GDPR PRIVACY: Il DPO o Responsabile della protezione dei dati

GDPR Privacy 2018 Data Protection Officer

Una delle novità che ci porterà il GDPR (General Data Protection Regulation) o Regolamento Eurpeo sulla Privacy 2016/679, in vigore nei 28 paesi della CE a partire dal 25 maggio, è l’istituzione di una nuova figura non prevista prima: il Data Protection Officer (DPO) o Responsabile della protezione dei dati (RPD acronimo italiano).

Questo nuovo protagonista, che si affianca a quelli già previsti (il titolare e il responsabile del trattamento), sarà in pratica un vero e proprio manager del trattamento dei dati. In questo articolo cercheremo di approfondire le caratteristiche di questa figura per poter arrivare preparati all’appuntamento con la nuova privacy.

Parleremo in particolare di:

Quali requisiti deve avere il DPO?

Pur essendo una figura sulla quale esistono ad oggi diverse interpretazioni, possiamo sicuramente dire che il Responsabile della protezione dei dati o DPO viene nominato per osservare, valutare e gestire il trattamento dei dati , in modo tale che sia rispettato sempre il Regolamento Europeo.

I principali requisiti che deve avere questa nuova figura sono:

  • deve conoscere a fondo la normativa e la prassi di gestione dei dati personali, comprese le misure tecniche e organizzative messe in atto dal titolare del trattamento. Non sono tuttavia richieste formazioni professionali apposite o l’iscrizione ad albi professionali; sarebbe pero’ auspicabile che abbia anche una conoscenza adeguata sia in materia giuridica sia in materia informatica
  • deve svolgere il suo ruolo in maniera indipendente e senza alcun conflitto di interesse. Questo implica che non può essere coinvolto nel processo di decisione delle finalità e/o degli strumenti da utilizzare per la gestione del trattamento dei dati

Quali compiti deve avere un Responsabile della protezione dei dati?

Il DPO deve assolvere alle seguenti funzioni:

  • Controllo e vigilanza: si assicura che il regolamento sia rispettato, valutando i rischi di ogni trattamento alla luce della natura, dell’ambito di applicazione, del contesto e delle finalità
  • Supporto al risk management: collabora con il titolare o il responsabile del trattamento nell’effettuare una valutazione d’impatto sulla protezione dei dati (Privacy Impact Assessment o, più brevemente, PIA), nella tenuta del registro delle attività di trattamento e in generale per qualsiasi attività connessa al trattamento dei dati
  • Informazione e consulenza: dà le giuste informazioni e sensibilizza l’intera azienda (tutti i dipendenti e il titolare o il responsabile del trattamento) riguardo gli obblighi derivanti dal regolamento e da altre disposizioni in materia di protezione dei dati personali
  • Punto di contatto: è l’ intermediario tra l’azienda e il Garante e coopera con questo su ogni questione riguardante il trattamento dei dati

Il DPO riferisce direttamente al vertice gerarchico del titolare del trattamento o del responsabile del trattamento. E’ tenuto al segreto o alla riservatezza, in merito all’adempimento dei propri compiti.
Il DPO può svolgere il suo ruolo parallelamente ad un altro, purché gli altri compiti non vadano in conflitto con tale mansione.

Quando è obbligatorio nominare un DPO?

In alcune realtà aziendali occorrerà nominare un Responsabile della protezione dei dati.
Questa figura, infatti, sarà obbligatoria nei seguenti casi:

  • nelle amministrazioni e enti pubblici, ad eccezione delle autorità giudiziarie (quindi non sarà previsto nei tribunali).
  • in tutte quelle aziende la cui attività principale consiste nei trattamenti che richiedono il monitoraggio regolare e sistematico degli interessi su larga scala (per loro natura, ambito di applicazione e/o finalità). Per attività principali si possono intendere le operazioni essenziali che sono necessarie al raggiungimento degli obiettivi perseguiti dal titolare del trattamento o dal responsabile del trattamento, comprese tutte quelle attività per le quali il trattamento dei dati è inscindibilmente connesso all’attività del titolare del trattamento o del responsabile del trattamento. Per fare un esempio, il trattamento di dati relativi alla salute (come le cartelle sanitarie dei pazienti) è da ritenersi una delle attività principali di qualsiasi ospedale; ne deriva che tutti gli ospedali, compresi quelli privati, dovranno designare un DPO. Non importa la dimensione dell’azienda, ciò che importa è la sua attività: pertanto, anche se si tratti di una start-up di piccole dimensione, che, come core business, raccoglie dati personali, sarà necessario la nomina di un DPO.
  • per tutti i soggetti la cui attività principale consiste nel trattamento, su larga scala, di dati sensibili particolari quali: la salute, la vita sessuale, dati genetici, giudiziari e biometrici. Per fare un esempio dovranno dotarsi di un DPO tutte quelle aziende che effettuano il trattamento di dati relativi alla clientela da parte di una compagnia assicurativa o di una banca nell’ambito delle ordinarie attività.

E’ bene dire che anche lì dove la nomina di un DPO non sia obbligatoria, potrebbe risultare utile designarlo volontariamente. In tal caso si applicano gli identici requisiti (in termini di criteri per la designazione, posizione e compiti) che valgono per i DPO eletti in via obbligatoria.

Il Responsabile della protezione dei dati può essere una figura interna all’azienda oppure esterna: può, quindi, essere un dipendente del titolare del trattamento oppure lo può fare tramite un contratto di servizi. Viene nominato dal titolare o dal responsabile del trattamento, che ne deve assicurare il lavoro mettendogli a disposizione le risorse, umane e finanziarie, utili per assolvere i suoi compiti.



 

Vuoi saperne di più?

Vuoi ricevere maggiori informazioni?
Contattaci subito: siamo a tua completa disposizione!