Il responsabile della protezione dei dati è una figura relativamente nuova sullo scenario europeo, in materia di trattamento e protezione dei dati. Anche se le agenzie europee dispongono di questo profilo professionale ormai da più di 10 anni, in altri paesi, e segnatamente in Italia, il fatto che questa figura sia affatto nuovo pone problemi, che occorre affrontare e risolvere tempestivamente.

www.clubdpo.com

A questo proposito risulta prezioso un documento, prodotto in edizione finale il 5 aprile 2017 – WP 243, e disponibile in lingua italiana anche sul sito dell’autorità Garante nazionale, elaborato dall’ articolo 29 Working party. Colgo l’occasione per ricordare lettori che l’articolo 29 Working party è stato trasformato nel comitato europeo per la protezione dei dati, il 25 maggio 2018.

Come di consueto, i documenti prodotti da questo gruppo di esperti rappresentano un punto di riferimento a livello europeo e devono essere studiati attentamente, da parte di chiunque voglia essere assistito nella corretta interpretazione delle disposizioni del regolamento europeo.

Tanto per cominciare, viene chiarito il fatto che le responsabilità nei rapporti contrattuali con un responsabile del trattamento dei dati personali, sia che esso venga designato per obbligo di regolamento, sia che venga designato come garanzia del titolare, anche in assenza di obbligo di regolamento, non sono sostanzialmente diversi.

D’altro canto, un atteggiamento prudenziale da parte di un titolare è del tutto apprezzabile ed ecco la ragione per la quale più volte è stato raccomandato ai titolari di designare, ove sussistano ragionevoli motivi, un responsabile della protezione dei dati, anche se non espressamente obbligati.

Un altro aspetto importante riguarda il fatto che il responsabile del trattamento può essere sia interno all’organizzazione, sia esterno. Anche in questo caso, il documento in questione chiarisce che il regolamento consente entrambe le soluzioni.

I responsabili della protezione, interni all’organizzazione, sono dei dipendenti, mentre i soggetti esterni sono legati da un contratto di servizio e possono offrire la loro assistenza anche ad altre organizzazioni, salvo conflitti di competenza. Sarà probabilmente questa la soluzione che verrà adottata da molti titolari italiani, anche per la scarsità dell’offerta del mercato, in termini di responsabili della protezione dei dati in possesso di soddisfacenti qualificazioni.

A questo punto si pone il problema, legato al fatto che un responsabile della protezione dei dati potrebbe o meno essere esposto a responsabilità personali, in caso di violazione della protezione dei dati, sia da parte dei propri clienti, sia da parte dei propri datori di lavoro.

Vediamo quali possano essere le soluzioni disponibili per consentire a responsabili della protezione dei dati, sia interni, sia esterni, di ottenere una appropriata copertura assicurativa.

Esaminiamo le alternative possibili.

Se un’autorità Garante nazionale applica una stazione a un titolare, e il titolare può dimostrare che la sanzione discende da iniziative prese sulla base di consigli offerti dal responsabile della protezione dei dati, può sembrare logico che il titolare, che comunque deve pagare la sanzione, cerchi di recuperare le proprie perdite dal responsabile della protezione coinvolto, soprattutto se è in grado di dimostrare che il suo comportamento è stato negligente. La situazione cambia se il titolare ha scelto un responsabile della protezione dei dati, che non dava sufficienti garanzie ed a questo punto una culpa in eligendo certamente può manifestarsi.

Cominciamo a dire che il regolamento europeo offre qualche livello di protezione ai responsabili della protezione, anche se non li protegge da una qualsiasi forma di responsabilità.

L’articolo 39 indica quali sono le responsabilità minime di un responsabile della protezione, ed in particolare il comma 3 dell’articolo 38 proibisce al titolare di dare istruzioni al responsabile, circa le modalità con cui egli deve svolgere il proprio lavoro. Un ulteriore garanzia, a protezione del responsabile della protezione, nasce sempre dall’articolo 38, laddove il responsabile della protezione dei dati non può essere licenziato o penalizzato dal titolare o del responsabile del trattamento, nel corso delle sue attività di supporto professionale.

Tuttavia, questa garanzia di indipendenza potrebbe essere viziata dal fatto che il responsabile della protezione è venuto meno ai suoi doveri per negligenza oppure incompetenza. Ecco perché rimane comunque una responsabilità residua in carico a questo soggetto.

Per la verità, il già menzionato documento dell’articolo 29 Working party stabilisce chiaramente che i responsabili della protezione non sono personalmente responsabili, in caso il titolare non abbia rispettato le disposizioni del regolamento. Ciò non toglie ovviamente che il titolare non possa rivalersi sul responsabile della protezione, se il mancato rispetto discende da un suo errore oppure da un suo comportamento negligente.

Perfino un interessato può cercare di coprire i danni che possa aver subito, a seguito di un comportamento negligente di un responsabile della protezione dei dati.

La situazione può essere più trasparente, quando il responsabile della protezione è soggetto terzo sotto contratto, mentre può essere un poco più confusa quando il responsabile è un soggetto interno. Occorre infatti vedere quale sia il suo ruolo all’interno dell’organizzazione, anche se con ogni probabilità si tratta sempre di un ruolo dirigenziale. Al proposito, ricordo che il regolamento esplicitamente prevede che il responsabile della protezione dei dati abbia diretto accesso all’alta direzione, per trattare temi legati al suo supporto professionale.

Lo scenario del responsabile della protezione esterno può essere più facilmente inquadrato, facendo riferimento ai fornitori di servizi professionali, in varie parti d’Europa. Se un professionista, che presta la sua opera ad un titolare, si comporta in modo negligente e il suo cliente, per conseguenza, soffre un danno, è del tutto normale che il cliente pretenda un adeguato ristoro.

Questo scenario però si complica quando, ad esempio, il responsabile esterno offre i suoi servizi ad una moltitudine di titolari. A questo punto, ove si verificasse uno scenario di negligenze multiple, le coperture assicurative potrebbero non essere sufficienti a coprire analoghe tipologie di sinistro, verificatesi presso vari clienti contemporaneamente.

Sui mercati internazionali già da tempo sono disponibili le “Directors & Officers insurance coverage”, che potrebbero essere adattate in modo da garantire protezione ai responsabili della protezione interni, mentre una copertura assicurativa per errori ed omissioni E&O potrebbe essere utilizzata per proteggersi da sinistri, riconducibili a responsabili esterni della protezione.

Ad oggi non si ha sufficiente esperienza per elaborare delle coperture assicurative correttamente formulate, ma sono certo che la vivacità di molti assicuratori, in particolare i Lloyd’s underwriters, non ci metterà molto a mettere a disposizione adeguate soluzioni.

Tornando al primo tipo di copertura assicurativa, quella che viene normalmente indicata come copertura D&O, essa è certamente applicabile a soggetti interni all’azienda e può non solo coprire le sanzioni, ma anche le spese legali che spesso sono collegate al processo di applicazione delle sanzioni. Talvolta la copertura si applica anche a possibili azioni, attivate dagli azionisti della società, nei confronti dei propri dirigenti ed amministratori. So bene che in Italia questo scenario è poco consueto, ma all’estero esso è assai più frequente.

Anche in questo caso, occorre esaminare fino a che punto la copertura D&O si estende, nei confronti dei vari livelli dirigenziali della società protetta. Per solito, essa fa riferimento solo ai componenti del consiglio di amministrazione ed altri dirigenti di alto livello, ma occorre chiarire con il proprio assicuratore quali fisicamente siano i soggetti coinvolti, per evitare possibili interpretazioni ambigue.

Box

Il caso Goldman Sachs

Gli esperti di coperture assicurative raccontano quanto accaduto a una delle maggiori banche di investimento del mondo, che ha avviato una causa, che si è prolungata per molti anni, basata sul fatto che un dipendente, che godeva della qualifica di “vicepresidente”, rientrasse o meno esplicitamente nella copertura di cui la banca d’investimenti godeva.

Questo contenzioso si è sviluppato negli Stati Uniti e faceva riferimento al fatto che la copertura assicurativa poteva o meno rimborsare un vicepresidente per le spese legali che aveva sostenuto.

Anche se alla fine la banca d’investimenti vinse il proprio contenzioso, i costi legali relativi furono estremamente elevati.

È chiaro che la copertura di cui stiamo adesso parlando non è mai applicabile a un responsabile della protezione dei dati esterno all’azienda, che deve attivarsi in proprio per ottenere questa copertura.

Si tratta di una situazione non molto diversa da quella che devono affrontare, ad esempio, i medici, quando devono attivare una copertura assicurativa contro comportamenti errati nello svolgimento dell’attività professionale.

Si faccia molta attenzione a studiare attentamente queste coperture assicurative, contrassegnate. Dalla sigla “Error & Omissions” E&O, perché spesso esse pongono delle significative limitazioni, circa il tipo di errore od omissione che potrebbe essere coperto dall’assicurazione.

Sono certo che col tempo la situazione migliorerà, ma al momento è del tutto naturale che gli assicuratori siano alquanto perplessi nell’offrire copertura per rischi, che non sono stati ancora chiaramente individuati.

Infine, un possibile ulteriore strumento di protezione, per i responsabili della protezione esterni, potrebbe consistere in limitazioni di responsabilità contrattuale, che però potrebbe non essere facile far accogliere dal titolare coinvolto.

Fonte: Puntosicuro.it