di Gianni Dell’Aiuto | Avvocato | Accademia Italiana Privacy
Il regolamento europeo in materia di protezione dati personali prevede (art.37), che il TITOLARE DEL TRATTAMENTO, vale a dire colui che ha la responsabilità in un’azienda o in un ente della gestione e conservazione dei dati personali, insieme al RESPONSABILE DEL TRATTAMENTO, cioè la figura incaricata dal titolare di gestire materialmente il trattamento dati, debbano nominare un RESPONSABILE DELLA PROTEZIONE DATI: parliamo di quella figura che viene comunemente definita DPO (Data Protection Officer). Si tratta di figure che hanno caratteristiche diverse e sono ognuna soggetta a una specifica disciplina con le proprie distinte responsabilità. In poche parole, mentre il TITOLARE corrisponde al legale rappresentante di un’azienda o di un ente, il RESPONSABILE del trattamento è il soggetto incaricato dal TITOLARE per lo svolgimento materiale delle operazioni di raccolta, gestione, trattamento, comunicazione dei dati.
Il DPO è la figura introdotta dal regolamento 679/2016 e si pone come ponte tra la vigilanza dei processi interni alla struttura e le autorità esterne (in Italia con il Garante della Privacy); ricopre un ruolo di consulenza che gli impone doveri interni, ma anche l’obbligo di attivarsi con gli organismi di controllo per le comunicazioni previste dalla normativa.
Verifica e protezione dati
È sul DPO che gravano i doveri di controllo e verifica dei sistemi e delle forme di protezione dati, in coordinamento con il TITOLARE e con gli eventuali RESPONSABILI, indicando anche quali eventuali ulteriori cautele debbano essere adottate.
Informazione al titolare e indipendenza
Sempre sul DPO incombono i doveri di informazione verso il TITOLARE, in caso si verifichino ipotesi di violazione o perdita dei dati personali. Il DPO deve pertanto possedere un’adeguata conoscenza non solo tecnica, ma anche giuridica e, in ogni caso, avere un ampio margine di autonomia e indipendenza nella propria attività per evitare ogni possibile forma di conflitto sia con il TITOLARE, sia con altre figure aziendali. Immaginabili le conseguenze laddove la carica di DPO venga ricoperta da chi non disponga di alcun margine di discrezione o libertà nello svolgimento del proprio incarico.
Il DPO viene nominato dal TITOLARE che dovrà mettergli a disposizione le risorse umane, finanziarie e strutturali necessarie per adempiere al suo incarico. L’indicazione del DPO deve essere inserita nelle informative per la prestazione del consenso da parte degli interessati, al fine anche di permettere loro l’esercizio dei diritti che il Regolamento concede; diritti che non erano esaustivamente previsti nella previgente normativa. Da qui la necessità di una nomina in forma scritta.
Consulenza, aggiornamento, formazione
Tra i compiti del DPO non c’è solo quello di vigilare, ma anche di consigliare il TITOLARE e tutte le figure aziendali in merito agli obblighi previsti nel GDPR e alle possibili conseguenze in caso di violazioni (furto, illecita intromissione, smarrimento).
Il DPO deve inoltre curare l’aggiornamento delle procedure e assistere il TITOLARE nella formazione degli operatori, oltre alla vigilanza sull’applicazione del regolamento e ogni attività connessa e le possibili problematiche. In sintesi, il DPO svolge sia un’attività interna alla struttura sia un’attività esterna, in quanto punto di contatto con l’Autorità Garante.
Quando nominare il DPO?
In base al Regolamento, il DPO deve essere nominato quando il trattamento è effettuato da un’autorità pubblica e la nomina è obbligatoria quando le attività principali (cd. core business) di un’azienda o di un privato consistano in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati. Il concetto, definito di “larga scala”, dev’essere valutato in concreto sulla base di criteri quali, ad esempio, il numero di interessati coinvolti, lo scopo del trattamento, la durata e l’estensione geografica. Tra i trattamenti non su larga scala sono da ritenersi quello dei dati di un paziente da parte del medico di famiglia e il trattamento da parte di un avvocato. Considerata la delicatezza di tali informazioni sorgono concreti dubbi se, anche in simili casi, sia necessaria la nomina di un DPO.
Dalla lettura della norma, ma più dai criteri di applicazione, emerge (anche se non è espressamente previsto), che il DPO debba essere una figura esterna alla struttura e non abbia vincoli di subordinazione o altri legami con la stessa. Invero, secondo il Regolamento, per un corretto svolgimento delle proprie funzioni il DPO non deve trovarsi in posizioni di conflitti di interessi con un’azienda o un ente - neppure potenziali. L’assenza del conflitto di interessi è strettamente legata alla necessità di agire in modo completamente indipendente: ciò comporta, in particolare, che il DPO non possa mantenere una posizione all’interno dell’organizzazione laddove non si trovi in una situazione di completa indipendenza e libertà di agire. La nomina di personale interno ad un’azienda o un ente, potrebbe causare non pochi problemi per una corretta applicazione del regolamento.
Nessun commento:
Posta un commento