Economia

GDPR: chi è il Data Protection Officer

garante privacy dpo - 2

Il 25 maggio entrerà in vigore la riforma europea sulla tutela della privacy che ha riscritto in maniera quasi integrale la legge europea sulla privacy. Per questo motivo il Garante per la protezione dei dati personali ha predisposto un adeguamento della normativa italiana la cui principale novità è la figura del Data protection officer (DPO). Da oggi sul sito del Garante sarà disponibile – per i titolari e i responsabili del trattamento dei dati personali – espletare la procedura telematica per designare il DPO. Questa mattina il sito è stato preso d’assalto e risulta non raggiungibile.

Chi è il Data protection officer?

Il Responsabile della Protezione dei Dati (RPD) detto anche Data protection officer è la figura professionale nominata dal titolare del trattamento o dal responsabile del trattamento. Il suo compito è quello di assolvere a funzioni di supporto e controllo, consultive, formative e informative relativamente all’applicazione del Regolamento sulla privacy. Il DPO/RPD dovrà cooperare con l’Autorità garante ed è per questo motivo che il suo nome deve essere comunicato al Garante per la privacy entro il 25 maggio.

garante privacy dpo - 3
Il facsimile per la nomina del Responsabile della protezione dei dati [Fonte]
Il DPO è una figura – vincolata al segreto professionale – alla quale non sono richiesti uno specifico titolo di studio o l’iscrizione in appositi albi. Deve però possedere un’approfondita conoscenza della normativa e delle prassi in materia di privacy, nonché delle norme e delle procedure amministrative che il settore. Sul sito del Garante è disponibile un modello di comunicazione per la nomina del DPO che però dovrà essere comunicata esclusivamente per via informatica.

Quali sono i compiti del Responsabile della Protezione Dati o DPO?

Di fatto la figura del DPO consente sollevare il titolare/responsabile del trattamento da tutta una serie di responsabilità in ambito di protezione dei dati. Quindi da ora (o meglio dal 25 maggio) in poi ci sarà un soggetto deputato del trattamento dei dati personali. Tra i compiti del DPO c’è ovviamente la sorveglianza sull l’osservanza del regolamento, valutando i rischi di ogni trattamento alla luce della natura, dell’ambito di applicazione, del contesto e delle finalità. Il Data Protection Officer pertanto dovrà collaborare con il titolare/responsabile, laddove necessario, nel condurre una valutazione di impatto sulla protezione dei dati (DPIA) e dovrà al tempo stesso informare e sensibilizzare il titolare e i dipendenti, riguardo agli obblighi derivanti dal regolamento e da altre disposizioni in materia di protezione dei dati.

garante privacy dpo - 5
Fonte: Garante Privacy

Fondamentale anche la cooperazione con il Garante: il DPO dovrà fungere da punto di contatto per il Garante su ogni questione connessa al trattamento. Ed è per questo motivo per cui la comunicazione della nomina deve essere fatta preso il Garante della Privacy. Infine il Responsabile della protezione dei dati dovrà supportare il titolare o il responsabile in ogni attività connessa al trattamento di dati personali, anche con riguardo alla tenuta di un registro delle attività di trattamento.

Chi può essere nominato Responsabile della Protezione dei Dati?

Il ruolo di Responsabile della protezione dei dati personali può essere ricoperto da un dipendente del titolare o del responsabile (non in conflitto di interessi) che conosca la realtà operativa in cui avvengono i trattamenti. L’incarico può essere anche affidato a soggetti giuridici esterni.

garante privacy dpo - 1
[Fonte: Il Sole 24 Ore del 14/05/2018]
Un unico DPO può occuparsi del trattamento dei dati personali per un gruppo imprenditoriale o per un insieme di pubbliche amministrazioni a patto però che venga salvaguardato il criterio della “raggiungibilità” del responsabile. Il Garante inoltre sconsiglia assegnare il ruolo di responsabile della protezione dei dati personali a soggetti con incarichi di alta direzione (amministratore delegato; membro del consiglio di amministrazione; direttore generale; ecc.) Oppure a chi lavora nell’ambito di strutture aventi potere decisionale in ordine alle finalità e alle modalità del trattamento (direzione risorse umane, direzione marketing, direzione finanziaria, responsabile IT ecc.).

In quali casi è necessario nominare il Responsabile della Protezione dei Dati?

In base al nuovo regolamento europeo a doversi dotare del DPO sono sia le aziende private che le pubbliche amministrazioni (ad eccezioni delle autorità giudiziarie). In particolare sono obbligati a mettersi in regola tutti quegli enti pubblici e quelle società che gestiscono dati sensibili. Non c’è un numero minimo di dipendenti sotto la cui soglia non è necessario nominare un DPO. Sia coloro la cui attività principale consiste in trattamenti che, per la loro natura, il loro oggetto o le loro finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala. Anche quei soggetti la cui attività principale consiste nel trattamento, su larga scala, di dati sensibili, relativi alla salute o alla vita sessuale, genetici, giudiziari e biometrici devono nominare un Responsabile per la protezione dei dati.

garante privacy dpo - 4
[Fonte: Il Sole 24 Ore del 14/05/2018]
Il Garante elenca quali sono le società che sono tenute alla nomina del responsabile della protezione dei dati in base all’art. 37, par. 1, lett. b) e c), del Regolamento (UE) 2016/679. Ad esempio gli istituti di credito, le imprese assicurative, le società finanziarie le società di informazioni commerciali, gli istituti di vigilanza i partiti e movimenti politici, i sindacati, le società operanti nel settore delle “utilities” (telecomunicazioni, distribuzione di energia elettrica o gas) le imprese di somministrazione di lavoro e ricerca del personale oppure i laboratori di analisi mediche e centri di riabilitazione.

Chi non è tenuto a nominare un DPO?

Il Garante raccomanda di nominare un Responsabile ma precisa che nel caso dei trattamenti dei dati personali effettuati da liberi professionisti operanti in forma individuale (agenti, rappresentanti e mediatori operanti non su larga scala) oppure da imprese individuali o familiari con riferimento ai trattamenti dei dati personali connessi alla gestione corrente dei rapporti con fornitori e dipendenti il regolamento europeo non prevede esplicitamente l’obbligo di nomina di un Data protection officer.