Si discute moltissimo in questi giorni della figura del Data Protection Officer – DPO, una figura che è stata introdotta dal nuovo Regolamento UE (più noto come GDPR) concernente la tutela delle persone fisiche con riguardo al trattamento dei dati personali e la libera circolazione di tali dati. Una persona fisica, una sorta di figura ibrida fra il ruolo di vigilanza dei processi interni alla struttura (del titolare e del responsabile, che lo devono nominare, obbligatoriamente in taluni casi previsti per legge), ed il ruolo di consulenza; funge inoltre da “ponte di contatto” e super partes con l’Autorità Garante nazionale.

Nell’articolo andremo a conoscere meglio il ruolo di tale figura e ad approfondire i casi in cui la sua nomina è obbligatoria da parte del Titolare o Responsabile del trattamento o, comunque, caldamente consigliata, in termini di buone prassi, in tutti i casi in cui,
nell’espletamento delle attività di trattamento, siano ravvisabili concreti rischi per i diritti e
le libertà delle persone fisiche (in attuazione del fondamentale principio dell’Accountability).

Chi è il DPO?

Il DPO (Data Protection Officier – Responsabile della Protezione dei Dati) è una delle maggiori novità introdotte dal Regolamento Europeo 2016/679 art. 37.
Tale figura era già presente e obbligatoria in alcune legislazioni europee, mentre era facoltativa in altre. Il suo ruolo è fondamentale, seppur non obbligatorio, per tutte le aziende.

Chi è il DPO - Data Protection Officer

È un professionista che deve avere un ruolo aziendale con competenze giuridiche, informatiche, di risk management e di analisi dei processi. La sua responsabilità principale è quella di osservare, valutare e organizzare la gestione del trattamento di dati personali e, dunque, la loro protezione all’interno dell’azienda affinché questi dati siano trattati nel rispetto di tale Regolamento. Inoltre fornisce, se richiesto, un parere in merito alla valutazione d’impatto sulla protezione dei dati. Tale figura coopera con l’Autorità e, proprio per questo, il suo nominativo va comunicato al Garante e costituisce il punto di contatto con gli interessati per le questioni connesse al trattamento dei dati personali (artt. 38 e 39 del Regolamento).

Requisiti DPO

Requisiti-DPO

Secondo l’Asso DPO ( Associazione Data Protection Officer), non esistono specifiche attestazioni formali per diventare DPO, né è possibile l’iscrizione in appositi albi: quel che è certo, è che il DPO deve possedere un’approfondita conoscenza della normativa, nonché delle norme e delle procedure amministrative che caratterizzano lo specifico settore di riferimento. Deve essere in grado di offrire la consulenza necessaria per verificare e mantenere un sistema organizzato di gestione dei dati personali, offrendo un solido e adeguato supporto al titolare, per l’osservanza del nuovo Regolamento, che impone l’adozione di un complesso di misure e garanzie sia tecniche sia di sicurezza, adeguate al contesto in cui è collocato.
Deve essere, inoltre, una figura capace di agire in piena indipendenza e autonomia, senza ricevere istruzioni da alcuno, e con il potere di riferire direttamente ai vertici aziendali e deve disporre di tutte le risorse (personale, locali, attrezzature, etc.) necessarie per svolgere i propri compiti.

DPO Privacy: nomina obbligatoria

Il Regolamento disciplina la nomina della figura del Data Protection Officer nei seguenti casi:

Il Regolamento disciplina la nomina della figura del Data Protection Officer nei seguenti casi:

  • Il trattamento è effettuato da un’autorità pubblica o da un organismo pubblico, escluse le autorità giurisdizionali quando esercitano le loro funzioni;

  • Le attività principali del Titolare del trattamento o del Responsabile del trattamento consistono in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala;

  • Le attività principali del Titolare del trattamento o del Responsabile del trattamento consistono nel trattamento, su larga scala, di categorie particolari di dati personali di cui all’art. 9 (dati personali che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni filosofiche o religiose, o l’appartenenza sindacale, oltre al trattamento di dati genetici, dati biometrici al fine dell’identificazione univoca di una persona fisica, e di dati relativi alla salute, alla vita sessuale o all’orientamento sessuale di una persona fisica) o di dati relativi a condanne penali e a reati di cui all’art. 10.

A titolo esemplificativo e non esaustivo, sono state individuate le seguenti categorie di soggetti certamente tenuti alla nomina di un DPO: istituti di credito; imprese assicurative; sistemi di informazione creditizia; società finanziarie; società di informazioni commerciali; società di revisione contabile; società di recupero crediti; istituti di vigilanza; partiti e movimenti politici; sindacati; caf e patronati; società operanti nel settore delle “utilities” (telecomunicazioni, distribuzione di energia elettrica o gas); imprese di somministrazione di lavoro e ricerca del personale; società operanti nel settore della cura della salute, della prevenzione/diagnostica sanitaria quali ospedali privati, terme, laboratori di analisi mediche e centri di riabilitazione; società di call center; società che forniscono servizi informatici; società che erogano servizi televisivi a pagamento. In tutti gli altri casi, la nomina non è obbligatoria. Ad esempio: trattamenti effettuati da liberi professionisti operanti in forma individuale; agenti, rappresentanti e mediatori operanti non su larga scala; imprese individuali o familiari; piccole e medie imprese, con riferimento ai trattamenti dei dati personali connessi alla gestione corrente dei rapporti con fornitori e dipendenti.
La designazione di tale figura è, in ogni caso, raccomandata, in rispetto al principio di Accountability che governa l’intero GDPR. È altresì possibile che un gruppo imprenditoriale possa scegliere un unico DPO, purché sia facilmente raggiungibile da ciascuno ed in grado di comunicare in modo efficace con gli interessati e di collaborare con le autorità di controllo.

Data Protection Officer interno o esterno?

Data-Protection-Officer

Può essere una figura interna o esterna all’organizzazione aziendale e può ricoprire anche altri incarichi all’interno della struttura aziendale, a condizione che non sia in conflitto di interessi. Proprio per questo motivo, il Garante ha precisato che sarebbe preferibile evitare di assegnare il ruolo di DPO a soggetti con incarichi di alta direzione (amministratore delegato, membro del consiglio di amministrazione, direttore generale, etc.), ovvero nell’ambito di strutture aventi potere decisionale in ordine alle finalità e alle modalità del trattamento (direzione risorse umane, direzione marketing, direzione finanziaria, responsabile IT, etc.).
In molti casi, quindi, la sua nomina rappresenta un obbligo di legge; in altri una misura di Compliance. In entrambi i casi, essa non è una misura utile a sollevare il titolare dalle proprie responsabilità; infatti, i titolari o i responsabili del trattamento rimangono comunque pienamente responsabili dell’osservanza della normativa e devono essere in grado di dimostrare che le misure e le procedure poste in essere siano conformi al Regolamento.

Iscriviti alla nostra newsletter e rimani sempre aggiornato sul GDPR.

Categorie: GDPR

3 commenti

GDPR e Soggetti Interessati: Titolare e Responsabile del Trattamento dei Dati Personali - Blog · 15 Luglio 2018 alle 19:03

[…] della Protezione dei Dati Personali (come abbiamo approfondito sull’articolo riguardo il DPO – Data Protection Officer), un notevole supporto per garantire e dimostrare la conformità normativa al nuovo Regolamento […]

Certificazione DPO: i chiarimenti del Garante Privacy sulla Norma UNI 11697 _ 2017 - Blog · 24 Luglio 2018 alle 19:00

[…] stabiliti nell’art. 39 (per maggiori approfondimenti, consulta il nostro articolo riguardo il DPO – Data Protection Officer ). […]

Cosa si intende per Data Breach? I nuovi adempimenti previsti dal GDPR - Blog · 17 Settembre 2018 alle 9:11

[…] Nella comunicazione devono, inoltre, essere indicati i dati di contatto del Responsabile della Protezione dei dati (per approfondimenti su tale figura, leggi l’articolo sul DPO). […]

Lascia un commento

Segnaposto per l'avatar

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *