo giocato da tale figura professionale nel settore di riferimento, nonché la ratio sottesa alla previsione dello stesso, si è ritenuto necessario, in via preliminare, ricostruire l’evoluzione storica del diritto alla protezione dei dati personali, culminata il 25 maggio 2016 con l’emanazione del GDPR (acronimo di General Data Protection Regulation). Il GDPR tenta di offrire una risposta ai nuovi e complessi problemi causati dalla influenza sempre più pervasiva dei fenomeni tecnologici, tra cui assume particolare rilievo quello noto come “Big Data”, che, rivoluzionando il concetto di “dato personale”, ha alterato la natura stessa dei trattamenti che li riguardano. I trattamenti odierni, infatti, si caratterizzano per il fatto di esporre a rischi potenzialmente elevati il diritto alla protezione dei dati personali. Tuttavia, gli stessi devono poter essere attuati, salvo che non vi sia un potere di veto dell’Autorità pubblica, al fine di garantire ulteriori e diversi diritti, di carattere “collettivo”. Pertanto, i Titolari potranno procedere al trattamento, ma con i dovuti accorgimenti. Per tale ragione, il legislatore ha imperniato l’intero sistema di tutela sul principio di accountability del Titolare del trattamento, in virtù del quale questi è tenuto a dare costante prova circa la conformità del suo operato ai princìpi legislativi. A tal fine, il legislatore ha previsto che il Titolare venga coadiuvato dal Data Protection Officer: analizzando le funzioni e le mansioni tipiche di questo professionista, che agisce nell’impresa e per l’impresa, ma che, al contempo, sembra porsi come longa manus dell’Autorità di controllo, verranno evidenziate alcune criticità della disciplina legislativa, che sembra non aver tenuto in debito conto le peculiarità caratterizzanti questa figura e il tipo di prestazione da questi offerta. In particolare, il dubbio che si pone è se, in considerazione delle funzioni a questi affidate, nonché del ruolo svolto, che pare possa esser ricondotto nel novero dei c.d. “ruoli sociali”, sia auspicabile un ripensamento della disciplina, attraverso l’introduzione di misure idonee a garantire la massima efficacia dell’azione dello stesso, che si riflette di conseguenza sull’efficacia dell’azione del Titolare.