lug 08 2018

Autore: Avv. Fabrizio Corona

Nomina DPO per aziende private ed enti pubblici le FAQ del Garante


Il Garante ha fornito alcuni chiarimenti proprio riguardo l’istituzione, in ambito pubblico e privato, della nuova figura del Data Protection Officer

Il Garante ha fornito alcuni chiarimenti proprio riguardo l’istituzione, in ambito pubblico e privato, della nuova figura del Data Protection Officer.

L’intento del Garante è quello di dare risposte semplici e dirette, al fine di risolvere quelli che sono i dubbi più comuni dell’utente, nel valutare la necessità di designazione di tale nuova figura

DPO per il settore privato

DPO per il settore privato

Per il settore privato la nomina di un DPO, non si configura sempre come obbligatorio, ma certamente molto incoraggiata dal Garante.

Il DPO è designato per assolvere a funzioni di supporto e controllo, nonché consultive, formative e informative, relativamente all’applicazione del GDPR. Coopera con l’Autorità Garante ed è anche il punto di contatto, anche nei confronti degli utenti, per tutte quelle questioni che concernono il trattamento dei dati personali,

Il garante ha chiarito che, non esistono specifiche attestazioni formali per diventare DPO, né è possibile l’iscrizione in appositi albi. Questa precisazione si è resa necessaria perché si sono diffuse numerose proposte di corsi di formazione che offrono, a conclusione dell’iter formativo, una certificazione della qualifica di DPO.

Il Garante ha quindi spiegato che, queste certificazioni rappresentano, al massimo uno strumento per verificare il possesso di un livello minimo di conoscenza della disciplina, “ma non implicano alcuna abilitazione, né equivalgono ad una certificazione all’assunzione del ruolo di DPO, né sono idonee a sostituire il giudizio, rimesso al titolare, nella valutazione dei requisiti necessari per la scelta del DPO”.

Il Data Protection Officer è una figura professionale, che deve avere una profonda conoscenza della normativa e delle prassi in materia di privacy, ma anche delle norme e delle procedure amministrative che caratterizzano lo specifico settore in cui agisce, al fine di poter garantire offrire la consulenza necessaria per progettare, verificare e mantenere un sistema organizzato di gestione dei dati personali, nel rispetto della nuova normativa.

LEGGI ANCHE: Tutto quello che devi sapere sulla figura del Data Protection Officer

DPO agisce in piena autonomia

Il DPO deve, poi, agire in piena indipendenza e autonomia, senza ricevere istruzioni da nessuno, né ricevendo interferenze dai vertici aziendali.

L’obbligo di designare un DPO, ricade sul titolare o il responsabile del trattamento, le cui attività attengono a trattamenti che richiedono il monitoraggio regolare e sistematico degli interessati su larga scala.

Dibattuto è stato il concetto di “larga scala”: pur non potendo quantificare in maniera oggettiva tale riferimento, si può dire che tali trattamenti devono intendersi come quelli che mirano al trattamento di una notevole quantità di dati personali a livello regionale, nazionale o sovranazionale e che potrebbero incidere su un vasto numero di interessati e che potenzialmente presentano un rischio elevato.

In generale, si devono considerare questi fattori per stabilire se un trattamento sia effettuato su larga scala:

  • il numero di soggetti interessati dal trattamento.
  • il volume dei dati e/o le diverse tipologie di dati oggetto di trattamento.
  • la durata dell’attività di trattamento.
  • la portata geografica dell’attività di trattamento.

Anche l’espressione “monitoraggio regolare e sistematico” ha sollevato dei dubbi: si fanno rientrare sicuramente tutte le forme di tracciamento e profilazione su Internet, anche per finalità di pubblicità comportamentale. Anche se il tracciamento on line è solo uno dei possibili casi di monitoraggio.

Il trattamento, poi, è “regolare”, qualora avvien in modo continuo o a intervalli definiti per un arco di tempo definito; ricorrente o ripetuto a intervalli costanti; in modo costante o a intervalli periodici. Ed è “sistematico”, se viene fatto in modo predeterminato, organizzato o metodico; che ha luogo nell’ambito di un progetto complessivo di raccolta di dati; svolto nell’ambito di una strategia.

Soggetti obbligati alla nomina del DPO

Soggetti obbligati alla nomina del DPO

A titolo esemplificativo e non esaustivo, sono state individuate alcune categorie di soggetti che saranno obbligati alla nomina di un DPO:

  • istituti di credito.
  • imprese assicurative.
  • sistemi di informazione creditizia.
  • società finanziarie.
  • società di informazioni commerciali.
  • società di revisione contabile.
  • società di recupero crediti.
  • istituti di vigilanza.
  • partiti e movimenti politici.
  • sindacati.
  • caf e patronati.
  • società operanti nel settore delle “utilities” (telecomunicazioni, distribuzione di energia elettrica o gas).
  • imprese di somministrazione di lavoro e ricerca del personale.
  • società operanti nel settore della cura della salute, della prevenzione/diagnostica sanitaria quali ospedali privati, terme, laboratori di analisi mediche e centri di riabilitazione.
  • società di call center.
  • società che forniscono servizi informatici.
  • società che erogano servizi televisivi a pagamento.

Tuttavia, in tutti gli altri casi, la designazione di tale figura rimane una pratica fortemente raccomandata, anche nel rispetto di quel principio di responsabilizzazione (accountability) introdotto dal GDPR.

Nelle FAQ del Garante, è stato anche chiarito che un gruppo imprenditoriale potrebbe designare un unico responsabile della protezione dei dati personali, purché sia facilmente raggiungibile da ciascuno stabilimento ed in grado di comunicare in modo efficace con gli interessati e di collaborare con le autorità di controllo.

Il ruolo del responsabile della protezione dei dati personali può essere assolto sia da un dipendente del titolare o del responsabile, quindi da un soggetto interno all’azienda, che non si trovi in conflitto di interessi e che conosca la realtà operativa in cui avvengono i trattamenti; sia da un soggetto esterno, a condizione che garantiscano l’effettivo assolvimento dei compiti fissati dal GDPR.

Qualora il DPO fosse scelto tra il personale aziendale dovrà essere nominato mediante specifico atto di designazione, mentre con un soggetto esterno si dovrà predisporre contratto di servizi, ma, in entrambi i casi, l’atto di nomina dovrà essere redatto per iscritto.

È bene chiarire che, anche nei casi in cui la nomina è obbligatoria, tale figura non sostituisce né solleva il titolare dalle proprie responsabilità.

Il titolare o il responsabile rimane comunque pienamente responsabili dell’osservanza della normativa e devono essere in grado di dimostrare le misure e procedure poste in essere per la sua piena attuazione.

Una volta nominato, il nominativo del DPO ed i relativi dati di contatto vanno comunicati formalmente all’Autorità di controllo.

Nelle strutture organizzative di medie e grandi dimensioni, al responsabile della protezione dei dati personali, potrà essere affiancato anche altro personale, un apposito ufficio dotato delle competenze necessarie, che lo coadiuvi nell’assolvimento dei propri compiti.

Qualora il responsabile della protezione dei dati personali sia individuato in un soggetto esterno, quest’ultimo potrà essere anche una persona giuridica.

LEGGI ANCHE: GDPR e COA: le FAQ per gli ordini degli avvocati

Nomina DPO pubblica amministrazione

Per il settore pubblico le regole sono un po' diverse: sono, infatti, obbligati alla nomina di un DPO tutte le autorità pubbliche o organismi pubblici che effettuino trattamenti di dati personali, con l’unica eccezione delle autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali.

Non avendo il GDPR chiarito, chiarisce quale qualifica debba rivestire il soggetto da individuare come DPO, il Garante è intervenuto specificando che questa figura, se scelta all’interno della struttura dell’ente, deve essere individuata tra dirigenti o funzionari di elevata professionalità, in modo che possa svolgere i propri compiti con adeguate garanzie di indipendenza e autonomia e possa comunque riferire direttamente ai vertici dell’ente.

Tuttavia, si deve valutare se , la complessità dei compiti assegnati al responsabile, siano compatibili con le mansioni regolarmente affidate ai dipendenti con qualifica non dirigenziale, al fine di garantire l’indipendenza del DPO, che non deve ricevere istruzioni da nessuno per quanto riguarda l’esecuzione di tali compiti.

È per questo che l’indicazione del Garante è quella di conferire l’incarico a un dirigente o a un funzionario di alta professionalità, che possa svolgere le proprie funzioni in autonomia e indipendenza, e che sia in diretto contatto e collaborazione con il vertice dell’organizzazione.

Nell’atto di nomina devono essere indicate anche le motivazioni che hanno indotto l’ente a conferire questo incarico a quel determinato soggetto, per consentire la verifica del rispetto dei requisiti previsti dal GDPR.

Essendo il lavoro del DPO già complesso, altra indicazione del Garante è quella di far si che, negli enti pubblici di grandi dimensioni, con trattamenti di dati personali di particolare complessità e sensibilità, non vengano assegnate al DPO ulteriori responsabilità, aggravando così solo i suoi compiti.

L’individuazione del soggetto adatto rimane, dunque, per enti pubblici e privati, un passaggio molto delicato.

Non potendo trascurare o ritardare l’adempimento di questo obbligo, da affrontare con la giusta consapevolezza, dovendo essere molto attenti anche ai criteri utilizzati per tale scelta, che costituiscono parametri che possono essere oggetto di valutazione per verificare il completo adeguamento della normativa al GDPR.

Autore: Matteo Migliore

Matteo Migliore - Fondatore di LEGALDESK

Mettiti in contatto su LinkedIn

Clicca su Mi piace!


LEGALDESK

Categoria

Privacy


ARTICOLI CONSIGLIATI