GUIDELINES WORKING PARTY sul DPO DATA PROTECTION OFFICER
Lo scorso 13 dicembre 2016 il Gruppo dei Garanti Ue (WP 29) ha approvato tre importanti documenti con indicazioni e raccomandazioni su alcune delle novità del Regolamento, in vista della sua applicazione da parte degli Stati membri a partire dal 25 maggio 2018.
Designazione di un Data Protection Officer Ex. Art. 37 Regolamento UE 679/2016
Il titolare del trattamento e il responsabile del trattamento designano sistematicamente un responsabile della protezione dei dati ogni qual volta:
a) il trattamento è effettuato da un'autorità pubblica o da un organismo pubblico, eccettuate le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali;
b) le attività principali del titolare del trattamento o del responsabile del trattamento consistono in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala; oppure
c) le attività principali del titolare del trattamento o del responsabile del trattamento consistono nel trattamento, su larga scala, di categorie particolari di dati personali di cui all'articolo 9 (dati personali che rivelino l'origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l'appartenenza sindacale, nonché trattare dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all'orientamento sessuale della persona ) o di dati relativi a condanne penali e a reati di cui all'articolo 10.
Quando un organizzazione designa una DPO su base volontaria decide, con la nomina, di essere conforme alla disciplina imposta dal nuovo regolamento europeo
L’organizzazione che non è legalmente tenuta a designare un DPO e che non vuole designare un DPO su base volontaria, può impiegare comunque consulenti interni o esterni con compiti relativi alla protezione dei dati personali. In questo caso è importante assicurare che non vi sia confusione per quanto riguarda il loro titolo o posizione. Pertanto, dovrebbe essere chiaro, in tutte le comunicazioni all'interno dell'azienda, così come con le autorità per la protezione dei dati, che i soggetti nominati non sono DPO.
2.1.1 Ente o organizzazione pubblica
Il GDPR non fornisce una definizione di ente pubblico.
Il WP29 ritiene che una tale classificazione deve essere determinata in base al diritto nazionale. Di conseguenza, le autorità pubbliche e gli enti includono le autorità nazionali, regionali e locali, ma il concetto, ai sensi delle leggi nazionali applicabili, comprende anche una serie di altri organismi. In tali casi, la designazione di un DPO è obbligatoria.
Attività pubbliche possono essere considerate, non solo quelle esercitate da enti o organizzazioni pubbliche, ma anche quelle esercitate da persone fisiche o giuridiche di diritto pubblico o privato, in settori quali, secondo la normativa nazionale di ciascuno stato membro, servizi di trasporto pubblico, l'acqua, energia, rete stradale, servizio pubblico di radiodiffusione, edilizia residenziale pubblica, ordini professionali regolamentati.
L’introduzione del DPO per la protezione dei dati detenuti da enti pubblici può meglio garantire gli interessi dei soggetti privati che forniscono il consenso al trattamento dei propri dati
Anche se non vi è alcun obbligo in questi casi, il WP29 raccomanda, come buona prassi:
alle organizzazioni private incaricate di fornire servizi pubblici o che esercitano l'autorità pubblica, di designare un DPO e che;
tale attività del DPO dovrebbe coprire tutti i trattamenti effettuati, compresi quelli che non sono legati alla esecuzione di un servizio pubblico come per esempio, la gestione di un database dei dipendenti.
2.1.2 Attività principale
L’articolo 37, comma 1 lettere b e c del regolamento, si riferisce alle “attività principali del titolare o del responsabile”.
Il Considerando 97 specifica che le attività principali di un titolare si riferiscono a “attività primarie e non si riferiscono al trattamento dei dati personali come attività accessorie”.
Le attività principali possono essere considerate come le operazioni fondamentali necessarie per raggiungere gli obiettivi del titolare o responsabile.
Ad esempio, l'attività di un ospedale è quella di fornire assistenza sanitaria. Tuttavia, un ospedale non può fornire l'assistenza sanitaria in modo sicuro e efficace senza l'elaborazione dei dati di salute, come le cartelle cliniche dei pazienti. Pertanto, l'elaborazione di questi dati devono essere considerati come una delle attività principali di ogni ospedale e gli ospedali devono quindi designare DPO.
Come altro esempio, una società di sicurezza privata svolge la sorveglianza di un certo numero di centri commerciali privati e spazi pubblici. L’attività di sorveglianza è quella principale della società, che a sua volta è indissolubilmente legata al trattamento dei dati personali. Pertanto, questa società deve designare un DPO.
Tutte le organizzazioni svolgono alcune attività, ad esempio, pagare i loro dipendenti anche grazie ai propri sistemi informativi. Si tratta di funzioni di supporto necessarie per l’attività aziendale. Anche se queste attività sono necessarie o essenziali, sono considerate solitamente funzioni accessorie piuttosto che attività fondamentali.
2.1.3 Larga Scala
L’articolo 37, comma 1 lettere b e c , richiede che il trattamento dei dati personali effettuato su larga scala sia condizione per la nomina del DPO per essere attivato. Il regolamento non definisce il concetto di larga scala ma il Considerando 91 fornisce alcune linee guida.
Infatti, il regolamento non fornisce né il numero preciso di dati elaborati né il numero di persone fisiche ovvero gli interessati al trattamento .
Questo non esclude, tuttavia la possibilità, che nel tempo, si possa stabilire una prassi per definire le soglie che stabiliscono il concetto di “trattamento su larga scala”.
Il WP29 prevede di condividere alcuni casi o esempi che comportano la nomina del DPO e la conseguente definizione del concetto di “larga scala”.
Il WP29 raccomanda la valutazione dei seguenti fattori per determinare se il trattamento è da considerare su “larga scala”:
Il numero di persone interessate, sia come numero specifico o come percentuale della popolazione interessata;
Il volume di dati e / o la varietà dei dati processati;
La durata, o la permanenza, dell'attività di elaborazione dei dati;
L'estensione geografica dell'attività di elaborazione dei dati.
Esempi di lavorazione su larga scala includono:
l'elaborazione dei dati del paziente durante i normali processi ospedalieri;
trattamento dei dati di viaggio delle persone che utilizzano il sistema di trasporto pubblico di una città;
l'elaborazione dei dati in tempo reale di geo-localizzazione di clienti di una catena di fast food internazionale per fini statistici per la fornitura di questi servizi;
trattamento dei dati dei clienti effettuato da una compagnia di assicurazioni o da una banca;
trattamento, effettuato da un motore di ricerca, relativo alla somministrazione di annunci pubblicitari legati al comportamento degli utenti;
trattamento dei dati (contenuti, il traffico, la posizione) da parte dei fornitori di servizi telefonici o Internet;
Esempi che non costituiscono l'elaborazione su larga scala sono:
trattamento dei dati dei pazienti da parte di un singolo medico;
trattamento di dati personali relativi a condanne penali e reati da parte di un sincolo avvocato;
2.1.4 Monitoraggio regolare e sistematico
La nozione di “monitoraggio regolare e sistematico” delle persone interessate non è definito nel GDPR, ma il concetto del “monitoraggio del comportamento delle persone interessate” è menzionato nel considerando 24 e comprende in modo chiaro tutte le forme di monitoraggio e profilatura su internet compresa la somministrazione gli utenti di pubblicità a seguito del comportamento manifestato.
Al fine di determinare se il trattamento comporta il monitoraggio del comportamento degli interessati, occorre verificare se gli utenti/persone fisiche sono tracciati su Internet e se è possibile successivamente adottare tecniche di elaborazione dei dati personali che consistono nella profilazione di persone fisiche, in particolare al fine di prendere decisioni in merito agli interessati o per l’analisi o previsione delle loro preferenze personali.
Tuttavia, il concetto di controllo/monitoraggio non è limitato esclusivamente ad Internet e al c.d. ambiente online ma va esteso a tutte le forme di monitoraggio dei comportamenti dei soggetti interessati.
Si noti che il considerando 24 si concentra sull'applicazione extraterritoriale del GDPR. Inoltre, c'è anche un differenza tra la formulazione 'monitorare il loro comportamento' (articolo 3 (2) (b)), e 'regolare e sistematico monitoraggio degli interessati "(articolo 37 (1) (b)), che potrebbe quindi intendere un concetto diverso.
WP29 considera ”regolare”' uno o più dei seguenti monitoraggi:
in corso o che si verificano a intervalli specifici per un determinato periodo;
ricorrente o ripetuto ad orari prestabiliti;
svolto costantemente o periodicamente;
WP29 considera “sistematico” uno o più dei seguenti monitoraggi:
che si verificano in base a un sistema;
pre-organizzati, organizzati o metodici;
che si svolgono nell'ambito di un piano generale per la raccolta dati;
Eseguito come parte di una strategia;
Esempi:
gestione di una rete di telecomunicazioni;
fornitura di servizi di telecomunicazione;
e-mail retargeting;
profilazione e attribuzione di giudizi ai fini della valutazione del rischio (credit scoring, quotazione di premi assicurativi, prevenzione delle frodi, l'individuazione di riciclaggio di denaro);
monitoraggio locale, ad esempio, su applicazioni mobili;
programmi di fidelizzazione;
pubblicità comportamentale;
monitoraggio del benessere e delle condizioni di salute dati tramite dispositivi indossabili;
televisione a circuito chiuso;
dispositivi collegati ad esempio contatori intelligenti, macchine intelligenti, domotica, ecc
Come riportato dal testo originale “Examples: operating a telecommunications network; providing telecommunications services; email retargeting; profiling and scoring for purposes of risk assessment (e.g. for purposes of credit scoring, establishment of insurance premiums, fraud prevention, detection of money-laundering); location tracking, for example, by mobile apps; loyalty programs; behavioural advertising; monitoring of wellness, fitness and health data via wearable devices; closed circuit television; connected devices e.g. smart meters, smart cars, home automation, etc. ”
2.1.5 categorie particolari di dati e dati relativi a condanne penali e REATI
Articolo 37 comma 1 lettera (c) affronta il trattamento di categorie particolari di dati ai sensi dell'articolo 9, e dati personali relativi a condanne penali e reati di cui all'articolo 10. Anche se la il testo usa la parola 'e', non vi è alcuna ragione per cui i due criteri che devono essere applicati contemporaneamente. Il testo dovrebbe quindi essere letto come 'o'.
2.2. DPO del responsabile
L’articolo 37 del regolamento impone sia al titolare che al responsabile, quando si verificano le condizioni, la nomina del DPO.
A secondo di chi soddisfa i criteri, la designazione può essere effettuata esclusivamente dal titolare, in alternativa dal responsabile o tutti e due i soggetti.
Esempio 1:
Una piccola azienda familiare attiva nella distribuzione di elettrodomestici in una sola città
utilizza i servizi di un responsabile la cui attività principale consiste nel fornire servizi di analisi di siti web, pubblicità targettizzata e di marketing.
L’attività familiare di distribuzione elettrodomestici non comporta il trattamento su larga scala in quanto l’attività e il numero di clienti è ridotto.
Tuttavia, l'attività del responsabile, avendo molti clienti come questa piccola impresa, nel loro insieme, porta avanti un trattamento su larga scala.
Il responsabile deve quindi nominare un DPO ai sensi dell'articolo 37 comma 1 lettera (b).
Allo stesso tempo, l'azienda di famiglia non ha l'obbligo di designare un DPO.
Esempio 2:
Una società di produzione di piastrelle di medie dimensioni subappalta i servizi di medicina del lavoro a un responsabile esterno, che ha un gran numero di clienti simili.
Il responsabile designa un DPO ai sensi dell'articolo 37 (1) (c) a seguito del trattamento su larga scala.Il costruttore non è necessariamente obbligato alla nomina di un DPO.
Come buona prassi, il WP29 raccomanda che il DPO designato da un responsabile dovrebbe anche supervisionare le attività svolte dal responsabile quando ricopre il ruolo di titolare (ad esempio risorse umane, IT, logistica).
2.3. 'Facilmente raggiungibile da ogni stabilimento'
Articolo 37 (2) permette ad un gruppo di imprese di designare un unico DPO a condizione che lui o lei è 'facilmente raggiungibile da ogni sede. Il concetto di accessibilità si riferisce ai compiti del DPO, come un punto di contatto rispetto agli interessati, con il compito di informare e consigliare il titolare, il responsabile e gli impiegati che svolgono trattamento, sui loro obblighi ai sensi del presente Regolamento UE 679.
Al fine di garantire che il DPO, interno o esterna, sia accessibile è importante garantire che il proprio recapito sia disponibile in conformità con i requisiti del GDPR(Regolamento 679).
Lui o lei deve essere in grado di comunicare in modo efficiente con gli interessati e cooperare con le autorità di vigilanza interessate. Questo significa anche che tale comunicazione deve avvenire nella lingua o le lingue utilizzate dalle autorità di vigilanza e dalle persone interessate.
Ai sensi dell'articolo 37 (3), un singolo DPO può essere designato per più autorità o enti pubblici, tenendo conto della loro struttura e dimensione organizzativa. Le stesse considerazioni valgono per quanto riguarda le risorse e la comunicazione. Dato che il DPO è responsabile di una serie di compiti, il responsabile deve garantire che un singolo DPO sia in grado assolvere alle esigenze dell’ente pubblico.
La disponibilità personale di un DPO (sia fisicamente negli stessi locali come dipendenti, attraverso un numero verde o altro mezzo di comunicazione sicuro) è essenziale per garantire che gli interessati saranno in grado di contattare il DPO. Il DPO è tenuto al segreto o alla riservatezza relativa al rendimento dei suoi compiti, in conformità con il diritto dell'Unione o Stato membro (articolo 38 (5)). L’obbligo di segretezza / riservatezza non vieta l'autorità di vigilanza di contattare il DPO e chiedere informazioni.
2.4. Competenze e capacità del DPO
Articolo 37 (5), prevede che il DPO 'è designato in base alle qualità professionali e, in particolare, per la conoscenza approfondita del diritto alla protezione dei dati e delle migliori pratiche da utilizzare. Il Considerando 97 prevede che il livello necessario di conoscenze specialistiche deve essere determinato in base al livello di difficoltà del trattamento.
Livello di esperienza
Il livello richiesto di competenza non è strettamente definito ma deve essere commisurato con la sensibilità, la complessità e la quantità di dati dei processi organizzativi. Ad esempio, quando un trattamento è particolarmente complesso, o se comporta una grande quantità di dati sensibili, il DPO dovrebbe possedere un elevato livello di competenza e supporto. C'è anche una differenza a seconda che l'organizzazione trasferisce sistematicamente dati personali fuori dell'Unione Europea o se tale i trasferimenti sono occasionali. Il DPO dovrebbe quindi essere scelto con cura, tenendo conto delle questioni relative alla protezione dei dati che sorgono all'interno dell'organizzazione.
Qualità professionali
Anche se l'articolo 37 (5) non specifica le qualità professionali che dovrebbero essere considerate quando si designa il DPO; il DPO deve avere esperienza in materia di leggi sulla protezione dei dati nazionali ed europee ed una conoscenza approfondita del Regolamento.
Il DPO dovrebbe anche avere sufficiente comprensione delle procedure ed istruzioni che vengono svolte all'interno delle organizzazioni, nonché una notevole conoscenza dei sistemi informativi e degli aspetti legati alla sicurezza e protezione dei dati .
Nel caso di un ente o organizzazione pubblica, il DPO dovrebbe anche avere una buona conoscenza delle regole e delle procedure dell'organizzazione amministrativa.
Capacità di svolgere i suoi compiti
Il DPO deve essere in grado di soddisfare le esigenze dell’organizzazione, sia grazie alle sua formazione e qualità personali sia per la posizione ricoperta all'interno dell'organizzazione.
Le qualità personali dovrebbero includere, ad esempio, l'integrità e l'alta etica professionale; la preoccupazione primaria del DPO dovrebbe essere la conformità con la GDPR.
Il DPO svolge un ruolo chiave nella promozione della cultura della protezione dei dati all'interno dell'organizzazione e aiuta a implementare gli elementi essenziali del regolamento, come ad esempio la tutela dei diritti degli interessati, la protezione dei dati by design e by default, la registrazione delle attività di trattamento, la sicurezza del trattamento, e la notifica e la comunicazione delle violazioni dei dati.
DPO sulla base di un contratto di servizio
La funzione del DPO può essere esercitata anche da una persona o organizzazione sulla base di un contratto di servizio stipulato con il titolare o il responsabile.
Per motivi di chiarezza giuridica e di buona organizzazione si raccomanda di avere una chiara ripartizione dei compiti all'interno del team DPO designando sempre una figura di riferimento.
2.5. Pubblicazione e comunicazione delle informazioni di contatto del DPO
Articolo 37 (7) del regolamento obbliga il titolare e il responsabile
alla pubblicazione dei dati di contatto del DPO e;
a comunicare i dati di contatto per le autorità di vigilanza competenti.
L'obiettivo di queste prescrizioni è quello di garantire sia agli interessati (all'interno che all'esterno dell’organizzazione) , sia l’autorità di vigilanza, di contattare direttamente ed in forma riservata il DPO senza dover contattare altri soggetti dell'organizzazione.
I dati di contatto del DPO dovrebbero includere informazioni che consentano agli interessati e all’autorità di vigilanza di raggiungere il DPO in modo semplice (un indirizzo postale, un numero telefonico dedicato, e indirizzo e-mail dedicato). Se necessario il DPO potrebbe disporre una linea telefonica dedicata o un apposito modulo di contatto sul sito web dell'organizzazione.
Articolo 37 (7) non dispone la pubblicazione obbligatoria, fra i dati di contatto, del nome del DPO anche se può essere una buona prassi pubblicarne il nome.
Come buona prassi, il WP29 raccomanda all'organizzazione di informare l’autorità garante e i dipendenti sulla nomina del DPO fornendone nome e recapiti. Ad esempio, il nome e recapiti del DPO potrebbero essere pubblicati internamente sulla rete Intranet dell'organizzazione.
Posizione del DPO
Coinvolgimento del DPO in tutte le questioni relative alla protezione dei dati personali
L'articolo 38 del regolamento prevede che il titolare e il responsabile assicurano che il DPO venga coinvolto, correttamente e in modo tempestivo, in tutte le questioni che riguardano la protezione dei dati personali.
E’ fondamentale che il DPO sia coinvolto prima possibile in tutte le questioni relative alla protezione dei dati. In relazione alle valutazioni di impatto sulla protezione dei dati, il regolamento prevede esplicitamente l’immediato coinvolgimento del DPO e specifica che il titolare deve chiedere il parere del DPO nello svolgimento di tali valutazioni d'impatto.
Informare e consultare in via preliminare il DPO faciliterà il rispetto del regolamento; dovrebbe quindi essere procedura standard all'interno della governance dell'organizzazione. Inoltre, è importante che il DPO sia visto come un interlocutore all'interno dell'organizzazione, che faccia parte di gruppi di lavoro che si occupano di attività di trattamento dei dati all'interno dell'organizzazione.
Di conseguenza, l'organizzazione deve garantire, ad esempio, che:
Il DPO sia invitato a partecipare regolarmente alle riunioni di dirigenti, quadri;
La sua presenza è raccomandata nei casi in cui vengano prese le decisioni con implicazioni per la protezione dei dati. Tutte le informazioni pertinenti devono essere trasmesse al DPO in modo tempestivo al fine di consentirgli di fornire consulenza adeguata;
Il parere del DPO deve essere sempre preso in giusta considerazione. In caso di disaccordo, il WP29 raccomanda, come buona pratica, di motivare e documentare le ragioni per cui non viene seguito il consiglio del DPO;
Il DPO deve essere tempestivamente consultato a seguito di una violazione dei dati in caso dell'insorgere di altro incidente.
Se necessario, il titolare o il responsabile, può elaborare linee guida sulla protezione dei dati o programmi che stabiliscono quando il DPO debba essere consultato.
3.2. risorse necessarie
L'articolo 38 (2) del regolamento richiede all'organizzazione di sostenere il suo DPO fornendo le risorse necessarie per lo svolgimento dei loro compiti, l'accesso ai dati personali ed operazioni di trattamento, di adottare le sue conoscenze.
I seguenti elementi, in particolare, sono da considerarsi:
sostegno attivo della funzione del DPO da parte della direzione;
dare un tempo sufficiente al DPO per adempire ai suoi doveri. Ciò è particolarmente importante dove il DPO è nominato su una base part-time o in cui il lavoratore svolge la protezione dei dati in aggiunta ad altri compiti. In caso contrario, le priorità in conflitto potrebbero trascurare le attività relative al DPO. Avere un tempo sufficiente da dedicare a compiti DPO è di primaria importanza. E’ buona prassi stabilire una percentuale di tempo per la funzione DPO in cui non viene eseguita su una base a tempo pieno. E’ anche buona prassi determinare il tempo necessario per svolgere la funzione, elaborare un piano di lavoro, stabilire il livello appropriato di priorità per le funzioni DPO;
sostegno adeguato in termini di risorse finanziarie, infrastrutture (locali, strutture, attrezzature) e del personale;
comunicazione ufficiale della designazione del DPO a tutto il personale al fine di garantire che la sua esistenza e la funzione è conosciuta all'interno dell'organizzazione;
consentire l’accesso ad altri servizi, quali le risorse umane, legali, IT, sicurezza, ecc, in modo che il DPO possa ricevere il supporto adeguato;
Al DPO dovrebbe essere garantita la formazione continua, data la possibilità di rimanere aggiornato sugli argomenti in materia di protezione dei dati. L'obiettivo dovrebbe essere quello di aumentare costantemente il livello di competenza del DPO; dovrebbero essere incoraggiati a partecipare a corsi di formazione sulla protezione dei dati e altre forme di sviluppo professionale, come la partecipazione in termini di privacy forum, workshop, ecc;
A seconda delle dimensioni e della struttura dell'organizzazione, può essere necessario configurare una squadra DPO. In questi casi ogni componente del Team avrà compiti specifici ben descritti. Allo stesso modo, quando la funzione del DPO è esercitato da un fornitore esterno, un gruppo di persone che lavorano per questo soggetto può efficacemente svolgere i compiti di DPO come team, sotto la responsabilità di una figura coordinatrice.
Quando si stabiliscono i budget per una specifica attività di trattamento devono essere destinati al DPO le risorse necessarie per garantire una gestione efficace ed efficiente del trattamento dei dati.
3.3. Istruzioni e indipendenza delle decisioni
L’articolo 38 (3) stabilisce alcuni principi al fine di garantire al DPO la possibilità di svolgere i suoi con un sufficiente grado di autonomia all'interno dell’organizzazione. In particolare, il titolare e il responsabile devono assicurare che il DPO non riceva alcuna istruzione in relazione all’esercizio dei suoi compiti. Il considerando 97 aggiunge che il DPO, sebbene possa essere o NON essere un dipendente del Titolare o Responsabile del trattamento, deve essere in grado di svolgere le loro funzioni e compiti in modo indipendente.
Questo implica che, nell'adempimento dei suoi compiti di cui all'articolo 39, il DPO non deve essere istruito su come affrontare una questione o sui risultati da raggiungere,o su come trattare determinate questioni o denunce. Inoltre, i DPO non devono essere istruiti sulla potenziale interpretazione di norme in materia di trattamento di dati.
L'autonomia del DPO non è confinata all’interno di quanto previsto dall’articolo 39.
Il titolare o il responsabile rimangano i soggetti su cui permane a responsabilità del rispetto della normativa sulla protezione dei dati e devono essere in grado di dimostrare la conformità alle norme vigenti. Se il titolare o il responsabile assume delle decisioni incompatibili con il regolamento, nonché contrarie ai suggerimenti del DPO, è opportuno documentare queste decisioni in contrasto a quanto suggerito dal DPO.
3.4. Licenziamento o penalità per l'esecuzione di attività DPO
Articolo 38 (3) detta che il DPO non dovrebbe essere licenziato o contestato dal titolare o responsabile per l’esercizio delle sue funzioni.
Questo disciplina rafforza l'autonomia del DPO, e gli garantisce una indipendenza e protezione sufficiente utile allo svolgimento delle sua attività per la protezione dei dati.
Le sanzioni disciplinari applicate ai DPO a seguito dell’esercizio della propria funzione sono vietate. Ad esempio, un DPO può valutare un particolare trattamento come suscettibile di un rischio elevato e consiglia al titolare o responsabile di effettuare una valutazione d'impatto sulla protezione dei dati, ma il titolare o il responsabile non è d'accordo con la valutazione della DPO. In una tale situazione, il DPO non può essere contestato per aver espresso questo giudizio.
3.5. Conflitto d'interessi
Articolo 38 (6) consente al DPO di svolgere alltri compiti e mansioni. E’ opportuno che non vi sia un conflitto d’interessi fra i compiti specifici del DPO e altri compiti a cui è chiamato a svolgere.
L'assenza di conflitto di interessi è strettamente legata alla necessità di agire in modo indipendente. Anche se il DPO è autorizzato a svolgere altre funzioni, possono essere affidati solo altri compiti che non danno luogo a conflitti di interesse.
4 Compiti del DPO
4.1. Verifica della conformità al Regolamento Europeo
L’Articolo 39 (1) (b) affida al DPO, tra gli altri compiti, quello di verificare il rispetto del regolamento europeo. Il Considerando 97 specifica inoltre che il DPO dovrebbe aiutare il titolare o il responsabile alla verifica, all’interno dell’organizzazione, della conformità al regolamento.
Al fine di verificare la conformità al regolamento il DPO può:
raccogliere informazioni per identificare i trattamenti;
analizzare e verificare la conformità delle attività di trattamento, e
informare, consigliare ed emettere raccomandazioni al titolare o il responsabile
La verifica della conformità non consiste nella responsabilità personale del DPO. Il Regolamento rende chiaro che è il titolare, non il DPO, ad essere obbligato all’adozione di misure tecniche e organizzative idonee per la protezione dei dati e a dimostrare che il trattamento viene eseguito in conformità al regolamento (articolo 24 (1)).
Il rispetto delle norme per la protezione dei dati è una responsabilità aziendale del titolare del trattamento, non del DPO.
4.2. Il ruolo del DPO in una valutazione d'impatto sulla protezione dei dati
Ai sensi dell'articolo 35 (1), è compito del titolare, NON del DPO, effettuare, quando necessario, la valutazione dei rischi e dell’impatto che si avrebbe sulla protezione dei dati ('DPIA). Tuttavia, il DPO può svolgere un ruolo molto importante e utile per aiutare il titolare. Seguendo il principio della protezione dei dati già in fase di progettazione, l'articolo 35 (2) richiede espressamente che il titolare debba chiedere il parere al DPO per lo svolgimento di un'attività DPIA. L’Articolo 39 (1) (c), a sua volta, prevede come compito del DPO, quello di fornire consulenza ove richiesto per quanto riguarda la [DPIA] e rilevare gli effetti'.
Il WP29 raccomanda al titolare del trattamento di chiedere un parere al DPO sulle seguenti questioni:
se effettuare o non effettuare una DPIA;
quale metodologia da seguire nello svolgimento di un'attività DPIA;
se effettuare la DPIA in-house o se esternalizzare;
quali misure (comprese quelle tecniche e organizzative) sono applicabili per mitigare qualsiasi rischio legato ai diritti delle persone interessate;
se la valutazione d'impatto in merito alla protezione dei dati è stata eseguita correttamente e se le sue conclusioni risultano essere conformi al regolamento.
Se il titolare non concorda con la consulenza fornita dal DPO, la documentazione DPIA deve riportare in forma scritta le particolari giustificazioni per cui il suggerimento non è stato adottato.
Il WP29 raccomanda inoltre al titolare di delineare con chiarezza, ad esempio, nel contratto del DPO, ma anche nelle informazioni fornite ai dipendenti, la gestione, i compiti precisi del DPO e la loro portata, in particolare per quanto riguarda la realizzazione del DPIA.
4.3. Approccio basato sul rischio
L'articolo 39 (2) prevede che DPO tengano debitamente conto del rischio associato al trattamento, tenuto conto della natura, la portata, il contesto e delle finalità.
Questo articolo richiama un principio generale e comune, che può essere rilevante per molti aspetti per il lavoro quotidiano del DPO. Viene chiesto al DPO di dare la priorità del loro impegno sui trattamento che presentano un rischio elevato.
Questo non implica trascurare la conformità dei trattamenti che presentano un rischio basso , ma il principio invita il DPO a concentrarsi sulle aree ad alto rischio.
Questo approccio selettivo e pragmatico dovrebbe aiutare il DPO a consigliare il titolare sulle metodologie utili allo svolgimento della DPIA, dei settori che dovrebbero essere oggetto di una protezione dei dati interni o esterni, delle attività di formazione interna per fornire al personale la corretta attività di trasformazione.
4.4. Il ruolo del DPO nella tenuta dei registri
Ai sensi dell'articolo 30 (1) e (2), è il titolare o il responsabile, sotto la propria responsabilità, non il DPO, deve tenere un registro dei trattamenti o un registro di tutte le categorie di attività di trattamento svolte per conto del titolare.
In pratica, i DPO spesso creano un database e tengono un registro dei trattamenti sulla base delle informazioni, a loro fornite, dai vari reparti delle organizzazioni interessate.
Questa prassi è stata prevista in molti ordinamenti nazionali ed adottata dal nuovo regolamento europeo .
Articolo 39 (1), prevede un elenco di attività minime che il DPO deve svolgere.
Pertanto, nulla impedisce il titolare o il responsabile di assegnare al DPO il compito di mantenere il registro delle operazioni di trattamento, sotto la responsabilità del titolare. Tale registro dovrebbe essere considerato come uno degli strumenti che permettono al DPO di svolgere i suoi compiti di controllo della conformità, informando e consigliando il titolare o il responsabile.
In ogni caso, il registro, ai sensi dell'articolo 30 dovrebbe essere visto anche come lo strumento che consente, all'autorità di vigilanza, il controllo a richiesta, di tutte le attività di trattamento svolte dall'organizzazione. È quindi un prerequisito per la conformità, e come tale, una misura obbligatoria di responsabilità.
Hai un dubbio o un problema su questo argomento?
Scrivi alla nostra redazione giuridica e ricevi la tua risposta entro 5 giorni
Non condivideremo mai la tua email con nessuno.