Identikit del DPO: le 8 cose da sapere

Abbiamo ormai familiarizzato con sigla DPO (Data Protection Officer), la figura che nello scenario europeo sulla privacy post GDPR sarà incaricata di vigilare sulla tutela dei dati personali e delle informazioni in possesso di aziende e Pubbliche Amministrazioni.

Gli uffici acquisti di PA e aziende rischiano di mostrare il fianco scoperto se non si adegueranno per mettere al sicuro i dati sensibili delle centinaia -in alcuni casi migliaia- di aziende e persone che condividono i propri dati ai fini dell’iscrizione all’albo fornitori oppure per partecipare a procedure di asta o gara.

Nonostante si parli da tempo di questa nuova figura, ci sono ancora dubbi e ambiguità sulle modalità di selezione di questi professionisti della sicurezza, dai quali si richiede comprovata esperienza nel settore della protezione dei dati, ma anche specifiche conoscenze in tema di diritto della privacy.

 

Data Protection Officer - GDPR 

In questo articolo abbiamo sintetizzato le principali FAQ sul DPO, pubblicate per esteso in un articolo del sito del Garante della Privacy:

  • Chi è il DPO e quali sono i suoi compiti?

Il DPO (o Rpd – Responsabile protezione dei Dati personali, in italiano) è la figura designata dal titolare o dal responsabile del trattamento a svolgere funzioni di supporto, controllo e informative relativamente all'applicazione del Regolamento (UE) 2016/679. Questa funzione coopera con l'Autorità Garante ed è il punto di contatto, anche rispetto agli interessati, per le questioni connesse al trattamento dei dati personali.

  • Quali requisiti deve avere?

L’aspetto requisiti è forse quello che disorienta maggiormente le Aziende e le Pubbliche Amministrazioni: il DPO infatti deve avere una conoscenza approfondita della normativa in materia di privacy, ma anche delle norme e procedure amministrative che caratterizzano il settore di riferimento dell’azienda. E’ suo compito affiancare il titolare dei dati nella scelta di un sistema di misure e garanzie adeguate al contesto ed alla tipologia di dati trattati dall’attività. Il suo lavoro deve essere svolto in totale indipendenza e deve poter disporre delle risorse necessarie al raggiungimento dei suoi obiettivi (per risorse si comprendono personale, attrezzature, spazi ecc.), riferendo direttamente ai vertici aziendali.

  • Quando è obbligatorio averlo?

I termini di obbligatorietà sono espressi dall'art. 37, par. 1, lett. b) e c), del Regolamento (UE) 2016/679. L’obbligo si configura nei casi in cui le principali attività di un’azienda siano legate a trattamenti che richiedono il monitoraggio regolare e sistematico degli interessati su larga scala oppure dei casi in cui si facciano trattamenti su larga scala di categorie particolari di dati personali o di dati relativi a condanne penali e a reati (per approfondimenti sul concetto di monitoraggio regolare e sistematico e di larga scala, si vedano le "Linee guida sui responsabili della protezione dei dati" del 5 aprile 2017, WP 243). Ulteriori casi di designazione obbligatoria possono essere previsti dal diritto dell'Unione o degli Stati membri.

A titolo esemplificativo (ma non esaustivo) possiamo dire che sono obbligati a nominare un DPO:

• Pubbliche Amminisrazioni

• istituti di credito

• imprese assicurative

• sistemi di informazione creditizia

• società finanziarie

• società di informazioni commerciali

• società di revisione contabile

• società di recupero crediti

• istituti di vigilanza

• partiti e movimenti politici

• sindacati, CAF e patronati

• società operanti nel settore delle "utilities" (telecomunicazioni, distribuzione di energia elettrica o gas);

• imprese di somministrazione di lavoro e ricerca del personale

• società operanti nel settore della cura della salute, della prevenzione/diagnostica sanitaria quali ospedali privati, terme, laboratori di analisi mediche e centri di riabilitazione

• società di call center

• società che forniscono servizi informatici

• società che erogano servizi televisivi a pagamento.

Keep calm and GDPR 

  • Chi sono i soggetti per i quali non è obbligatoria la designazione del DPO?

Nei casi diversi da quelli visti in precedenza, non esiste obbligo di designazione. Tuttavia, è preferibile individuare un Responsabile -anche alla luce del principio di "accountability" presente nel nuovo Regolamento- con i medesimi criteri di nomina visti sopra.

A titolo esemplificativo i soggetti non obbligati a nominare un DPO sono:

• liberi professionisti operanti in forma individuale

• agenti, rappresentanti e mediatori operanti non su larga scala

• imprese individuali o familiari

• piccole e medie imprese, con riferimento ai trattamenti dei dati personali connessi alla gestione corrente dei rapporti con fornitori e dipendenti.

  • Un gruppo imprenditoriale può nominare un unico DPO?

Un gruppo imprenditoriale (per la definizione si veda l'art. 4, n. 19) ha la possibilità di nominare un unico responsabile della protezione dei dati personali, a condizione che questa persona sia facilmente raggiungibile da ogni stabilimento del gruppo. Inoltre, dovrà essere in grado di comunicare in modo efficace con gli interessati e di collaborare con le autorità di controllo.

  • Deve essere un soggetto interno o può essere anche esterno? Quali sono le modalità per la sua designazione?

La posizione può essere assegnata ad un dipendente del titolare o del responsabile che conosca la realtà in cui avvengono i trattamenti (a patto che non vi sia nel rapporto un conflitto di interessi), in questo caso la nomina va fatta con specifico atto di assegnazione.

C’è la possibilità anche di assegnare l’incarico ad un soggetto esterno, che opererà con contratto di servizi.

In entrambi i casi gli atti di nomina devono essere redatti in forma scritta, con evidenza dei compiti attribuiti, delle risorse eventualmente concesse, e di altre informazioni utili a definire il rapporto.

A prescindere dal DPO, il titolare o il responsabile del trattamento restano comunque pienamente responsabili dell'osservanza della normativa in materia di protezione dei dati e devono essere in grado di dimostrare, quando richiesto, la conformità dell’azienda al nuovo Regolamento. Dovranno inoltre pubblicare i dati del DPO individuato, e a questo proposito il Garante precisa che “Non è necessario - anche se potrebbe rappresentare una buona prassi - pubblicare anche il nominativo del responsabile della protezione dei dati: spetta al titolare o al responsabile e allo stesso responsabile della protezione dei dati, valutare se, in base alle specifiche circostanze, possa trattarsi di un'informazione utile o necessaria. Il nominativo del responsabile della protezione dei dati e i relativi dati di contatto vanno invece comunicati all'Autorità di controllo. A tal fine, allo stato, è possibile utilizzare il modello di cui al seguente link: http://www.gpdp.it/web/guest/home/docweb/-/docweb-display/docweb/7322292”.

  • Il ruolo è compatibile con altri incarichi?

Si, a patto che non si generi un conflitto di interessi. In questo senso i ruoli di alta direzione (AD, membri del CDA, general manager, ecc.), e quelli che hanno potere decisionale sulle finalità e le modalità del trattamento (direzione HR, direzione marketing, direzione finanziaria, responsabile IT ecc.) non appaiono adeguati.

In assenza di conflitti di interesse e in base al contesto di riferimento, è da valutare l'eventuale assegnazione ai responsabili di funzioni di staff (ad esempio, il responsabile della funzione legale).

  • E’ una persona fisica o può essere anche un soggetto diverso?

Il DPO può essere un "dipendente" del titolare o del responsabile del trattamento, ovviamente nelle aziende di medie e grandi dimensioni, pur essendo un'unica persona fisica, potrà essere affiancato nello svolgimento delle sue mansioni anche da un ufficio dotato delle competenze necessarie.

Nel caso in cui il DPO sia un soggetto esterno, potrà essere anche una persona giuridica. Il nuovo regolamento a proposito raccomanda di effettuare una divisione delle competenze, assegnando ad una sola persona fisica il compito di fungere da punto di contatto con gli interessati e l'Autorità di controllo.

 

Hai ancora qualche dubbio sul DPO o in generale sul GDPR?

Contattaci e parliamone! info@pro-q.it oppure +39 041 2525811