Quando è obbligatorio il Data Protection Officer


Quando è obbligatorio il Data Protection Officer

 

All’interno del Regolamento sulla protezione dei dati GDPR, una delle principali novità della disciplina privacy è rappresentata dalla figura deL DPO o Data Protection Officer.

La sua nomina non è sempre obbligatoria. Per la verità sono tenute a nominare il DPO solo aziende o organizzazioni con determinate caratteristiche e per aiutarti in questa analisi, noi di Labor Project, in questo articolo cerchiamo di spiegarti ogni dettaglio in materia.

 

Indice:

Quando è obbligatorio il DPO

DPO interno ed esterno

Quali requisiti deve avere il DPO

Quali sono i suoi compiti

La responsabilità del DPO

 

Quando è obbligatorio il DPO

 quando è obbligatorio data protection officer

Premesso che i compiti del Data Protection Officer, esplicitati negli articoli 38 e 39 del GDPR, si riferiscono, fra l’altro, ad attività di informazione e assistenza del titolare o del responsabile del trattamento, a compiti di sorveglianza e di dialogo tra gli stessi e l’Autorità Garante Privacy, esistono casi in cui la figura del DPO è obbligatoria e altri in cui non è necessaria.

 

I casi di obbligatorietà sono:

  • Trattamento dati effettuato da Pubbliche Amministrazioni (es. Comuni, Ospedali, Scuole ecc.);
  • Soggetti che hanno come core business (attività principale) il monitoraggio regolare e sistematico su larga scala delle persone;
  • Soggetti che hanno come core business (attività principale) il trattamento su larga scala di dati particolari (es. stato di salute, dati sindacali, biometrici ecc.) o dati giudiziari.

 

A ciò si aggiunga che il Garante Italiano nelle linee guida pubblicate suggerisce la nomina anche per i concessionari di pubblico servizio (si pensi a società di gestione acque, gas ed energia).

 

Gli elementi fondamentali per la definizione dell’obbligatorietà nel settore privato sono:

  • attività principale
  • larga scala
  • monitoraggio regolare e sistematico
  • dati particolari.

Gli elementi sopra richiamati sono necessari quindi per poter definire correttamente i soggetti obbligati a tale nomina e, per fare ciò, ci riferiremo principalmente alle Linee-guida sui Responsabili della protezione dei dati (DPO).

  • Attività Principale

La base da cui partire per capire se è obbligatorio o meno il DPO per il settore privato è l’attività principale del titolare o del responsabile.

Il considerando 97 del GDPR precisa che, nel settore privato, le “attività principali” di un’impresa riguardano le sue “attività primarie” e non comprendono i casi in cui il “trattamento dei dati personali” debba considerarsi solo “un’attività accessoria” (es. elaborazione buste paga per un ospedale).

Per individuare la nozione di attività principale, pertanto, dobbiamo fare riferimento alle attività primarie, parte inscindibile delle attività, anche statutarie, del Titolare o del Responsabile del trattamento e non dobbiamo tenere conto delle così dette attività secondarie.

Facciamo un paio di esempi.

Esempio 1: Obbligo DPO | l’attività principale di un ospedale consiste nella prestazione di assistenza sanitaria, ma non sarebbe possibile prestare tale assistenza nel rispetto della sicurezza e in modo efficace senza trattare dati relativi alla salute, come le informazioni contenute nella cartella sanitaria di un paziente. Ne deriva che il trattamento di tali informazioni deve essere annoverato fra le attività principali di qualsiasi ospedale, e che gli ospedali anche privati sono tenuti a nominare un RPD | DPO.

Esempio 2: Obbligo DPO | un’impresa di sicurezza privata incaricata della sorveglianza di più centri commerciali e aree pubbliche. L’attività principale dell’impresa consiste nella sorveglianza, e questa, a sua volta, è legata in modo inscindibile al trattamento di dati personali. Ne consegue che anche l’impresa in oggetto deve nominare un RPD | DPO.

Quindi possiamo affermare che la maggior parte delle piccole e medie imprese italiane che non effettuano trattamenti su larga scala non hanno l’obbligo di nomina di un DPO. Si pensi ad aziende produttive con centinaia di dipendenti, ma che non effettuano trattamenti che ricadano nelle situazioni sopra riportate.

 

  • Larga Scala

Nelle linee guida del WP29 si precisa che ad oggi non è possibile indicare un numero preciso di dati trattati o di interessati coinvolti utile a definire il concetto di larga scala; ma il WP29 cercherà di fornire pratiche standard per delimitare la definizione di larga scala, pubblicando e mettendo a fattor comune esempi di soglie applicabili per la nomina di un DPO.

Il WP29 raccomanda di considerare i seguenti fattori per determinare se il trattamento è effettuato su larga scala:

  • il numero di soggetti interessati dal trattamento, in termini assoluti ovvero espressi in percentuale della popolazione di riferimento;
  • il volume dei dati e/o le diverse tipologie di dati oggetto di trattamento;
  • la durata, ovvero la persistenza, dell’attività di trattamento;
  • la portata geografica dell’attività di trattamento.

Alcuni esempi di trattamento su larga scala sono i seguenti:

  • trattamento di dati relativi a pazienti svolto da un ospedale nell’ambito delle ordinarie attività;
  • trattamento di dati relativi agli spostamenti di utenti di un servizio di trasporto pubblico cittadino (per esempio, il loro tracciamento attraverso titoli di viaggio).

Allo stesso modo il WP29 ha esemplificato alcuni trattamenti che non sono da considerarsi su larga scala e più precisamente:

  • trattamento dei dati dei pazienti da parte di un singolo medico;
  • trattamento di dati personali relativi a condanne penali e reati da parte di un singolo avvocato.

 

  • Monitoraggio regolare e sistematico

La nozione di monitoraggio regolare e sistematico delle persone interessate non è definita nel GDPR, ma il concetto di “monitorare il comportamento delle persone interessate” è riportato nella norma e fa riferimento al fatto che sia opportuno verificare se le persone fisiche sono tracciate su internet, compreso l’eventuale ricorso successivo a tecniche di trattamento dei dati personali che consistono nella profilazione della persona fisica, in particolare per adottare decisioni che la riguardano o analizzarne o prevederne le preferenze, i comportamenti e le posizioni personali”.

Esempi di monitoraggio regolare e sistematico: curare il funzionamento di una rete di telecomunicazioni; la prestazione di servizi di telecomunicazione; il reindirizzamento di messaggi di posta elettronica; profilazione e scoring per finalità di valutazione del rischio (per esempio, a fini di valutazione del rischio creditizio, definizione dei premi assicurativi, prevenzione delle frodi, accertamento di forme di riciclaggio); tracciamento dell’ubicazione, una app medica.

  • Dati particolari e dati personali relativi a condanne penali e reati

I dati particolari (ex sensibili) sono dati personali che rivelano l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, nonché i dati genetici, i dati biometrici intesi a identificare in modo univoco una persona fisica, i dati relativi alla salute e quelli relativi alla vita sessuale o all’orientamento sessuale della persona.

La prima considerazione dunque che va fatta è:

il DPO è obbligatorio in ambito pubblico e può esserlo nel settore privato.

Di seguito vediamo nel dettaglio chi deve dotarsi di Data Protection Officer nel settore privato.

  • Chi sono i soggetti privati tenuti a designare un DPO?

Innanzitutto, i soggetti che svolgono come attività principale su larga scala il monitoraggio di dati personali o il trattamento di dati particolari o giudiziari, si pensi ad esempio a:

  • Istituti di credito
  • Imprese assicurative
  • Sistemi di informazione creditizia
  • Società finanziarie, di informazione commerciale, di revisione contabile, di recupero crediti
  • Istituti di vigilanza
  • Partiti e movimenti politici
  • Caf e patronati
  • Società operanti nel settore delle utilities come telecomunicazione, energia elettrica e gas
  • Imprese di somministrazione lavoro e ricerca di personale
  • Ospedali privati
  • Terme
  • Laboratori di analisi mediche e riabilitazione
  • Società di call center, di servizi informatici e televisivi a pagamento
  • Hosting di posta e società di informatica che monitorano misure di sicurezza informatica.

 

 

 

 

DPO interno ed esternoquando è obbligatorio data protection officer

Il DPO può essere un soggetto interno oppure esterno.

Secondo l’articolo 37 del GDPR, infatti, il DPO può essere un dipendente del titolare del trattamento o del responsabile del trattamento oppure svolgere la sua attività in base ad un contratto di servizi.

Infatti la funzione di DPO può essere esercitata anche sulla base di un contratto di servizi stipulato con un individuo o un’organizzazione esterna rispetto al Titolare o al Responsabile del trattamento.

In quest’ultimo caso, è essenziale che ogni membro dell’organizzazione che esercita le funzioni di un DPO soddisfi tutti i requisiti richiesti dal GDPR (ad esempio, è indispensabile che nessuno di tali soggetti versi in situazioni di conflitto di interessi).

In tali organizzazioni i singoli, le abilità dei singoli e i loro punti di forza potranno essere combinati in modo che i diversi individui, che lavorano in un team, possano seguire più efficacemente i loro clienti.

E’ altrettanto importante che ogni membro della società di servizi sia protetto dalle disposizioni del GDPR; ad esempio non è possibile la risoluzione ingiustificata del contratto di servizi per l’attività come DPO, né è ammissibile l’ingiustificata rimozione di un singolo appartenente alla persona giuridica che svolga funzioni di DPO.

Per motivi di chiarezza contrattuale e di buona organizzazione si raccomanda di avere una chiara ripartizione dei compiti all’interno dei team dei DPO e di assegnare ad un solo DPO il ruolo di “referente/responsabile del team” per ogni cliente così come si consiglia a questi ultimi di individuare un delegato che si interfacci con il DPO.

Generalmente sarebbe utile specificare questi punti all’interno del contratto di servizi.

Quali requisiti deve avere il DPO?quando è obbligatorio data protection officer

Requisiti minimi del DPO

Il DPO dovrebbe avere almeno i seguenti requisiti:

  • conoscenza approfondita dell’applicazione della legge sulla protezione dei dati, comprese le misure tecniche ed organizzative e le procedure, la padronanza dei requisiti tecnici per la privacy by design, privacy per impostazione predefinita (Privacy by default) e la sicurezza dei dati;
  • conoscenze specifiche in conformità con le dimensioni del Titolare o del Responsabile e le categorie speciali di dati da elaborare;
  • capacità di effettuare ispezioni e consulenza, di elaborare documentazione, di analizzare i log file e di affrontare con un approccio da risk manager i casi di Data Breach;
  • capacità di lavorare con la rappresentanza dei lavoratori.

Il Titolare del trattamento dovrebbe consentire al DPO la partecipazione a misure di formazione avanzata per mantenere le conoscenze specialistiche necessarie per svolgere le sue funzioni.

In particolare, in relazione alla funzione “protezione dati” il DPO deve poter operare con efficienza e contare su risorse sufficienti in proporzione al trattamento svolto.

 

Quali sono i suoi compiti?quando è obbligatorio data protection officer

Il responsabile della protezione dei dati | DPO deve:

  • Sorvegliare il rispetto del regolamento, valutando i rischi di ogni trattamento alla luce della natura, dell’ambito di applicazione, del contesto e delle finalità;
  • Collaborare con il titolare che deve effettuare una valutazione di impatto sulla protezione dei dati;
  • Informare e sensibilizzare il titolare o il responsabile del trattamento, nonché i dipendenti riguardo agli obblighi derivanti in materia di protezione dei dati;
  • Essere punto di contatto tra l’azienda ed il Garante Privacy, cooperando con lo stesso;
  • Collaborare con il titolare per ogni attività connessa al trattamento dei dati, compresa la tenuta del registro delle attività di trattamento.

 

La responsabilità del Data Protection Officerquando è obbligatorio data protection officer

Nello svolgere la sua attività il DPO deve tenere conto di alcune responsabilità specifiche a cui non può sottrarsi. Partendo dal presupposto che deve essere coinvolto in tutte le questioni riguardanti la protezione dei dati personali, esistono alcuni ambiti specifici di intervento regolati nell’articolo 38 e 39 del GDPR:

  • Una volta avute tutte le risorse necessarie dal titolare o dal responsabile, deve eseguire i compiti come previsto nell’articolo 39 del GDPR per mantenere la propria conoscenza specialistica;
  • Il DPO non deve ricevere alcuna istruzione per l’esecuzione dei compiti per cui è stato incaricato, ma riferisce direttamente al titolare del trattamento o al responsabile del trattamento;
  • Il Data Protection officer deve rispondere agli interessati che lo contattano per questioni relative al trattamento dei loro dati personali;
  • Il responsabile della protezione dei dati è tenuto alla riservatezza e al segreto in merito all’adempimento dei suoi compiti in conformità al diritto dell’Unione o degli Stati membri;
  • È possibile che il DPO svolga altri compiti e funzioni, purché non dia adito ad un conflitto di interessi;
  • Secondo l’articolo 39 del GDPR, il DPO deve informare e fornire consulenza al titolare, al responsabile e ai dipendenti in materia di protezione dei dati;
  • Il DPO deve sensibilizzare e formare il personale che partecipa ai trattamenti e alle attività di controllo;
  • Deve fornire, se richiesto, un parere in merito alla valutazione di impatto sulla protezione dei dati e sorvegliarne lo svolgimento;
  • Deve cooperare con il Garante;
  • In caso di consultazione preventiva deve essere punto di contatto con il Garante.
Se ti è piaciuto l'articolo condividi:

Matteo Colombo

Socio Fondatore e Presidente dell’Associazione dei Data Protection Officer – ASSO DPO. Consulente d’impresa e formatore, esperto in materia privacy e lavoristica. Dopo un’esperienza di alcuni anni in una primaria multinazionale del settore Agenzie per il Lavoro quale Risk Manager e componente del Team ufficio legale, è socio fondatore di Labor Project Srl, azienda che da quindici anni opera nel campo della “compliance” in tema Privacy e 231/01 e di cui è a tutt’oggi l’Amministratore Delegato. A capo di un pool di tecnici, nel corso di questi anni ha seguito imprese private e pubbliche amministrazioni nell’adempimento del Testo Unico Privacy e GDPR. È DPO di alcune importanti società multinazionali. Relatore in molteplici eventi in tutta Italia sui temi Privacy e autore di diversi libri sul Regolamento (UE) Privacy. Esperto in materia di reati societari D.Lgs. 231/01 e componente di Organismi di Vigilanza. Relatore in molteplici eventi in tutta Italia sui temi Privacy e 231 e ideatore del progetto E-Learning “Master DPO”. CIPP/E: Certified Information Privacy Professional/Europe Socio Fondatore e Presidente dell’Associazione dei Data Protection Officer – ASSO DPO. Fondatore del gruppo Linkedin “ASSO DPO | Data Protection Officer”. Componente del Comitato Scientifico di Istituto Italiano Privacy Componente del gruppo di Esperti Italiani di Privacy Italia