Quando serve nominare il Data Protection Officer DPO

Il Data Protection Officer DPO, a cosa e quando serve.

Con l’entrata in vigore del Regolamento UE 2016/679 (GDPR) lo scorso mese di Maggio 2018, è stata introdotta la nuova figura del Responsabile della protezione dei dati (RPD) meglio conosciuto nella sua versione inglese di Data Protection Officer (DPO).

Questa nuova figura si affianca al titolare e al responsabile del trattamento dei dati con il preciso scopo di controllare la regolarità dei trattamenti dei dati effettuati dall’azienda.

Scopo specifico del DPO è, pertanto, quello della tutela dei dati personali.

La figura del DPO è regolamentata dagli articoli 37, 38 e 39 del GDPR.

 

Quando è obbligatorio nominare un DPO ?

Nello specifico l’art. 37 prevede la designazione del DPO che è obbligatoria quando:

 

  • il trattamento è effettuato da un Ente Pubblico,
  • quando le attività principali del titolare del trattamento consistono in trattamenti che richiedono un controllo regolare degli interessati su larga scala, includendo tutti i vari strumenti di tracciatura elettronica e profilazione online.
  • se l’attività richiede trattamenti di dati sensibili relativi alla salute, dati genetici, alla vita sessuale, biometrici e giudiziari.

 

Pertanto la nomina del DPO è obbligatoria solo in questi tre casi, in tutti gli altri casi la nomina è facoltativa.

Per trattamento su larga scala si devono prendere in considerazione diversi elementi: dal numero dei trattamenti effettuati, alla tipologia dei dati, al numero degli interessati coinvolti, alla durata del trattamento e alla sua portata geografica.

Si considerano trattamenti su larga scala ad esempio quelli effettuati da un ospedale, da una banca o da una assicurazione, e in tutte quelle situazioni in cui vi è un grande potenziale di trattamenti.

L’art. 38 prevede che il titolare o il responsabile del trattamento mettano a disposizione del DPO tutte le risorse necessarie per lo svolgimento dei suoi compiti, al fine anche di aggiornarsi al mutare delle situazioni nel tempo, assicurandosi nel contempo che lo stesso non svolga attività in conflitto di interessi con la sua posizione di DPO e non riceva istruzioni in merito all’esecuzione dei suoi compiti.

L’art. 39 indica i compiti minimi cui è tenuto il DPO, fra questi rientrano l’informare e fornire consulenza al titolare e al responsabile del trattamento dei dati, sorvegliare sull’esatta osservanza delle norme previste dal GDPR e sulle disposizioni impartite dal titolare del trattamento, verificare la regolare tenuta del registro dei trattamenti ai sensi dell’art. 30 del GDPR, fornire consulenza in merito alla valutazione d’impatto se richiesto, cooperare con l’autorità di controllo e fungere da punto di contatto con la stessa.

E’ un diritto degli interessati quello di contattare il DPO per tutte le questioni che riguardano il trattamento dei loro dati.

La normativa italiana non prevede allo stato attuale, alcun particolare requisito per la nomina a DPO, non esiste uno specifico albo, requisiti essenziali sono che l’interessato abbia una conoscenza della normativa in materia di trattamento dei dati sia teorica che pratica e conosca le norme che caratterizzano lo specifico ambito di attività dell’azienda per cui collabora.

Può essere nominato DPO sia un dipendente dell’azienda, ad eccezione del personale apicale che possa prendere decisioni in merito alla gestione della privacy, sia un consulente esterno che può essere un professionista o una società di consulenza.

Nella gestione della sua attività il DPO, a garanzia della sua autonomia, non può essere rimosso o sanzionato.

Alla luce di ciò si ritiene preferibile nominare un consulente esterno in quanto difficilmente un dipendente potrà evidenziare problemi, denunciare valutazioni errate, proporre soluzioni al datore di lavoro in totale tranquillità e autonomia.

 

Il Compito del DPO

Il DPO è tenuto in ogni caso al segreto e alla riservatezza in merito alle sue funzioni di responsabile della protezione dei dati e deve essere immediatamente e adeguatamente coinvolto in tutte le questioni insorte in relazione al trattamento dei dati e alla loro protezione.

Compito del DPO è quello di tenersi aggiornato in merito ai rischi e alle misure di sicurezza necessarie per garantire un livello adeguato di protezione dei trattamenti; nella pratica deve predisporre specifiche policy privacy aziendali che devono contenere dettagliate istruzioni sui diversi trattamenti dei dati effettuati all’interno dell’azienda stessa, al fine anche di evitare trattamenti superflui che potrebbero essere fonte di perdita e o danneggiamento dei dati.

Deve procedere alla formazione del personale dipendente che si occupa del trattamento dei dati, controllare la regolare tenuta del registro dei trattamenti da parte del titolare o responsabile del trattamento, verificare l’esistenza e il relativo aggiornamento del registro delle richieste degli interessati con i relativi consensi richiesti e o revocati e verificare l’esistenza e aggiornamento del registro delle violazioni ovvero del cosiddetto “data breach”.

Il DPO nello svolgimento dei suoi compiti non è direttamente responsabile dell’eventuale inosservanza da parte dell’azienda della normativa prevista dal GDPR in quanto ai sensi dell’art. 24 GDPR è il titolare del trattamento dei dati che deve mettere in pratica le misure necessarie affinché il trattamento venga considerato conforme al Regolamento UE.

 

Nomina del DPO

Il DPO essendo consulente esterno nominato con apposito contratto risponderà eventualmente nei confronti del titolare dei dati per i danni da questo subiti esclusivamente in base ad una responsabilità contrattuale.

Una volta nominato il DPO il suo nominativo deve essere immediatamente portato a conoscenza degli interessati con la pubblicazione dei suoi dati nell’apposita informativa prevista dagli artt. 13 e 14 GDPR, informativa che deve essere presente anche nel sito web dell’azienda.

La nomina deve inoltre essere comunicata anche all’Autorità di controllo competente, con la quale si ricorda il DPO deve interagire e fungere da organo di collegamento.

 

In conclusione

In considerazione del delicato e importante compito che il DPO deve svolgere all’interno delle aziende, lo scrivente ritiene opportuno che questa figura venga nominata in tutte quelle aziende che vogliono assicurare uno standard di sicurezza in linea con la direttiva del Regolamento UE 2016/679, procedendo alla nomina di un esperto esterno, libero da vincoli, che possa tranquillamente coordinarsi con il titolare del trattamento e l’Autorità garante nella gestione della sicurezza del trattamento dei dati personali.

La figura del DPO può far capo ad una sola azienda o indifferentemente ad un gruppo di aziende operanti nello stesso settore, fatto questo che può comportare una distribuzione dei costi di gestione e permettere al DPO una omogeneità dei trattamenti per le diverse società alle quali offre la propria consulenza.

Recentemente si è sviluppato un vero e proprio Business su questa figura, con un gran numero d’offerte e proposte, di vario genere e a vari livelli, malgrado la normativa italiana non prevede, alcun particolare requisito per la nomina a DPO e non esiste uno albo specifico, il mio consiglio e di sceglierlo con attenzione e con particolare riguardo alla preparazione sulla materia della normativa in materia di trattamento dei dati.

A cura dell’Avv. Roberto Ferri

 

 

Copyright © 1997 - 2018 GDPR Soluzione Totale a brand by PromoIT Noiseartech Group | P.iva 07524480964