DPO: Data Protection Officer, approfondiamo


Il DPO è il soggetto designato dal titolare o dal responsabile del trattamento per assolvere a funzioni di supporto e controllo, consultive, formative e informative relativamente all'applicazione del GDPR

Tempo di lettura: 16 minuti



Il GDPR, il nuovo Regolamento europeo (Regolamento Ue 2016/679) in materia di protezione dei dati personali, in attuazione in tutti gli Stati Membri dal 25 maggio scorso, oltre a ridefinire le regole in materia di privacy, introduce importanti novità rispetto ai soggetti coinvolti nelle attività di acquisizione e trattamento dei dati.

Tra queste il Data Protection Officer (DPO) o Responsabile della Protezione dei Dati (RPD).

Il Data Protection Officer (DPO) è il soggetto designato dal titolare o dal responsabile del trattamento per assolvere a funzioni di supporto e controllo, consultive, formative e informative relativamente all'applicazione del GDPR (art. 37 GDPR)

Per la precisione l’art. 37 del Regolamento prevede che, ogni qualvolta che:

a) il trattamento è effettuato da un’autorità pubblica o da un organismo pubblico, eccettuate le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali;

b) le attività principali del titolare del trattamento o del responsabile del trattamento consistono in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala;

c) le attività principali del titolare del trattamento o del responsabile del trattamento consistono nel trattamento, su larga scala, di categorie particolari di dati di cui all'articolo 9 (dati sensibili) o di dati relativi a condanne penali e a reati di cui all'articolo 10,

il titolare del trattamento e il responsabile del trattamento designano sistematicamente un responsabile della protezione dei dati (il DPO).

Ancora poi, qualora il titolare del trattamento o il responsabile del trattamento sia un’autorità pubblica o un organismo pubblico, un unico responsabile della protezione dei dati può essere designato per più autorità pubbliche o organismi pubblici, tenuto conto della loro struttura organizzativa e dimensione.

Il responsabile della protezione dei dati è designato in funzione delle qualità professionali, in particolare della conoscenza specialistica della normativa e delle pratiche in materia di protezione dei dati, e della capacità di adempiere ai propri compiti.

Il DPO può essere un dipendente del titolare del trattamento o del responsabile del trattamento oppure adempiere ai suoi compiti in base a un contratto di servizi (quindi esterno o interno all’organizzazione in cui dovrà operare).

Comunque, i dati di contatto del responsabile della protezione dei dati, devono essere comunicati dal titolare del trattamento o dal responsabile del trattamento, all’autorità di controllo.

L’art. 38 del Regolamento, chiarisce che il DPO deve essere prontamente e adeguatamente coinvolto in tutte le questioni riguardanti la protezione dei dati personali sia dal titolare del trattamento che dal responsabile del trattamento.

Inoltre, il titolare del trattamento e il responsabile del trattamento si assicurano che il responsabile della protezione dei dati non riceva alcuna istruzione per quanto riguarda l’esecuzione di tali compiti.

Il responsabile della protezione dei dati non è rimosso o penalizzato dal titolare del trattamento o dal responsabile del trattamento per l’adempimento dei propri compiti, ma riferisce direttamente ai massimi superiori gerarchici del titolare del trattamento o del responsabile del trattamento.

Compiti del DPO

Compiti del DPO

Ai sensi dell’art. 39 del GDPR i compiti del responsabile della protezione dei dati sono:

a) informare e fornire consulenza al titolare del trattamento o al responsabile del trattamento nonché ai dipendenti che eseguono il trattamento in merito agli obblighi derivanti dal presente regolamento nonché da altre disposizioni dell'Unione o degli Stati membri relative alla protezione dei dati.

b) sorvegliare l'osservanza del presente regolamento, di altre disposizioni dell'Unione o degli Stati membri relative alla protezione dei dati nonché delle politiche del titolare del trattamento o del responsabile del trattamento in materia di protezione dei dati personali, compresi l'attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo.

c) fornire, se richiesto, un parere in merito alla valutazione d'impatto sulla protezione dei dati e sorvegliarne lo svolgimento ai sensi dell'articolo 35.

d) cooperare con l'autorità di controllo.

e) fungere da punto di contatto per l'autorità di controllo per questioni connesse al trattamento, tra cui la consultazione preventiva di cui all'articolo 36, ed effettuare, se del caso, consultazioni relativamente a qualunque altra questione.

È bene precisare che il titolare o il responsabile del trattamento sono assistiti dal DPO nel controllo del rispetto a livello interno del presente regolamento, ma ciò non vuol dire che il DPO sia personalmente responsabile in caso di inosservanza.

Il Regolamento è chiaro nel dire che spetta al titolare, e non al DPO “mettere in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al presente regolamento” (art. 24, paragrafo 1).

Linee guida dei Garanti Europei

Il WP29 (Gruppo di lavoro ex Articolo 29) ha adottato il 16 dicembre 2016 delle linee guida sui responsabili della protezione dei dati, chiarendo quali debbano essere i requisiti ed i compiti di un DPO.

Hanno chiarito che alcuni titolari e responsabili del trattamento sono obbligati a nominare un DPO: tutte le autorità pubbliche e tutti i soggetti pubblici, indipendentemente dai dati oggetto di trattamento, e per altri soggetti che, come attività principale, effettuino un monitoraggio regolare e su larga scala delle persone fisiche ovvero trattino su larga scala categorie particolari di dati personali (dati sensibili).

Tuttavia si consiglia che, seppur il Regolamento non impone la designazione di un DPO, sarebbe comunque utile farla, questo perché, secondo il WP29, questa figura rappresenta un elemento fondante ai fini della responsabilizzazione, dato che la nomina del DPO può facilitare l’osservanza della normativa e aumentare il margine competitivo delle imprese.

Inoltre, i DPO fungono da interfaccia fra i soggetti coinvolti: autorità di controllo, interessati, divisioni operative all’interno di un’azienda o di un ente.

LEGGI ANCHE: Calcolo interessi legali e rivalutazione

DPO: attività principali

L’articolo 37, paragrafo 1, lettere b) e c) del Regolamento fa riferimento alle “attività principali del titolare del trattamento o del responsabile del trattamento”. E nel considerando 97 si afferma che le attività principali di un titolare del trattamento “riguardano le sue attività primarie ed esulano dal trattamento dei dati personali come attività accessoria”.

Pertanto, per “attività principali” si fa riferimento a tutte quelle operazioni necessarie al raggiungimento degli obiettivi perseguiti dal titolare o dal responsabile del trattamento.

Con ciò, non dovendosi attuare un’interpretazione restrittiva nel senso di escludere quei casi in cui il trattamento di dati costituisce una componente inseparabile dalle attività svolte dal titolare o dal responsabile.

Il concetto di "larga scala" per il DPO

Il concetto di larga scala per il DPO

In base all’articolo 37, paragrafo 1, lettere b) e c) del Regolamento, occorre che il trattamento di dati personali avvenga su larga scala per far scattare l’obbligo di nomina di un DPO.

Il Regolamento non contiene una definizione di trattamento su larga scala, e l’interpretazione di questa espressione a creato delle difficolta, soprattutto in quanto è necessaria per comprendere alcuni adempimenti previsti dal Regolamento.

Il WP29 ha affermato che bisogna tenere conto soprattutto di alcuni fattori al fine di stabilire se un trattamento sia effettuato su larga scala:

- il numero di soggetti interessati dal trattamento, in termini assoluti ovvero espressi in percentuale della popolazione di riferimento;

- il volume dei dati e/o le diverse tipologie di dati oggetto di trattamento;

- la durata, ovvero la persistenza, dell’attività di trattamento;

- la portata geografica dell’attività di trattamento.

Competenze e capacità del DPO

L’art. 37 del Regolamento prevede che il DPO “è designato in funzione delle qualità professionali, in particolare della conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati, e della capacità di assolvere i compiti di cui all’articolo 39”.

Il livello di conoscenza specialistica richiesto non è standard, ma dovrà essere adeguato ai trattamenti di dati effettuati e alla protezione richiesta per i dati personali oggetto di trattamento.

Così come, non viene specificato le qualità professionali da prendere in considerazione nella nomina di un DPO. Risulta sicuramento necessario, però, che il DPO abbia una buona conoscenza della normativa e delle prassi nazionali ed europee in materia di protezione dei dati e un’approfondita conoscenza del Regolamento.

Ovviamente, sarà richiesta una conoscenza dello specifico settore di attività e della struttura organizzativa del titolare; nonché con i sistemi informativi e le esigenze di sicurezza e protezione dati manifestate dal titolare.

Nel caso operi per un’autorità pubblica o un organismo pubblico, il DPO dovrebbe possedere anche una conoscenza approfondita delle norme e procedure amministrative applicabili.

DPO: contratto di servizi

Abbiamo detto che, il ruolo di DPO può essere svolto anche in base a un contratto di servizi stipulato con una persona fisica o giuridica esterna all’organismo o all’azienda.

Ovviamente, anche nel caso in cui si tratti di persona giuridica, è necessario che ciascun soggetto appartenente alla stessa e operante quale DPO abbia i requisiti previsti nella Sezione 4 del Regolamento; è indispensabile ad esempio che nessuno di tali soggetti versi in situazioni di conflitto di interessi; che ciascuno dei soggetti in questione goda delle tutele previste dal Regolamento.

Per evitare confusione, le linee guida consigliano di procedere a una chiara ripartizione dei compiti all’interno del gruppo di lavoro DPO e di prevedere che sia un solo soggetto a svolgere il ruolo di contatto principale per ciascun cliente.

Inoltre, così come previsto dall’art. 37 del GDPR, il titolare o il responsabile del trattamento dovranno pubblicare i dati di contatto del DPO, e comunicare i dati di contatto del DPO alle pertinenti autorità di controllo.

Necessità del coinvolgimento del DPO

Secondo quanto disposto dall’art. 38 del GDPR, il titolare e il responsabile assicurano che il DPO sia “tempestivamente e adeguatamente coinvolto in tutte le questioni riguardanti la protezione dei dati personali”.

È essenziale che il coinvolgimento sia tempestivo e immediato per garantire al DPO di svolgere al meglio le proprie funzioni: una sua consultazione fin dalle fasi iniziali, faciliterà l’osservanza del Regolamento e il rispetto del principio di privacy fin dalla fase di progettazione.

Inoltre, il DPO è deve essere compreso tra gli interlocutori all’interno della struttura suddetta, e deve poter partecipare ai gruppi di lavoro che volta per volta si occupano delle attività di trattamento.

Autonomia ed indipendenza del DPO

Il DPO svolge le sue funzioni in maniera indipendente ed autonoma.

Il titolare o il responsabile, pertanto, sono tenuti ad assicurare che il DPO “non riceva alcuna istruzione per quanto riguarda l’esecuzione di tali compiti” (art. 38 GDPR).

Il considerando 97 specifica che i DPO “dipendenti o meno del titolare del trattamento, dovrebbero poter adempiere alle funzioni e ai compiti loro incombenti in maniera indipendente”.

Tutto ciò significa che il DPO, nell’esecuzione dei compiti attribuitigli non deve ricevere istruzioni sull’approccio da seguire nel caso specifico; né deve ricevere istruzioni sull’interpretazione da dare a una specifica questione attinente alla normativa in materia di protezione dei dati.

Se il titolare o il responsabile assumono decisioni incompatibili con il Regolamento e le indicazioni fornite dal DPO, quest’ultimo dovrebbe avere la possibilità di manifestare il proprio dissenso: il DPO “non è rimosso o penalizzato dal titolare del trattamento o dal responsabile del trattamento per l’adempimento dei propri compiti” (art.38 GDPR).

LEGGI ANCHE: Parametri forensi

Conflitto di interessi

“Il responsabile della protezione dei dati può svolgere altri compiti e funzioni. Il titolare del trattamento o il responsabile del trattamento si assicura che tali compiti e funzioni non diano adito a un conflitto di interessi” (art.38 GDPR).

Si tratta di un elemento da tenere in considerazione caso per caso guardando alla specifica struttura organizzativa del singolo titolare o responsabile.

Il ruolo del DPO nella tenuta del Registro delle attività di trattamento

Sappiamo che, ai sensi dell’art.30 del Regolamento, “ogni titolare del trattamento e, ove applicabile, il suo rappresentante tengono un registro delle attività di trattamento svolte sotto la propria responsabilità”.

Pertanto, tale compito spetta al titolare o al responsabile del trattamento, e non al DPO.

Tuttavia, sono spesso i DPO a realizzare l’inventario dei trattamenti e tenere un registro di tali trattamenti sulla base delle informazioni fornite loro dai vari uffici o unità che trattano dati personali.

Questa prassi si basa sul fatto che d fatti, l’art. 39, primo paragrafo, contiene un elenco non esaustivo dei compiti affidati al DPO, e quindi niente vieta al titolare o al responsabile del trattamento di affidare al DPO ulteriori compiti, come quello di tenere il registro delle attività di trattamento sotto la responsabilità del titolare stesso.

Clicca su Mi piace!


Categoria

Privacy

ARTICOLI CONSIGLIATI


Scopri nel video come gestire al meglio il tuo studio legale


La registrazione è stata effettuata, a breve verrà verificata dallo staff.

Riceverai l'email di accesso da cui potrai scaricare LEGALDESK.

Ora verrai rediretto alla home page.