Il Data Protection Officer (di seguito DPO) è una figura fondamentale nell’ordinamento odierno, introdotta dal Regolamento generale sulla protezione dei dati 2016/679, anche conosciuto come GDPR, pubblicato sulla Gazzetta Ufficiale europea L. 119 il 4 maggio 2016.
Scopri di più sulla figura del DPO e sulla necessità di potersi avvalere del suo lavoro per poter garantire alla tua azienda di non incorrere in sanzioni.
Scopri di più sulla figura del DPO e sulla necessità di potersi avvalere del suo lavoro per poter garantire alla tua azienda di non incorrere in sanzioni.
1. DPO SIGNIFICATO:
Il DPO, figura storicamente già presente in alcune legislazioni europee, è un professionista che deve avere un ruolo aziendale (sia esso soggetto interno o esterno) con competenze giuridiche, informatiche, di risk management e di analisi dei processi.
La sua responsabilità principale è quella di osservare, valutare e organizzare la gestione del trattamento di dati personali (e dunque la loro protezione) all’interno di un’azienda (sia essa pubblica che privata), affinché questi siano trattati nel rispetto delle normative privacy europee e nazionali.
Questo soggetto è già conosciuto nel mondo anglosassone con il termine di Chief Privacy Officer (CPO); Privacy Officer, Data Protection Officer o Data Security Officer.
Il DPO deve avere due caratteristiche fondamentali nello svolgere i propri compiti:
- Indipendenza: Il GDPR richiede che il DPO operi in maniera indipendente e senza istruzioni da parte del proprio datore di lavoro sul modo scelto per l’esecuzione dei compiti richiesti dal ruolo. Ciò include le istruzioni sui risultati da ottenere, come esaminare un reclamo o se consultare l’autorità di controllo. Attenzione! Il Garante belga ha comminato una sanzione pari a 50mila euro ad un’azienda che nel proprio organigramma comprendeva un Data Protection Officer, questo, però non risultava possedere quelle caratteristiche fondamentali di indipendenza previste dal GDPR;
- Nessun conflitto di interessi: Sebbene il GDPR consenta al DPO di svolgere altri compiti e funzioni, le organizzazioni sono tenute a garantire che queste attività non comportino un conflitto di interessi con i doveri del responsabile della protezione dei dati.
Il GDPR non specifica le credenziali richieste per svolgere il ruolo di DPO.
Tuttavia, il Gruppo di Lavoro Articolo 29 ha pubblicato le linee guida che definiscono i requisiti minimi relativi all’esperienza ed alle competenze che un DPO dovrebbe avere:
- Livello di competenza: è essenziale che il DPO sappia pianificare, implementare e gestire un programma di protezione dei dati. Quanto più sono complesse o ad alto rischio le attività di trattamento dei dati, tanto maggiori saranno le competenze di cui il DPO avrà bisogno;
- Qualifiche professionali: non è necessario che sia un avvocato abilitato, ma deve avere una conoscenza approfondita della legislazione nazionale ed europea in materia di protezione dei dati, tra cui il GDPR. Inoltre, deve conoscere le misure tecniche ed organizzative implementate dall’organizzazione ed avere familiarità con le tecnologie relative alla sicurezza delle informazioni.
Nel caso di un’autorità o ente pubblico, il DPO dovrebbe conoscere anche le norme e procedure amministrative della stessa.
2. DATA PROTECTION OFFICER COSA FA:
L’art. 39 del Regolamento europeo sulla protezione dei dati personali elenca i principali compiti del DPO (Responsabile della protezione dei dati):
1. Il responsabile della protezione dei dati (DPO) è incaricato almeno dei seguenti compiti:
- informare e fornire consulenza al Titolare del trattamento o al Responsabile del trattamento nonché ai dipendenti che eseguono il trattamento in merito agli obblighi derivanti dal Regolamento Privacy UE 2016/679 (GDPR), nonché da altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati;
- sorvegliare l’osservanza del Regolamento Privacy UE 2016/679 (GDPR), di altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati nonché delle politiche del Titolare del trattamento o del Responsabile del trattamento in materia di protezione dei dati personali, compresi l’attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo;
- fornire, se richiesto, un parere in merito alla valutazione d’impatto sulla protezione dei dati e sorvegliarne lo svolgimento ai sensi dell’articolo 35;
- cooperare con l’autorità di controllo;
- fungere da punto di contatto per l’autorità di controllo per questioni connesse al trattamento, tra cui la consultazione preventiva di cui all’articolo 36, ed effettuare, se del caso, consultazioni relativamente a qualunque altra questione.
2. Nell’eseguire i propri compiti il responsabile della protezione dei dati considera debitamente i rischi inerenti al trattamento, tenuto conto della natura, dell’ambito di applicazione, del contesto e delle finalità del medesimo.
3. DPO OBBLIGATORIO:
La nomina del DPO è obbligatoria in tre casi:
- Amministrazioni ed enti pubblici, così come previsto dal Regolamento. Stando a quanto specificato dal Garante, tutti quegli organismi che rientravano negli articoli 18-22 del Codice Privacy precedentemente in vigore hanno l’obbligo di nominare un DPO;
- Nel caso di trattamento su larga scala di dati sensibili o che fanno capo alla sfera sessuale, alla salute, all’aspetto genetico, al quadro giudiziario o biometrico delle persone. Si parla, ad esempio, di tutte quelle forme di monitoraggio e di profilazione messe in atto dai siti internet finalizzate alla pubblicità comportamentale;
- Nel caso in cui vengano trattati dei dati che richiedono un costante e sistemico controllo su larga scala.
Volendo stilare una lista di soggetti obbligati a nominare un DPO troviamo: società assicurative, istituti di credito, istituti di recupero crediti, società finanziarie, istituti informatici e, ancora, istituti di vigilanza, CAF e patronati, società di telecomunicazione, società operanti nel settore della salute, call center e molti altri ancora.
Il Garante Italiano nelle linee guida pubblicate suggerisce la nomina anche per i concessionari di pubblico servizio (si pensi a società di gestione acque, gas ed energia).
Quando vale la pena nominare un DPO, anche se è non obbligatorio?
E se non è obbligatorio, in quale caso vale la pena nominare un DPO?
Sarà utile fare chiarezza anche su questo punto.
Anche le piccole aziende possono trovare dei benefici nel nominare un DPO.
Sebbene non sia obbligatorio, anche queste aziende di piccole o medie dimensioni si trovano a dover fare i conti con una grande mole di dati che è necessario gestire e proteggere.
Gli elementi fondamentali per la definizione dell’obbligatorietà nel settore privato sono individuabili in:
- attività principale: il considerando 97 del GDPR precisa che, nel settore privato, le “attività principali” di un’impresa riguardano le sue “attività primarie” e non comprendono i casi in cui il “trattamento dei dati personali” debba considerarsi solo “un’attività accessoria” (es. elaborazione buste paga per un ospedale). Per individuare la nozione di attività principale, pertanto, dobbiamo fare riferimento alle attività primarie, parte inscindibile delle attività, anche statutarie, del Titolare o del Responsabile del trattamento e non dobbiamo tenere conto delle così dette attività secondarie.
- larga scala: nelle linee guida del WP29 si precisa che ad oggi non è possibile indicare un numero preciso di dati trattati o di interessati coinvolti utile a definire il concetto di larga scala; ma il WP29 cercherà di fornire pratiche standard per delimitare la definizione di larga scala, pubblicando e mettendo a fattor comune esempi di soglie applicabili per la nomina di un DPO. Il WP29 raccomanda di considerare i seguenti fattori per determinare se il trattamento è effettuato su larga scala: il numero di soggetti interessati dal trattamento, in termini assoluti ovvero espressi in percentuale della popolazione di riferimento; il volume dei dati e/o le diverse tipologie di dati oggetto di trattamento; la durata, ovvero la persistenza, dell’attività di trattamento; la portata geografica dell’attività di trattamento.
- monitoraggio regolare e sistematico: la nozione di monitoraggio regolare e sistematico delle persone interessate non è definita nel GDPR, ma il concetto di “monitorare il comportamento delle persone interessate” è riportato nella norma e fa riferimento al fatto che sia opportuno verificare se le persone fisiche sono tracciate su internet, compreso l’eventuale ricorso successivo a tecniche di trattamento dei dati personali che consistono nella profilazione della persona fisica, in particolare per adottare decisioni che la riguardano o analizzarne o prevederne le preferenze, i comportamenti e le posizioni personali”.
- dati particolari: i dati particolari (ex sensibili) sono dati personali che rivelano l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, nonché i dati genetici, i dati biometrici intesi a identificare in modo univoco una persona fisica, i dati relativi alla salute e quelli relativi alla vita sessuale o all’orientamento sessuale della persona.
Attenzione! Il Regolamento europeo prevede una sanzione, qualora la nomina del DPO sia obbligatoria, per chi non nomina un data Protection Officer che può arrivare fino a 10 milioni di euro o il 2% del volume d’affari annuale, ai sensi dell’articolo 83 comma 4 lettera a) GDPR.
Per sapere se anche tua attività necessita della presenza di un DPO e per evitare pesanti sanzioni, contattaci subito scrivendoci all’indirizzo info@abinnovationconsulting.com, oppure compilando il modulo che trovi di seguito.
