Data Protection Officer: chi è e cosa fa

171 0

Tra le maggiori novità del Regolamento Europeo sulla protezione dei dati personali rientra sicuramente la previsione del Data Protection Officer. Il DPO, o responsabile della protezione dei dati, è una figura di indubbio rilievo le cui competenze non sono state ancora chiarite nel modo migliore dagli organi comunitari.

DPO (Data Protection Officer): chi lo designa?

Il DPO è designato in funzione delle qualità professionali; in particolare della conoscenza specialistica della normativa e delle pratiche in materia di protezione dei dati; della capacità di adempiere ai propri compiti. Tale figura, di alto livello professionale, può essere un dipendente del titolare del trattamento o del responsabile del trattamento; oppure può adempiere ai suoi compiti in base a un contratto di servizi e quindi può essere un libero professionista.

Lo stesso DPO deve essere prontamente e adeguatamente coinvolto in tutte le questioni riguardanti la protezione dei dati personali. Questo sia dal titolare del trattamento che dal responsabile del trattamento. Gli interessati possono contattare il responsabile della protezione dei dati per tutte le questioni relative al trattamento dei loro dati personali e all’esercizio dei loro diritti derivanti dal Regolamento.

Inoltre, il DPO deve godere di ampia autonomia e non riceve alcuna istruzione per quanto riguarda l’esecuzione dei propri compiti. Inoltre il Regolamento specifica (art. 38) che il responsabile della protezione dei dati non è rimosso o penalizzato dal titolare del trattamento o dal responsabile del trattamento per l’adempimento dei propri compiti. Riferisce direttamente ai massimi superiori gerarchici del titolare del trattamento o del responsabile del trattamento.

In quali casi è obbligatoria la nomina?

Come si è visto in precedenza, in base all’articolo 37, primo paragrafo, del Regolamento, la nomina di un DPO è obbligatoria in tre casi specifici:

  • se il trattamento è svolto da un’autorità pubblica o da un organismo pubblico;
  • se le attività principali del titolare o del responsabile consistono in trattamenti che richiedono il monitoraggio regolare e sistematico di interessati su larga scala; oppure
  • se le attività principali del titolare o del responsabile consistono nel trattamento su larga scala di categorie particolari di dati o di dati personali relativi a condanne penali e reati.

Il coinvolgimento del DPO all’interno della struttura

Assicurare il tempestivo e immediato coinvolgimento del DPO, tramite la sua informazione e consultazione fin dalle fasi iniziali, faciliterà l’osservanza del Regolamento e il rispetto del principio di privacy (e protezione dati) fin dalla fase di progettazione; pertanto, questo dovrebbe rappresentare l’approccio standard all’interno della struttura del titolare/responsabile. Inoltre, è importante che il DPO sia annoverato fra gli interlocutori all’interno della struttura suddetta, e che partecipi ai gruppi di lavoro che volta per volta si occupano delle attività di trattamento.

Cosa occorre garantire

Ciò significa che occorrerà garantire, per esempio:

  • che il DPO sia invitato a partecipare su base regolare alle riunioni del management di alto e medio livello;
  • la presenza del DPO ogniqualvolta debbano essere assunte decisioni che impattano sulla protezione dei dati. Il DPO deve disporre tempestivamente di tutte le informazioni pertinenti in modo da poter rendere una consulenza idonea;
  • che il parere del DPO riceva sempre la dovuta considerazione. In caso di disaccordi, il WP29 raccomanda, quale buona prassi, di documentare le motivazioni che hanno portato a condotte difformi da quelle raccomandate dal DPO;
  • che il DPO sia consultato tempestivamente qualora si verifichi una violazione dei dati o un altro incidente.

Data Protection Officer: cosa fa?

L’art. 39 del GDPR individua i compiti del DPO:

  • informare e fornire consulenza al:
    – titolare del trattamento;
    – responsabile del trattamento;
    – dipendenti che eseguono il trattamento;
     in merito agli obblighi derivanti dal Regolamento nonché da altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati;
  • sorvegliare l’osservanza del Regolamento, di altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati; nonché delle politiche del titolare del trattamento o del responsabile del trattamento in materia di protezione dei dati personali, compresi l’attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo;
  • fornire, se richiesto, un parere in merito alla valutazione d’impatto sulla protezione dei dati e sorvegliarne lo svolgimento ai sensi dell’articolo 35 del Regolamento;
  • cooperare con l’autorità di controllo;
  • fungere da punto di contatto per l’autorità di controllo per questioni connesse al trattamento; tra queste la consultazione preventiva di cui all’articolo 36 del Regolamento, ed effettuare, se del caso, consultazioni relativamente a qualunque altra questione.

Quale dovrà essere l’approccio di un DPO una volta assunto da un’azienda o da un ente?

Naturalmente non esistono delle regole uniche; ogni professionista ha un suo modus operandi, ma possono individuarsi delle attività fondamentali dalle quali non è possibile prescindere nell’esercizio della propria funzione.

  • Conoscere tutti gli aspetti organizzativi dell’azienda o ente. Il DPO deve necessariamente analizzare ed approfondire il core business dell’azienda o comunque i compiti e le funzioni fondamentali dell’ente che assiste. Tale attività è fondamentale per consigliare nel modo migliore il titolare o responsabile del trattamento.
  • Mappare e classificare i trattamenti dati con un occhio particolare ai dati che vengono trasferiti all’estero ed a eventuali accordi di carattere contrattuale (binding corporate rules).
  • Individuare un organigramma privacy e prevedere un coordinamento funzionale, ai fini privacy, tra i diversi uffici della realtà organizzativa. Si tratta di un aspetto delicato ma fondamentale che può consentire allo stesso DPO di individuare con immediatezza eventuali problematiche che dovessero insorgere nell’ambito dell’azienda o ente.
  • Prevedere specifiche policy del trattamento dei dati e fornire attività di consulenza in tale settore con un’attenzione particolare rivolta all’utilizzo delle nuove tecnologie.
  • Analizzare l’impatto delle nuove tecnologie in ambito protezione dei dati personali al fine di fornire specifica consulenza al titolare del trattamento per la predisposizione di un DPIA. Siamo di fronte ad una della attività più importanti disciplinate dal Regolamento europeo per la quale oltre ai vari suggerimenti delle autorità garanti (v. linee guida del 4 aprile 2017) è stata predisposta una specifica norma internazionale. Si tratta della ISO/IEC 29134 dal titolo “Privacy Impact Assessment – Methodology
  • Aiutare il titolare del trattamento nel predisporre un’efficace politica di sicurezza informatica. A tal fine sarà necessario dare utili suggerimenti in merito anche alla definizione di programmi di formazione ed aggiornamento per tutti gli operatori (incaricati) e naturalmente per i responsabili del trattamento.
  • Curare, tramite il titolare del trattamento, i rapporti con gli interessati al fine di fornire risposta adeguata a determinate richieste di chiarimenti in materia o a reclami/ricorsi.
  • Supportare il titolare del trattamento nella predisposizione di specifici report di data breach e nelle relative comunicazioni agli interessati.
  • Aiutare il titolare del trattamento nella predisposizione e gestione di specifici audit privacy interni ed esterni.
  • Mantenersi aggiornati con riferimento alla normativa nazionale ed europea in materia di protezione dei dati personali confrontandosi nel caso anche con altri DPO.
  • Curare i rapporti con l’Autorità garante su tutte le tematiche che dovessero investire l’azienda o l’ente in materia di privacy.
  • Monitorare in generale tutte le attività di trattamento dati al fine di assicurare il rispetto della normativa nella specifica realtà organizzativa di riferimento.

Per un approfondimento sull’argomento, è possibile consultare il volume:

I profili professionali nella protezione dei dati personali
di Michele Iaselli
EPC Editore

Articoli correlati