GDPR: Chi è il Data Prtotection Officer? Chi è obbligato a nominarlo?

  • GDPR

Chi è il responsabile della protezione dei Dati Personali (DPO)?

Il Responsabile della Protezione dei Dati personali (RPD), spesso indicato con l’acronimo inglese DPO (Data Protection Officer) è una figura prevista dall’art. 37 del Regolamento UE 2016/679. Il DPO viene designato dal Titolare o dal Responsabile del trattamento come figura di riferimento in materia di trattamento dei dati personali.

Lo scopo per il quale questa figura viene inserita in azienda è quello di supervisionare, consigliare e formare i dipendenti circa l’utilizzo dei dati personali, verificando che questo avvenga nel rispetto delle norme in vigore.

Perché Il DPO possa operare in modo efficace, il Titolare ed il Responsabile del trattamento devono coinvolgerlo in tutte le attività in cui è previsto il trattamento di dati personali; allo stesso tempo però non devono interferire con il suo lavoro: Il Data Protection Officer deve essere assolutamente indipendente nelle scelte e nelle decisioni senza che nessuno, nemmeno il Titolare, possa fornire istruzioni su come operare. La figura del Data Protection Officer coopera con le Autorità e per questo motivo il suo nominativo deve essere comunicato al Garante per la Privacy.

Quali sono i compiti del DPO?

  • Vigilare sull’osservanza del regolamento UE 2016/679;
  • Supportare il Titolare del trattamento circa gli obblighi cui deve adempiere per rispettare la normativa in materia di privacy;
  • Supportare il Titolare nella redazione del Registro del Trattamento dei Dati;
  • Cooperare con l’Autorità Garante in materia di protezione dei dati personali e fungere da elemento di contatto fra questa ed il Titolare del trattamento;
  • Essere consultato in caso di data breach ed assistere il Titolare del trattamento in caso di necessità di notifica al Garante

Quali requisiti deve possedere un Data Protection Officer?

Il responsabile della protezione dei dati personali deve possedere un’approfondita conoscenza della normativa, delle prassi in materia di privacy e deve conoscere il settore di riferimento dell’azienda in cui opera. Per questi motivi il DPO può essere nominato tra i dipendenti dell’azienda (purchè non ci sia conflitto di interessi con il Titolare o con funzioni decisionali dell’azienda) oppure essere individuato in un soggetto esterno.

Data Protection Officer deve avere le competenze che gli permettano di progettare e mantenere un sistema di gestione dei dati personali, assistendo il Titolare nell’adozione di un complesso di misure (anche di sicurezza) adeguate al contesto in cui è chiamato a operare. Per questo motivo, nel caso in cui siano necessarie competenze trasversali il DPO può avvalersi di un team di esperti in diverse materie. L’Autorità garante suggerisce comunque di ripartire le competenze in modo chiaro e ben definito così che ci sia una sola persona fisica atta a fungere da punto di contatto con gli interessati e l’Autorità di controllo.

Quali sono i soggetti obbligati a designare un DPO?

Secondo l’articolo 37 del Regolamento, sono obbligati a designare un DPO:

  • le pubbliche amministrazioni e gli enti pubblici (escluse le autorità giudiziarie)
  • tutti i soggetti la cui attività principale consiste in trattamenti che, per la loro natura, il loro oggetto o le loro finalità, richiedono un monitoraggio regolare e sistematico degli interessi su larga scala;
  • tutti i soggetti la cui attività principale consiste nel trattamento, su larga scala, di dati sensibili, relativi alla salute o alla vita sessuale, genetici, giudiziari e biometrici

A titolo esemplificativo si indicano alcune imprese ed attività tenute alla nomina di un data protection officer:

istituti di credito; imprese assicurative; sistemi di informazione creditizia; società finanziarie; società di informazioni commerciali; società di revisione contabile; società di recupero crediti; istituti di vigilanza; partiti e movimenti politici; sindacati; caf e patronati; società operanti nel settore delle “utilities” (telecomunicazioni, distribuzione di energia elettrica o gas); imprese di somministrazione di lavoro e ricerca del personale; società operanti nel settore della cura della salute, della prevenzione/diagnostica sanitaria quali ospedali privati, terme, laboratori di analisi mediche e centri di riabilitazione; società di call center; società che forniscono servizi informatici; società che erogano servizi televisivi a pagamento.

A meno che non risulti evidente che un soggetto non è tenuto a nominare un Data Protection Officer, è fortemente raccomandato effettuare una valutazione con l’aiuto di un professionista qualificato. Nel caso in cui infine si decida di non nominarlo, è opportuno documentare per iscritto le argomentazioni a sostegno di questa decisione. Ciò al fine di esibire al Garante la valutazione effettuata in caso di contestazione.

Chi non è obbligato a nominare il DPO?

Non sono obbligati ad assumere un DPO tutti i soggetti che non rientrano nelle categorie di cui al capitolo precedente, ad esempio: i liberi professionisti operanti in forma individuale; agenti, rappresentanti e mediatori operanti non su larga scala; imprese individuali o familiari; piccole e medie imprese, con riferimento ai trattamenti dei dati personali connessi alla gestione corrente dei rapporti con fornitori e dipendenti. In ogni caso, resta comunque raccomandata, anche alla luce del principio di accountability che viene evocato all’interno del Regolamento, la designazione di tale figura.

Nomina DPO: gli errori da non commettere.

Quando si parla di nomina del Data Protection Officer, l’errore statisticamente più frequente riguarda la nomina di persone con un conflitto di interessi pendente rispetto alla funzione di DPO. L’articolo 38, paragrafo 6 del Regolamento recita: “Il responsabile della protezione dei dati può svolgere altri compiti e funzioni. Il titolare del trattamento o il responsabile del trattamento si assicura che tali compiti e funzioni non diano adito a un conflitto di interessi.”
Per quale motivo la figura del DPO non può essere soggetta a conflitto di interessi?
Il DPO è una figura ‘super partes’, incaricato di “sorvegliare l’osservanza del Regolamento e di altre disposizioni provenienti dalle autorità competenti in materia di protezione dei dati e delle politiche adottate dal titolare o dal responsabile in materia di protezione dei dati.
Qualora il DPO svolga altri compiti soggetti alla ‘sorveglianza’ del DPO stesso, la sua pozione risulta evidentemente incompatibile in quanto ‘controllore e controllato’ coincidono.

A titolo esemplificativo si indicano le figure che hanno più probabilità di sviluppare un conflitto di interessi rispetto ad una eventuale nomina come DPO:

Hanno potere decisionale sull’organizzazione, in quanto possono determinare le finalità o le modalità del trattamento dei dati
Effettuano un trattamento di dati personali, in quanto lo stesso trattamento è soggetto a sorveglianza del DPO
Attuano le misure di sicurezza sui dati, in quanto le stesse sono oggetto della sorveglianza
Sono responsabili esterni del trattamento, in quanto anch’essi soggetti alla sorveglianza
Sono interessati del trattamento, in quanto parte in causa nel trattamento dei dati personali
Hanno un interesse evidente nella mancata attuazione del Regolamento.

Dalle considerazioni fatte, vanno esclusi dalla nomina di DPO:

Lo stesso Titolare del trattamento
I dirigenti e coloro che riscoprono un ruolo decisionale sull’organizzazione, anche se non effettuano in modo diretto un trattamento di dati
Tutti coloro che sono autorizzati al trattamento dei dati
Tutti coloro che sono chiamati ad attuare misure di sicurezza sui dati (es. fornitori e consulenti di hardware o software installatori, ecc.)
I responsabili esterni del trattamento (es. consulenti vari, commercialista, fornitori di data service, ecc.)
Consulenti privacy (proprio perché, insieme al Titolare, prendono parte alla definizione delle modalità del trattamento ed alle relative definizioni delle misure di sicurezza)

Chiudi il menu
Chiama Ora