La figura del DPO nel nuovo Regolamento Europeo

martedì 17 gennaio 2017 di Massimo Mazza

La pubblicazione nella Gazzetta Ufficiale Europea lo scorso 4 maggio 2016 del testo del Regolamento Europeo in materia di protezione dei dati personali (GDPR – General Data Protection Regulation) ha contribuito a riaccendere l’attenzione delle aziende verso il tema della privacy. L’applicazione della normativa è prevista a partire dal 25 maggio 2018, le organizzazioni hanno quindi poche settimane per rivedere i loro processi di trattamento dei dati personali al fine di adeguarsi a quanto richiesto dal regolamento.

Una novità introdotta dalla normativa è la figura del DPO (Data Protection Officer) alla quale dedichiamo questo articolo.

Chi è il DPO e cosa fa

Il DPO è un professionista che dovrebbe avere competenze nella normativa  oltre che esperienze informatiche e di gestione del rischio. Il suo compito è assistere il titolare o il responsabile del trattamento al fine di assicurare che il trattamento stesso sia conforme e rispetti la normativa in materia di privacy, in una sorta di funzione di garanzia. Il DPO può essere un dipendente dell’organizzazione oppure un soggetto esterno, quello che è importante è che sia totalmente libero di svolgere in modo indipendente i suoi compiti.

Avere un DPO è obbligatorio?

Esistono 3 casi in cui la designazione del DPO è obbligatoria, vengono riportate di seguito le ipotesi previste nella sezione 4 dall’articolo 37 “Designazione del responsabile della protezione dei dati”:

a) il trattamento è effettuato da un'autorità pubblica o da un organismo pubblico, eccettuate le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali;

b) le attività principali del Titolare del trattamento o del Responsabile del trattamento consistono in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala; oppure

c) le attività principali del Titolare del trattamento o del Responsabile del trattamento consistono nel trattamento, su larga scala, di categorie particolari di dati personali di cui all'articolo 9 (dati particolari | sensibili) o di dati relativi a condanne penali e a reati di cui all'articolo 10.

In tutti gli altri casi la nomina è dunque facoltativa. La persona incaricata del ruolo di Data Protection Officer dovrebbe inoltre essere auspicabilmente indicata al Garante Privacy.

Il DPO e la sua posizione rispetto al titolare e/o il responsabile del trattamento

Nell’articolo 38 “Posizione del responsabile della protezione dei dati” sono invece elencati i punti che identificano qual è la posizione del DPO:

  1. Il titolare del trattamento e il responsabile del trattamento si assicurano che il responsabile della protezione dei dati sia tempestivamente e adeguatamente coinvolto in tutte le questioni riguardanti la protezione dei dati personali.

  1. Il titolare e del trattamento e il responsabile del trattamento sostengono il responsabile della protezione dei dati nell'esecuzione dei compiti di cui all'articolo 39 fornendogli le risorse necessarie per assolvere tali compiti e accedere ai dati personali e ai trattamenti e per mantenere la propria conoscenza specialistica.

  1. Il titolare del trattamento e il responsabile del trattamento si assicurano che il responsabile della protezione dei dati non riceva alcuna istruzione per quanto riguarda l'esecuzione di tali compiti. Il responsabile della protezione dei dati non è rimosso o penalizzato dal titolare del trattamento o dal responsabile del trattamento per l'adempimento dei propri compiti. Il responsabile della protezione dei dati riferisce direttamente al vertice gerarchico del titolare del trattamento o del responsabile del trattamento.

  1. Gli interessati possono contattare il responsabile della protezione dei dati per tutte le questioni relative al trattamento dei loro dati personali e all'esercizio dei loro diritti derivanti dal presente regolamento.

  1. Il responsabile della protezione dei dati è tenuto al segreto o alla riservatezza in merito all'adempimento dei propri compiti, in conformità del diritto dell'Unione o degli Stati membri.

  1. Il responsabile della protezione dei dati può svolgere altri compiti e funzioni. Il titolare del trattamento o il responsabile del trattamento si assicura che tali compiti e funzioni non diano adito a un conflitto di interessi.

Mansioni del DPO

Le mansioni del DPO sono infine oggetto dell’articolo 39 “Compiti del responsabile della protezione dei dati”. I compiti assegnati al Data Protection Officer sono così elencati

a) informare e fornire consulenza al titolare del trattamento o al responsabile del trattamento nonché ai dipendenti che eseguono il trattamento in merito agli obblighi derivanti dal regolamento nonché da altre disposizioni dell'Unione o degli Stati membri relative alla protezione dei dati

b) sorvegliare l'osservanza del regolamento, di altre disposizioni dell'Unione o degli Stati membri relative alla protezione dei dati nonché delle politiche del titolare del trattamento o del responsabile del trattamento in materia di protezione dei dati personali, compresi l'attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo

c) fornire, se richiesto, un parere in merito alla valutazione d'impatto sulla protezione dei dati e sorvegliarne lo svolgimento

d) cooperare con l'autorità di controllo;

e) fungere da punto di contatto per l'autorità di controllo per questioni connesse al trattamento, tra cui la consultazione preventiva, ed effettuare, se del caso, consultazioni relativamente a qualunque altra questione.

Sebbene il regolamento fornisca più di una indicazione sul DPO, i Garanti della Privacy stanno lavorando per meglio definire i punti meno chiari sull’operatività di questa nuova figura.

Ad esempio, alcuni dubbi sorgono su cosa si debba intendere per “attività principali”, per “monitoraggio regolare e sistematico degli interessati” e per “larga scala” o ancora quale debba essere il livello necessario di conoscenze/competenze che “dovrebbe essere determinato in particolare in base ai trattamenti di dati effettuati e alla protezione richiesta per i dati personali trattati dal titolare del trattamento o dal responsabile del trattamento.”

Chiarimenti e discussioni che sicuramente non mancheranno di susseguirsi entro la data del prossimo 25 maggio 2018 e alle quali le organizzazioni dovranno prestare molta attenzione al fine di valutare la propria posizione.

Per informazioni più aggiornate rimandiamo al sito Garante Privacy.

Load more comments
Thank you for the comment! Your comment must be approved first


Nuovo codice