dpo_data_protection_officer

fonte: http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/8036793

3. Chi sono i soggetti privati obbligati alla sua designazione?

Sono tenuti alla designazione del responsabile della protezione dei dati personali il titolare e il responsabile del trattamento che rientrino nei casi previsti dall’art. 37, par. 1, lett. b) e c), del Regolamento (UE) 2016/679. Si tratta di soggetti le cui principali attività (in primis, le attività c.d. di “core business”) consistono in trattamenti che richiedono il monitoraggio regolare e sistematico degli interessati su larga scala o in trattamenti su larga scala di categorie particolari di dati personali o di dati relative a condanne penali e a reati (per quanto attiene alle nozioni di “monitoraggio regolare e sistematico” e di “larga scala”, v. le “Linee guida sui responsabili della protezione dei dati” del 5 aprile 2017, WP 243). Il diritto dell’Unione o degli Stati membri può prevedere ulteriori casi di designazione obbligatoria del responsabile della protezione dei dati (art. 37, par. 4).

Ricorrendo i suddetti presupposti, sono tenuti alla nomina, a titolo esemplificativo e non esaustivo: istituti di credito; imprese assicurative; sistemi di informazione creditizia; società finanziarie; società di informazioni commerciali; società di revisione contabile; società di recupero crediti; istituti di vigilanza; partiti e movimenti politici; sindacati; caf e patronati; società operanti nel settore delle “utilities” (telecomunicazioni, distribuzione di energia elettrica o gas); imprese di somministrazione di lavoro e ricerca del personale; società operanti nel settore della cura della salute, della prevenzione/diagnostica sanitaria quali ospedali privati, terme, laboratori di analisi mediche e centri di riabilitazione; società di call center; società che forniscono servizi informatici; società che erogano servizi televisivi a pagamento.

4. Chi sono i soggetti per i quali non è obbligatoria la designazione del responsabile della protezione dei dati personali?

Nei casi diversi da quelli previsti dall’art. 37, par. 1, lett. b) e c), del Regolamento (UE) 2016/679, la designazione del responsabile della protezione dei dati non è obbligatoria (ad esempio, in relazione a trattamenti effettuati da liberi professionisti operanti in forma individuale; agenti, rappresentanti e mediatori operanti non su larga scala; imprese individuali o familiari; piccole e medie imprese, con riferimento ai trattamenti dei dati personali connessi alla gestione corrente dei rapporti con fornitori e dipendenti: v. anche considerando 97 del Regolamento, in relazione alla definizione di attività “accessoria”).

In ogni caso, resta comunque  raccomandata, anche alla luce del principio di “accountability” che permea il Regolamento, la designazione di tale figura (v., in proposito, le menzionate linee guida), i cui criteri di nomina, in tale evenienza, rimangono gli stessi sopra indicati.

dpo_data_protection_officer

A seguito dell’approvazione del nuovo Regolamento 2016/679, tutti i membri dell’ Unione Europea sono soggetti ad una nuova regolamentazione sul trattamento e protezione dei dati. Lo scopo del Regolamento è quello di far garantire un alto livello di sicurezza del trattamento dei dati personali, invitando gli stati membri ad adottare misure tecniche ed organizzative adeguate. Il GDPR (General Data Protection Regulation), ha come ambizione, quindi, quella di rafforzare e rendere più omogenea la protezione dei dati personali all’interno dell’Unione Europea.
Tra le numerose novità contenute nel Regolamento, vi è la figura del “Responsabile della Protezione dei Dati RPD o Data Protection Officer DPO”.

Il DPO (o RPD) è una figura nominata dal Titolare del trattamento e dal Responsabile del trattamento. Il Titolare del trattamento è il soggetto (persona fisica, giuridica o Pubblica Amministrazione) che determina le finalità e i mezzi del trattamento dei dati personali, mentre il Responsabile del trattamento è il soggetto preposto al trattamento dei dati personali per conto del Titolare del trattamento.
Nel caso di Pubblica amministrazione, l’obbligo di nomina del DPO è sancito al paragrafo 1 dell’art.37°: “se il trattamento è effettuato da un’autorità pubblica o da un organismo pubblico…”.

La nomina del DPO, secondo il paragrafo 6 dell’art.37, può essere effettuata ad un soggetto esterno all’organismo pubblico, mediante un contratto di servizi, e può essere una persona fisica o giuridica.
La durata dell’incarico non è esplicitamente stabilita, tuttavia in linea con l’obiettivo del Regolamento di garantire al DPO autonomia e indipendenza (art. 38, paragrafo 3), le Linee Guida (3.4) sottolineano che quanto è maggiore la stabilità del contratto stipulato, maggiore sarà la probabilità che egli possa adempiere al suo compito in modo indipendente.

I compiti del DPO sono essenzialmente:
a) informare e fornire consulenza al titolare del trattamento o al responsabile del trattamento nonché ai dipendenti che eseguono il trattamento in merito agli obblighi derivanti dal RGPD, nonché da altre disposizioni nazionali o dell’Unione relative alla protezione dei dati;
b) sorvegliare l’osservanza del RGPD, di altre disposizioni nazionali o dell’Unione relative alla protezione dei dati nonché delle politiche del titolare del trattamento o del responsabile del trattamento in materia di protezione dei dati personali, compresi l’attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo;
c) fornire, se richiesto, un parere in merito alla valutazione d’impatto sulla protezione dei dati e sorvegliarne lo svolgimento ai sensi dell’articolo 35 del RGPD;
d) cooperare con il Garante per la protezione dei dati personali;
e) fungere da punto di contatto con il Garante per la protezione dei dati personali per questioni connesse al trattamento, tra cui la consultazione preventiva di cui all’articolo 36, ed effettuare, se del caso, consultazioni relativamente a qualunque altra questione;
Fondamentale, al fine di esercitare correttamente il compito, è che il DPO: “sia tempestivamente e adeguatamente coinvolto in tutte le questioni riguardanti la protezione dei dati personali (art. 38, paragrafo 1 del Regolamento)”.

Il DPO deve essere coinvolto sin dalle fasi iniziali e il titolare ha l’obbligo di consultarlo (art.35, paragrafo 2). Assicurare un tempestivo coinvolgimento del DPO, informandolo e consultandolo fin dalle prime fasi, garantendo l’applicazione del principio “privacy by design”, sin dalla fase della progettazione.
Dalle Linee Guida (punto 3.1) si ricava la procedura standard da adottare, annoverando il DPO come interlocutore interno, che partecipi ai gruppi di lavoro che si occupano delle attività di trattamento dati:
– che il DPO sia invitato a partecipare su base regolare alle riunioni del management di alto e medio livello;
– la preenza del DPO ogniqualvolta debbano essere assunte decisioni che impattano sulla protezione dei dati. Il DPO deve disporre tempestivamente di tutte le informazioni pertinenti in modo da poter rendere una consulenza idonea;
– che il parere del DPO riceva sempre la dovuta considerazione;
– che il DPO sia consultato tempestivamente qualora si verifichi una violazione dei dati o un altro incidente.
In riferimento alle risorse, il paragrafo 2 dell’art. 38 obbliga il titolare (o il responsabile) a sostenere il DPO fornendogli le risorse necessarie per assolvere i propri compiti e accedere ai dati personali e ai trattamenti per mantenere la propria conoscenza specialistica, in particolare:
– supporto attivo delle funzioni del DPO da parte del senior management;
– supporto adeguato in termini di risorse finanziarie infrastrutture e, ove opportuno, personale;
– comunicazione ufficiale della nomina del DPO a tutto il personale, in modo da garantire che la sua presenza e le sue funzioni siano note all’interno dell’organismo pubblico;
– accesso garantito ad altri servizi (risorse umane, IT, ufficio giuridico ecc…);
– formazione permanente. I DPO devono avere la possibilità di curare il proprio aggiornamento con riguardo agli sviluppi nel settore della protezione dei dati;
– alla luce delle dimensioni e della struttura del singolo organismo, può risultare necessario costituire un ufficio o un gruppo di lavoro DPO (formato dal DPO e dal personale). E’ opportuno definire l struttura interna del gruppo di lavoro assegnando i compiti personali.

Il DPO non è personalmente responsabile in caso di inosservanza degli obblighi in materia di protezione dei dati. Spetta sempre al Titolare o Responsabile del trattamento garantire ed essere in grado di dimostrare che il trattamento è effettuato conformemente al Regolamento. Pertanto, la piena responsabilità per l’osservanza e il rispetto delle norme sulla protezione dati ricade unicamente sul Titolare del trattamento o sul Responsabile.
La prima azione del DPO, seguente alla sua nomina, è quella di analizzare i meccanismi di raccolta e conservazione dei dati in atto. Dopo aver valutato probabilità di perdite e tutti i possibili rischi, in relazione ai sistemi impiegati e alla particolare natura dei dati custoditi, il DPO produce un documento nel quale evidenzia anche l’eventuale necessità di un adeguamento tecnologico o di correttivi da apportare alle procedure in atto. Una volta mappata la realtà esistente, il DPO si fa carico della redazione di un piano di aggiornamento e manutenzione dei sistemi, per restare sempre al passo con l’evolversi delle normative in materia. È compito del DPO, inoltre, fare da interfaccia con le autorità di controllo, per tutte le questioni che riguardano la consultazione preventiva, la possibilità di reperire i dati anche in caso di guasti e, più in generale, per qualsiasi verifica necessaria ad attestare la conformità con il pacchetto di norme del Regolamento Europeo sulla Privacy.
Come indicato dal Regolamento all’ art. 37 il Responsabile della protezione deve conoscere in modo specialistico la normativa e la prassi in materia di protezione dei dati, oltre che avere le competenze professionali e organizzative per adempiere ai sui obblighi (art. 39). Inoltre, è indispensabile:
– una familiarità con le operazioni di trattamento, on tecnologie informatiche e misure di sicurezza dei dati;
– la conoscenza dello specifico settore di attività e dell’organizzazione del titolare/responsabile del trattamento;
– la capacità di promuovere una cultura della protezione dati all’interno dell’organizzazione del titolare/responsabile.

Ing. Armando Lucci