Go to Top

La figura del DPO nel nuovo Regolamento Europeo

DPO e Regolamento Europeo per la Protezione dei Dati

La pubblicazione nella Gazzetta Ufficiale Europea lo scorso 4 maggio 2016 del testo del Regolamento Europeo in materia di protezione dei dati personali (GDPR – General Data Protection Regulation) ha contribuito a riaccendere l’attenzione delle aziende verso il tema della privacy. L’applicazione della normativa è prevista a partire dal 25 maggio 2018, le organizzazioni hanno quindi poco meno di un anno e mezzo per rivedere i loro processi di trattamento dei dati personali al fine di adeguarsi a quanto richiesto dal regolamento.

Una novità introdotta dalla normativa è la figura del DPO (Data Protection Officer) alla quale dedichiamo questo articolo.

Chi è il DPO e cosa fa

Il DPO è un professionista che dovrebbe avere competenze nella normativa  oltre che esperienze informatiche e di gestione del rischio. Il suo compito è assistere il titolare o il responsabile del trattamento al fine di assicurare che il trattamento stesso sia conforme e rispetti la normativa in materia di privacy, in una sorta di funzione di garanzia. Il DPO può essere un dipendente dell’organizzazione oppure un soggetto esterno, quello che è importante è che sia totalmente libero di svolgere in modo indipendente i suoi compiti.

Avere un DPO è obbligatorio?

Esistono 3 casi in cui la designazione del DPO è obbligatoria, vengono riportate di seguito le ipotesi previste nella sezione 4 dall’articolo 37 “Designazione del responsabile della protezione dei dati”:

a) il trattamento è effettuato da un’autorità pubblica o da un organismo pubblico, eccettuate le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali;

b) le attività principali del Titolare del trattamento o del Responsabile del trattamento consistono in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala; oppure

c) le attività principali del Titolare del trattamento o del Responsabile del trattamento consistono nel trattamento, su larga scala, di categorie particolari di dati personali di cui all’articolo 9 (dati particolari | sensibili) o di dati relativi a condanne penali e a reati di cui all’articolo 10.

In tutti gli altri casi la nomina è dunque facoltativa. La persona incaricata del ruolo di Data Protection Officer dovrebbe inoltre essere auspicabilmente indicata al Garante Privacy.

Il DPO e la sua posizione rispetto al titolare e/o il responsabile del trattamento

Nell’articolo 38 “Posizione del responsabile della protezione dei dati” sono invece elencati i punti che identificano qual è la posizione del DPO:

  1. Il titolare del trattamento e il responsabile del trattamento si assicurano che il responsabile della protezione dei dati sia tempestivamente e adeguatamente coinvolto in tutte le questioni riguardanti la protezione dei dati personali.

  1. Il titolare e del trattamento e il responsabile del trattamento sostengono il responsabile della protezione dei dati nell’esecuzione dei compiti di cui all’articolo 39 fornendogli le risorse necessarie per assolvere tali compiti e accedere ai dati personali e ai trattamenti e per mantenere la propria conoscenza specialistica.

  1. Il titolare del trattamento e il responsabile del trattamento si assicurano che il responsabile della protezione dei dati non riceva alcuna istruzione per quanto riguarda l’esecuzione di tali compiti. Il responsabile della protezione dei dati non è rimosso o penalizzato dal titolare del trattamento o dal responsabile del trattamento per l’adempimento dei propri compiti. Il responsabile della protezione dei dati riferisce direttamente al vertice gerarchico del titolare del trattamento o del responsabile del trattamento.

  1. Gli interessati possono contattare il responsabile della protezione dei dati per tutte le questioni relative al trattamento dei loro dati personali e all’esercizio dei loro diritti derivanti dal presente regolamento.

  1. Il responsabile della protezione dei dati è tenuto al segreto o alla riservatezza in merito all’adempimento dei propri compiti, in conformità del diritto dell’Unione o degli Stati membri.

  1. Il responsabile della protezione dei dati può svolgere altri compiti e funzioni. Il titolare del trattamento o il responsabile del trattamento si assicura che tali compiti e funzioni non diano adito a un conflitto di interessi.

Mansioni del DPO

Le mansioni del DPO sono infine oggetto dell’articolo 39 “Compiti del responsabile della protezione dei dati”. I compiti assegnati al Data Protection Officer sono così elencati

a) informare e fornire consulenza al titolare del trattamento o al responsabile del trattamento nonché ai dipendenti che eseguono il trattamento in merito agli obblighi derivanti dal regolamento nonché da altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati

b) sorvegliare l’osservanza del regolamento, di altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati nonché delle politiche del titolare del trattamento o del responsabile del trattamento in materia di protezione dei dati personali, compresi l’attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo

c) fornire, se richiesto, un parere in merito alla valutazione d’impatto sulla protezione dei dati e sorvegliarne lo svolgimento

d) cooperare con l’autorità di controllo;

e) fungere da punto di contatto per l’autorità di controllo per questioni connesse al trattamento, tra cui la consultazione preventiva, ed effettuare, se del caso, consultazioni relativamente a qualunque altra questione.

Sebbene il regolamento fornisca più di una indicazione sul DPO, permangono tuttavia al momento – almeno alla data di stesura di questo articolo – non pochi problemi in merito ad alcune interpretazioni e all’operatività di questa figura.

Ad esempio, alcuni dubbi sorgono su cosa si debba intendere per “attività principali”, per “monitoraggio regolare e sistematico degli interessati” e per “larga scala” o ancora quale debba essere il livello necessario di conoscenze/competenze che “dovrebbe essere determinato in particolare in base ai trattamenti di dati effettuati e alla protezione richiesta per i dati personali trattati dal titolare del trattamento o dal responsabile del trattamento.”

Chiarimenti e discussioni che sicuramente non mancheranno di susseguirsi entro la data del prossimo 25 maggio 2018 e alle quali le organizzazioni dovranno prestare molta attenzione al fine di valutare la propria posizione.

Fonte immagine: european-union-flags-olga, olga shulman (CC BY 2.0) by  lednichenkoolga 

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *