Temi

Shape 5 Live Search

logo

Il Data Protection Officer (DPO), o anche Responsabile per la Protezione dei Dati (RPD), è una figura introdotta dal nuovo regolamento europeo in materia di protezione di dati personali.

 

Responsabile protezione dati

Il DPO in realtà è l'evoluzione del "privacy officer", figura prevista dalla direttiva europea 95/46 laddove, all'art. 18, consentiva agli Stati dell'Unione di prevedere semplificazioni o esenzioni nei casi di designazione di un soggetto indipendente che garantisca l'applicazione della normativa. Quindi il DPO è un consulente esperto che va ad affiancare il titolare nella gestione delle problematiche del trattamento dei dati personali, in tal modo si garantisce che un soggetto qualificato si occupi in maniera esclusiva della materia della protezione dei dati personali, aggiornandosi sui rischi e le misure di sicurezza, in considerazione della crescente importanza e complessità del settore. 

Il TAR per il Friuli-Venezia Giulia con la sentenza n. 287/2018 del 13 settembre 2018, ha precisato che il profilo del DPO è eminentemente giuridico, ed attiene alla tutela del diritto fondamentale dell'individuo alla protezione dei dati personali. Con ciò ha annullato il bando di un'azienda sanitaria per il conferimento di un incarico di DPO nella parte in cui prevedeva, come requisito di ammissione, il possesso di certificazione di Lead Auditor (o di Auditor) ISO 27001. Il TAR non ha, ovviamente, inteso limitarne la nomina ai soli giuristi, ma ha tenuto a precisare che, a prescindere dai titoli, il DPO non possa non avere, ed essere in grado di dimostrarle, competenze giuridiche approfondite. La certificazione indicata, invece, “non coglie la specifica funzione di garanzia insita nell’incarico conferito, il cui precipuo oggetto non è costituito dalla predisposizione dei meccanismi volti ad incrementare i livelli di efficienza e di sicurezza nella gestione delle informazioni ma attiene semmai alla tutela del diritto fondamentale dell’individuo alla protezione dei dati personali”. 

La designazione del DPO riflette il nuovo approccio del regolamento europeo (art. 39), maggiormente responsabilizzante, essendo finalizzata a facilitare l'attuazione del regolamento da parte del titolare e del responsabile. Il ruolo del DPO è di tutelare i dati personali, non gli interessi del titolare del trattamento. E ciò appare ovvio soprattutto nell'ambito degli enti pubblici e delle aziende che effettuano un monitoraggio su larga scala degli individui. Il DPO deve, infatti, possedere un'adeguata conoscenza delle normative e delle prassi di gestione dei dati personali, e deve adempiere alle proprie funzioni in piena autonomia ed indipendenza, e in assenza di conflitti di interesse. In tal senso non può ricoprire tale incarico un soggetto che si trova ai vertici aziendali, quindi in grado di influenzare le scelte adottate in materia di trattamento dei dati.
Ovviamente, titolare e responsabile devono mettere a disposizione del DPO le risorse umane e finanziarie per poter svolgere il suo compito. 

Il ruolo di DPO può essere affidato ad uno dei dipendenti dell'azienda ma può anche essere esternalizzato a un fornitore di servizi (libero professionista o azienda) tramite apposito contratto, nel qual caso dovrà essere nominato anche responsabile del trattamento. È difficilmente immaginabile, infatti, che possa svolgere le sue funzioni senza avere accesso ai dati personali. Può essere una persona fisica o un’organizzazione, e può essere nominato per un gruppo di imprese al fine di ridurre i costi. 

L'articolo 38 del GDPR stabilisce che il titolare del trattamento e il responsabile del trattamento si assicurano che il DPO non riceva alcuna istruzione per quanto riguarda l'esecuzione dei suoi compiti. Inoltre, il DPO non può essere rimosso o penalizzato dal titolare o dal responsabile del trattamento per l'adempimento dei propri compiti. Questo proprio a tutela della sua autonomia. In tal senso appare difficile ritenere che tale autonomia sia giustificabile nell'ambito di un rapporto di lavoro dipendente, per cui sarebbe preferibile che il DPO sia un soggetto esterno. 

 

Quando nominare il DPO

Il DPO è designato (art. 37) dal titolare o dal responsabile del trattamento, in base ad un contratto. La designazione dovrà essere comunicata all'Autorità di controllo nazionale

Link al Modello di atto di designazione del Data Protection Officer

Tale designazione è obbligatoria solo in tre casi. 

1) Per le amministrazioni e gli enti pubblici (eccetto le autorità giudiziarie nell'esercizio delle loro funzioni). Nel regolamento europeo non vi è una definizione di "autorità pubblica", per cui occorrerà interpretare l'indicazione in base al diritto nazionale. In particolare il Gruppo Articolo 29 ha raccomandato la nomina del DPO anche per gli organismi privati incaricati dello svolgimento di pubbliche funzioni o che comunque esercitano pubblici poteri (es. forniture elettriche, trasporti pubblici). 

Linee guida dell'Autorità di controllo nazionale sul Data Protection Officer (RPD) in ambito pubblico

2) Se l'attività principale svolta dal titolare o dal responsabile del trattamento consiste nel trattamento di dati che per la loro natura, oggetto o finalità, richiedono il controllo regolare e sistematico degli interessati su larga scala. 

Con riferimento all'attività principale, il Gruppo di lavoro articolo 29 precisa che occorre tenere presente il legame del "core business" con l'attività di trattamento dati. Anche se l'attività principale di un ospedale non è il trattamento dei dati ma la salute dei pazienti, essendo le due attività strettamente collegate, il trattamento dei dati rientrerà nell'alveo delle attività principali, per cui un ospedale dovrà nominare un DPO. Stesso discorso si può fare per una società di vigilanza, dove l'attività di sorveglianza è indissolubilmente legata all'attività di trattamento dei dati personali relativi, e quindi per un'assicurazione, una banca od un call center. Di contro, anche se nella pratica tutte le imprese trattano dati (es. i pagamenti dei dipendenti), non rientrano nell'obbligo di nomina del DPO se il trattamento dei dati è solo di supporto al "core business". 

La nozione di monitoraggio regolare e sistematico include non solo tutti i vari strumenti di tracciatura elettronica e profilazione online, ma anche qualsiasi forma di tracciatura in un ambiente offline. Per il WP29, un monitoraggio è regolare se avviene di continuo o in un arco temporale ben definito, se ripetuto ad intervalli constanti. Il monitoraggio è  sistematico se si verifica in base ad uno schema o quando è organizzato, metodico, prestabilito, o se rientra in un piano generale od una strategia (es. servizi di telecomunicazione, marketing, geolocalizzazione, fidelizzazione, monitoraggio di dati sulla salute e forma fisica attraverso dispositivi indossabili, reindirizzamento di email). 

Per stabilire se un trattamento è su larga scala il WP29 suggerisce di tenere in considerazione alcuni elementi: 
- il numero degli interessati coinvolti (in termini assoluti o in percentuale rispetto alla popolazione di riferimento);
- la quantità dei dati trattati;
- le diverse tipologie di dati trattati;
- la durata del trattamento;
- la portata geografica del trattamento. 

In tal senso sono trattamenti su larga scala quello dei dati di viaggio dei soggetti che usano un sistema di trasporto pubblico (es. il monitoraggio tramite carte di viaggio), il trattamento dei dati dei pazienti da parte di un ospedale, il trattamento di dati di geolocalizzazione della clientela per fini statistici, il trattamento dei dati dei clienti di una banca o un'assicurazione, il trattamenti dei dati personali per la pubblicità comportamentale (tramite cookie di profilazione), il trattamento di dati dei fornitori di servizi telefonici o internet, i trattamenti operati tramite fidelity card (a meno che non si tratti di un piccolo negozio). Non sono trattamenti su larga scala quelli del singolo medico o del singolo avvocato.  

3) Se l'attività principale consiste nel trattamento su larga scala di dati sensibili, relativi alla salute, alla vita sessuale, genetici, giudiziari e biometrici. Il monitoraggio del comportamento delle persone interessate comprende tutte le forme di monitoraggio e profilazione su Internet, anche ai fini della pubblicità comportamentale. 

Ad esempio, una palestra o una catena di palestre, trattando dati relativi alla salute potrebbe avere la necessità di nominare un DPO. 

 

Il Garante italiano ha precisato che non esiste alcun obbligo di nominare quale DPO dei soggetti che abbiano attestati o con partecipazione a corsi di formazione,  né esiste alcun albo professionale, quanto piuttosto necessita l'approfondita conoscenza della normativa e delle prassi in materia di privacy, nonché delle norme e delle procedure amministrative che caratterizzano lo specifico settore di riferimento. Secondo l'autorità italiana di controllo è opportuno privilegiare soggetti che dimostrino qualità professionali adeguate alla complessità del compito da svolgere, casomai con esperienze di master o corsi di studio. 

Come si può notare, è raro che una azienda di piccole o medie dimensioni abbia l'obbligo di nominare un DPO, ma è anche vero che oggi esistono aziende di piccole dimensioni che comunque trattano grandissime quantità di dati, grazie a strumenti informatici. Gli esempi possono essere parecchi, come un call center, oppure un centro commerciale che ha un impianto di videosorveglianza e che rientra nell'ipotesi di cui al numero 2. 

 

Requisiti

Per la selezione del DPO sicuramente ci si può rifare alla norma UNI 11697:2017. 

 

Obblighi del titolare verso il DPO

Vi sono numerosi obblighi che il titolare (o il responsabile) hanno verso il responsabile per la protezione dei dati, se nominato: 
- supportare il DPO nell'esecuzione dei suoi compiti; 
- fornire le risorse necessarie per l'esecuzione dei suoi compiti; 
- consentire l'accesso ai dati e alle operazioni di trattamento; 
- assicurare l'accesso del DPO ai massimi livelli manageriali dell'azienda; 
- assicurarsi che gli altri compiti del DPO non interferiscano con la sua responsabilità primaria quale DPO; 
- non fornire alcuna istruzione al DPO sui suoi compiti; 
- non penalizzare o licenziare il DPO per l'esecuzione dei suoi compiti. 
 

Compiti e responsabilità

Il DPO ha un ruolo consultivo, e svolge i seguenti compiti:
- informare e consigliare il titolare o il responsabile del trattamento, nonché i dipendenti, sugli obblighi previsti dalle norme in materia; 
- verificare l’attuazione e l’applicazione delle norme;
- se richiesto, fornire pareri ed assistere il titolare in merito alla valutazione d’impatto sulla protezione dei dati e sorvegliare i relativi adempimenti;
- cooperare con le autorità di controllo
- fungere da punto di contatto, non solo per l'autorità di controllo ma anche per gli interessati al trattamento, in merito a qualunque problematica connessa ai loro dati o all'esercizio dei loro diritti;
- consultare l'autorità di controllo anche di propria iniziativa. 

Il DPO non è, però, personalmente responsabile dell'inosservanza degli obblighi in materia di protezione dei dati personali, infatti è compito del titolare (art. 24) mettere in atto le misure tecniche ed organizzative adeguate. Il DPO risponde solo per lo svolgimento dei suoi obblighi di consulenza ed assistenza nei confronti del titolare, che è (eventualmente in solido col responsabile) l'unico soggetto responsabile del rispetto della normativa. Il titolare, quindi, potrà solo avanzare pretese risarcitorie basate sulla responsabilità contrattuale, nei confronti del DPO. 

 

Comunicazione all'Autorità di controllo

In base all'articolo 37, paragrafo 7 del regolamento europeo, il nominativo del DPO eventualmente designato deve essere comunicato all'Autorità di controllo (Garante per la protezione dei dati). Infatti, uno dei compiti principali del DPO è di fare da collegamento con l'Autorità. 
L'obbligo scatta nel momento in cui si effettua la nomina. 

Il nome del DPO andrà sicuramente inserito nel sito web dell'azienda, con i relativi contatti. 

Sul sito del Garante è disponibile un modulo per la comunicazione del nominativo (link alla procedura online). 

 

DPO nella prassi

Nella prassi il DPO definisce la policy (che ovviamente sarà approvata dal management) in materia di privacy dell'azienda, redigendo apposite istruzioni alle quali possano far riferimento i dipendenti che sono in dubbio. Questo è importante anche per evitare che ognuno si crei una propria interpretazione applicativa della normativa in materia. Nel documento saranno indicati gli obiettivi dell'azienda (in materia di data protection), le definizioni dei termini chiave della normativa, i principi della protezione dei dati, i ruoli e le responsabilità dei vari soggetti. Se il Data Protection Policy viene utilizzato anche per i trasferimenti dei dati tra le filiali dell'azienda, dovrà essere sottoposto all'approvazione dell'autorità di controllo, e poi potrà valere quale Binding Corporate Rules

Il passo successivo è di condurre l'audit dei vari settori aziendali, per verificare se i trattamenti posti in essere sono conformi alla Policy. I membri di riferimento di ciascun settore, ovviamente, dovranno essere appositamente istruiti e preparati in materia. 

Il DPO deve assicurarsi che l'azienda tenga il registro dei trattamenti e che sia costantemente aggiornato, anche se sono il titolare e il responsabile ad essere obbligati a tale adempimento e responsabilità nei confronti degli interessati e delle autorità di controllo. Inoltre, dovrà assicurarsi che l'azienda mantenga un registro o log delle richieste degli interessati, dei consensi ottenuti ed eventualmente revocati, Oltre ovviamente al registro dei data breach