6. Nuovo Regolamento Europeo: la nuova figura del Data Protection Officer

18/10/2017

6. Nuovo Regolamento Europeo: la nuova figura del Data Protection Officer

Siamo al sesto appuntamento con la rubrica di approfondimento relativa al nuovo Regolamento europeo in materia di protezione dei dati personali e alle Linee Guida del Garante della Privacy, volta a fornire agli operatori del settore alcuni chiarimenti in merito alle principali novità del Regolamento.

Questa occasione costituirà un interessante spunto per approfondire la carica del DPO, il Data Protection Officer –meglio conosciuto, in italiano, come Responsabile della protezione dei dati (RPD)– una delle nuove figure previste dal Regolamento 2016/679 e la cui nomina è, in taluni casi, obbligatoria e, nei restanti, facoltativa.

Quando sarà necessario dotarsi di un DPO

In particolare, sono obbligati a procedere alla nomina di questa figura, ai sensi dell’articolo 37 del GDPR, il titolare e il responsabile del trattamento quando: i) il trattamento è effettuato da un’autorità pubblica o da un organismo pubblico (eccetto le autorità giudiziarie); ii) le attività principali del titolare (o del responsabile) del trattamento consistono in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala; iii) le attività principali del titolare (o del responsabile) del trattamento consistono nel trattamento, su larga scala, di categorie particolari di dati personali (ossia i cd. “dati sensibili”) o di dati relativi a condanne penali e a reati.

Il diritto dell’UE (o di uno degli Stati membri) potrà, inoltre, prevedere altri casi di designazione obbligatoria. È riconosciuta, peraltro, la possibilità che un gruppo imprenditoriale nomini un unico DPO, sempre che lo stesso, secondo un criterio di prossimità, sia facilmente raggiungibile da tutti gli stabilimenti.

Cos’è il DPO

Alcuni ritengono che il DPO sia un’evoluzione di un ruolo già previsto dalla Direttiva che il GDPR va a sostituire (ma non recepito all’interno del Codice Privacy Italiano): tuttavia, soprattutto all’estero e in special modo all’interno di importanti multinazionali, una figura con funzioni simili, il privacy officer, era da tempo stata implementata.

Oggi, il Regolamento indica specificatamente i compiti e i casi in cui il DPO debba essere obbligatoriamente nominato.

Data la vastità dei compiti e delle attività affidate al DPO c’è chi crede che esso vada inteso più come una funzione che non come una singola persona fisica incaricata dal titolare o dal responsabile. Concependolo come una funzione, le attività del DPO potrebbero essere affidate a più soggetti, facenti parte di un team, i quali se ne potrebbero occupare a tempo pieno.

Il ruolo del DPO è “misto”, in quanto le sue funzioni sono diverse. Infatti, ai sensi dell’art. 39 del GDPR, oltre ad essere, in ogni caso, coinvolto tempestivamente in tutte le questioni riguardanti la protezione dei dati personali (articolo 38): i) informa e fornisce consulenza agli altri soggetti attivi del trattamento (ad es. il titolare del trattamento) in merito agli obblighi previsti nel Regolamento o da altre disposizioni di legge (ruolo di consulenza); ii) sorveglia il rispetto delle normative relative alla protezione dei dati personali nonché dei disciplinari e dei processi interni in materia (ruolo di vigilanza); iii) fornisce, se richiesto, un parere in merito alla valutazione d’impatto sulla protezione dei dati (che tratteremo più analiticamente nel nostro prossimo approfondimento) e ne sorveglia lo svolgimento; iv) coopera con le Autorità di controllo e, in generale, funge da punto di contatto sia rispetto a queste ultime, sia rispetto agli interessati, in relazione all’esercizio dei loro diritti e ad ogni altra questione concernente il trattamento, come ad esempio la violazione di dati.

Date le funzioni affidate al DPO, il Regolamento prevede che i dati di contatto di quest’ultimo debbano essere: i) pubblicati e comunicati all’autorità di controllo (articolo 37, paragrafo 7); ii) forniti all’interessato all’interno delle informative privacy (articoli 13 e 14); iii) riportati nei registri delle attività di trattamento che dovranno essere tenuti dal titolare del trattamento (articolo 30); iv) contenuti nelle notificazioni che dovranno essere effettuate all’autorità di controllo in caso di una violazione dei dati personali (articolo 33, paragrafo 3, lett. b)).

Il DPO, sia nel caso di nomina obbligatoria che nel caso di nomina facoltativa, può essere un dipendente del titolare del trattamento (o del responsabile) oppure un soggetto esterno alla struttura del titolare e legarsi a quest’ultimo tramite un contratto di servizi (articolo 37, paragrafo 6): fermo restando, tuttavia, il principio di indipendenza di cui al prossimo paragrafo.

Scelta del DPO

Il DPO deve essere scelto in funzione delle sue qualità professionali, in particolare delle sue conoscenze specialistiche -sia per quanto riguarda la normativa che per quanto riguarda la prassi in materia di trattamento dei dati personali- e della sua capacità di assolvere i propri compiti.

Sull’expertise del DPO si sono pronunciati in molti. Di rilevante importanza è quanto affermato dal Garante privacy: “Non sono richieste attestazioni formali sul possesso delle conoscenze o l'iscrizione ad appositi albi professionali” e la normativa in materia al momento “non prevede l'obbligo per i candidati di possedere attestati formali delle competenze professionali”. Questi ultimi, sempre secondo il Garante, “possono rappresentare un utile strumento per valutare il possesso di un livello adeguato di conoscenza della disciplina ma, tuttavia, non equivalgono a una "abilitazione" allo svolgimento del ruolo del RPD”.

Il DPO deve essere, secondo il GDPR, indipendente. Ai fini del mantenimento di tale indipendenza, il titolare del trattamento e il responsabile devono fornirgli tutte le risorse, umane e finanziarie, necessarie per l’assolvimento dei suoi compiti, per l’accesso ai dati personali e ai trattamenti, nonché per il mantenimento della sua conoscenza specialistica. Quanto più è alta la professionalità del DPO, sia dal punto di vista delle conoscenze che sotto il profilo dell’eticità, tanto più quest’ultimo può essere considerato indipendente.

Inoltre, il DPO non deve ricevere istruzioni da altri soggetti per quanto concerne l’esecuzione dei suoi compiti e non deve essere rimosso (o penalizzato) per l’adempimento dei propri compiti. Deve, inoltre, riferire direttamente al vertice gerarchico del titolare del trattamento (o del responsabile).

Il DPO potrebbe, teoricamente, svolgere anche altri compiti e funzioni per il titolare (o il responsabile), qualora questi non comportino un conflitto di interessi. In tal caso, si tratterebbe necessariamente di un dipendente del titolare (o del responsabile) e, nello specifico per queste ulteriori funzioni, il DPO potrebbe essere soggetto a direttive ed istruzioni, nonché a sanzioni disciplinari.

Il DPO è, infine, tenuto al segreto o alla riservatezza in merito all'adempimento dei propri compiti.

Anche se la nomina del DPO non è obbligatoria per tutti i titolari (e i responsabili) del trattamento, la complessità della disciplina europea nonché le possibili difficoltà di coordinamento tra quest’ultima e l’attuale Codice Privacy, dovrebbero far propendere i più per la nomina di tale figura. Definisce “utile” la designazione del DPO, anche nei casi di non obbligatorietà, il Gruppo di lavoro ex Articolo 29, l’organismo, consultivo e indipendente, composto dai rappresentanti delle autorità di protezione dei dati personali designate da ciascuno Stato Membro.

 

Dipartimento ICT&IP - Studio Legale DGRS

 

-------------------------------------------------------------------------------------------------------------------------------------------

Approccio Basato Sul Rischio e Misure Di Accountability 

Il Responsabile della Protezione dei Dati (RPD)

Questo sito utilizza cookie, anche di terze parti, per inviarti pubblicità e servizi in linea con le tue preferenze. Se vuoi saperne di più o negare il consenso a tutti o ad alcuni cookie clicca qui. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsenti all’uso dei cookie.