Il Data Protection Officer (di seguito DPO) è una figura introdotta dal Regolamento generale sulla protezione dei dati 2016/679 | GDPR, pubblicato sulla Gazzetta Ufficiale europea L. 119 il 4 maggio 2016.
Il DPO è un professionista che deve avere un ruolo aziendale con competenze giuridiche, informatiche, di risk management e di analisi dei processi.
Il Responsabile della protezione dei dati personali, nominato dal titolare del trattamento o dal responsabile del trattamento, dovrà:
possedere un'adeguata conoscenza della normativa che regolamenta la gestione dei dati personali nel Paese in cui opera;
adempiere alle sue funzioni in piena indipendenza ed in assenza di conflitti di interesse nello svolgimento del suo compito di controllo e vigilanza;
operare alle dipendenze del titolare oppure sulla base di un contratto di servizio. L’incarico avrà una durata di almeno 2 anni e sarà rinnovabile. Il titolare o il responsabile del trattamento dovranno mettere a disposizione del Responsabile della protezione dei dati personali le risorse umane e finanziarie necessarie all’adempimento dei suoi compiti.
La sua responsabilità principale è quella di osservare, valutare e organizzare la gestione del trattamento di dati personali (e dunque la loro protezione) all’interno dell'azienda (sia essa pubblica che privata), affinché questi siano trattati nel rispetto delle normative privacy europee e nazionali.
Il Data Protection Officer fornisce tutta la consulenza necessaria per progettare, verificare e mantenere un sistema organizzato di gestione dei dati personali comprendente l’adozione di un complesso di idonee misure di sicurezza finalizzate alla tutela e alla salvaguardia del patrimonio basato sui dati e sulle informazioni che assicuri un elevato grado di sicurezza e riservatezza.
L'art. 39 del Regolamento europeo 2016/679 sulla protezione dei dati personali elenca i principali compiti del DPO (Responsabile della protezione dei dati):
informare e fornire consulenza al Titolare del trattamento o al Responsabile del trattamento nonché ai dipendenti che eseguono il trattamento in merito agli obblighi derivanti dal presente regolamento nonché da altre disposizioni dell'Unione o degli Stati membri relative alla protezione dei dati;
sorvegliare l'osservanza del presente regolamento, di altre disposizioni dell'Unione o degli Stati membri relative alla protezione dei dati nonché delle politiche del Titolare del trattamento o del Responsabile del trattamento in materia di protezione dei dati personali, compresi l'attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo;
fornire, se richiesto, un parere in merito alla valutazione d'impatto sulla protezione dei dati e sorvegliarne lo svolgimento ai sensi dell'articolo 35;
cooperare con l'autorità di controllo;
fungere da punto di contatto per l'autorità di controllo per questioni connesse al trattamento, tra cui la consultazione preventiva di cui all'articolo 36, ed effettuare, se del caso, consultazioni relativamente a qualunque altra questione.
Nell'eseguire i propri compiti il responsabile della protezione dei dati considera debitamente i rischi inerenti al trattamento, tenuto conto della natura, dell'ambito di applicazione, del contesto e delle finalità del medesimo.
Le competenze dei Data Protection Officer sono certificati da enti indipendente di certificazione, come TÜV Italia; questi verificano il possesso dei requisiti di formazione (conoscenza) e di esperienza professionale specifica (abilità) richiesti dallo schema di certificazione.
Lo schema di certificazione del Privacy officer è stato sviluppato sulla base della norma di accreditamento UNI CEI EN ISO/IEC 17024:2012 con svolgimento di un esame di certificazione, composto da prove scritte ed orali sulle materie professionali.
Il titolare del trattamento e il responsabile del trattamento designano sistematicamente un responsabile della protezione dei dati ogni qualvolta (nomina obbligatoria):
il trattamento è effettuato da un'autorità pubblica o da un organismo pubblico, eccettuate le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali, oppure
il “core business” del titolare del trattamento o del responsabile del trattamento consistono in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala, oppure
le attività principali del titolare del trattamento o del responsabile del trattamento consistono nel trattamento, su larga scala, di categorie particolari di dati di cui all'articolo 9 (dati sensibili) o di dati relativi a condanne penali e a reati di cui all'articolo 10.”
Lo scorso 13 dicembre 2016 il Gruppo dei Garanti Ue (WP 29) ha approvato tre importanti documenti con indicazioni e raccomandazioni su alcune delle novità del Regolamento, in vista della sua applicazione da parte degli Stati membri a partire dal 25 maggio 2018.
Il Gruppo dei Garanti Ue (WP 29) fornisce una definizione del “core business” del titolare o del responsabile del trattamento: si considera facente parte del “core business” del titolare o del responsabile una o più attività necessaria per raggiungere lo scopo del titolare o responsabile.
Per esempio il core business di un Ospedale è quello di provvedere alla cura delle persone, e il trattamento dei loro dati è un aspetto necessario all’erogazione del servizio.
Il Gruppo è stato istituito dall'art. 29 della direttiva 95/46, è un organismo consultivo e indipendente, composto da un rappresentante delle autorità di protezione dei dati personali designate da ciascuno Stato membro, dal GEPD (Garante europeo della protezione dei dati), nonché da un rappresentante della Commissione.
Il presidente è eletto dal Gruppo al suo interno ed ha un mandato di due anni, rinnovabile una volta.
Il Gruppo adotta le sue decisioni a maggioranza semplice dei rappresentanti delle autorità di controllo.
Il secondo punto riguarda l’interpretazione del concetto di “larga scala” in quanto il Regolamento non fornisce una definizione chiara e, nonostante le indicazioni del considerando 91, è difficile dare una definizione univoca: le linee guida chiariscono che non è possibile dare un numero preciso sia per quanto riguarda la quantità di dati elaborati sia per il numero di persone interessate applicabile in tutte le situazioni.
Il WP29 raccomanda alcuni fattori da valutare per determinare se il trattamento è effettuato o meno su larga scala:
il numero di persone interessate, sia come numero specifico o come percentuale della popolazione in questione;
il volume di dati e / o la gamma di differenti elementi di dati in elaborazione;
la durata, o la permanenza dell'attività di elaborazione dei dati;
l'estensione geografica dell'attività di trasformazione.
Riferimenti numerici avrebbero consentito di chiarire i criteri per la nomina dei DPO.
Al contrario, all’interno del secondo le Linee Guida del WP29, è possibile trovare alcune precise soglie di trattamenti che non rientrano nella nozione di “larga scala”.
In particolare non rientrano nella nozione di larga scala il trattamento dei dati dei pazienti da parte di un singolo medico o un dati personali relativi a condanne penali e reati da parte di un singolo avvocato.
Le linee guida specificano che anche la nozione di monitoraggio regolare e sistematico delle persone interessate non è definita nel Regolamento, ma il concetto di monitorare il comportamento delle persone interessate è menzionato nel considerando 24 e comprende in modo chiaro tutte le forme di monitoraggio e profilatura su internet, anche ai fini della pubblicità comportamentale.
Un titolare del trattamento o un responsabile del trattamento possono comunque designare un Responsabile della protezione dei dati personali anche in casi diversi da quelli sopra indicati come vincolanti.
http://www.iusprivacy.eu/
Hai un dubbio o un problema su questo argomento?
Scrivi alla nostra redazione giuridica e ricevi la tua risposta entro 5 giorni
Non condivideremo mai la tua email con nessuno.