Chi è il Data Protection Officer? (DPO)


Il Data Protection Officer (DPO) è una figura introdotta dal nuovo Regolamento Europeo sulla protezione dei dati (GDPR). Il DPO si occupa principalmente di vigilare affinché il titolare del trattamento dei dati rispetti la normativa sulla privacy. Ma non solo: in sintesi, all’interno dell’azienda ha un ruolo misto tra vigilanza, consulenza per i processi aziendali e punto di contatto tra gli interessati e il Garante. Non si tratta, però, di una novità assoluta: sebbene non obbligatoria, la sua nomina è divenuta una prassi, nel corso degli anni, in alcuni stati membri. Che ruolo ha e che compiti svolge nello specifico? Lo vediamo nel dettaglio.

 

Indice

Che competenze deve avere il DPO

Quali sono i suoi compiti

Quando è obbligatorio nominare un DPO

Il trattamento dei dati su larga scala

Conclusione

 

Che competenze deve avere il DPO

Chi è il Data Protection Officer?

Il GDPR sancisce che il DPO “è designato in funzione delle qualità professionali, in particolare della conoscenza specialistica della normativa e delle prassi in materia di protezioni dei dati, e della capacità di assolvere i compiti” che il Regolamento gli affida. Ecco, perciò, quali sono le competenze che il DPO deve avere.

  • Competenze specialistiche: il livello di conoscenza specialistica deve essere proporzionato alla sensibilità, complessità e quantità dei dati sottoposti al trattamento.
  • Qualità professionale: il DPO deve avere prima di tutto una buona conoscenza della normativa e delle prassi nazionali ed europee in materia di trattamenti dei dati personali. Inoltre deve conoscere la normativa nazionale collegata al trattamento dei dati personali (ad esempio lo Statuto dei lavoratori), i sistemi informativi, le esigenze di sicurezza e di protezione dei dati personali e lo specifico settore di attività del titolare del trattamento.
  • Capacità di assolvere i compiti indicati dall’art. 39 GDPR

 

Quali sono i suoi compiti

Chi è il Data Protection Officer?

I compiti del DPO sono elencati nell’art. 39 del GDPR. Sostanzialmente il Responsabile della protezione dei dati deve:

  • informare, fornire consulenza al titolare del trattamento o al responsabile del trattamento in merito agli obblighi derivanti dal Regolamento, da altre disposizioni dell’Unione o degli Stati membri in merito alla protezione dei dati personali;
  • vigilare sull’osservanza del Regolamento svolgendo controlli per raccogliere informazioni sui trattamenti svolti, e per analizzare e verificare che i trattamenti siano conformi;
  • fornire, se richiesto, un parere in merito alla valutazione d’impatto sulla protezione dei dati e sorvegliarne lo svolgimento. A questo proposito, il DPO deve essere consultato dal titolare del trattamento su diverse tematiche: se condurre o meno una valutazione d’impatto; in merito alla metodologia adottare; se utilizzare risorse interne o esternalizzarla; in merito alle salvaguardie da applicare per attenuare il rischio per i diritti e le libertà degli interessati;
  • cooperare con l’autorità di controllo e fungere da punto di contatto per questioni relative al trattamento dei dati personali;
  • definire un ordine di priorità nell’attività svolta e deve concentrarsi sulle questioni che presentino maggiori rischi.

 

Quando è obbligatorio nominare un DPO

Chi è il Data Protection Officer?

La nomina del Responsabile della Protezione dei dati personali è obbligatoria in tre casi specifici:

  • se il trattamento è svolto da un’autorità pubblica o da un organismo pubblico ad eccezione delle autorità che esercitano funzioni giurisdizionali
  • se le attività principali del titolare o del responsabile consistono in trattamenti che richiedono il monitoraggio regolare e sistematico degli interessati su larga scala;
  • se le attività principali del titolare o del responsabile consistono nel trattamento su larga scala di categorie particolari di dati o di dati personali relativi a condanne penali e reati.

Fuori dai casi indicati, il titolare o il responsabile non ha l’obbligo di nominare il DPO. Tale nomina può essere anche volontaria e dovrà rispettare gli stessi requisiti di quella obbligatoria. Il Gruppo di Lavoro Articolo 29 raccomanda nelle sue linee guida ai titolari e responsabili di documentare le valutazioni compiute all’interno dell’azienda o dell’ente per stabilire se si applichi o meno l’obbligo di nomina di un RPD.

 

Il trattamento dei dati su larga scalaChi è il Data Protection Officer?

Esiste un dibattito intorno alla definizione di “trattamenti su larga scala”, un concetto che appare nel Regolamento quale requisito che fa scattare la nomina obbligatoria del DPO. Troviamo alcune precisazioni sul concetto nel considerando 91 del GDPR il quale specifica che i trattamenti su larga scala “mirano al trattamento di una notevole quantità di dati personali a livello regionale, nazionale o sovranazionale e che potrebbero incidere su un vasto numero di interessati e che potenzialmente presentano un rischio elevato”. D’altro canto, lo stesso considerando prevede in modo specifico che “il trattamento di dati personali non dovrebbe essere considerato un trattamento su larga scala qualora riguardi dati personali di pazienti o clienti da parte di un singolo medico, operatore sanitario o avvocato”.

Le Linee Guida sui Responsabili della protezione dei dati evidenziano come, fra tali estremi, si collochi un’ampia zona grigia e che in realtà risulta impossibile quantificare dei parametri numerici specifici in relazione alla quantità di dati oggetto di trattamento o il numero di interessati che rendano facile orientarsi in tutte le ipotesi possibili. Infatti, per colmare la predetta zona grigia creata dal considerando 91 (trattamento svolto dal singolo medico / trattamento di dati relativi a un’intera nazione o a livello europeo), nella definizione di “larga scala” il Gruppo di Lavoro Articolo 29 raccomanda di tenere conto, in particolare, dei seguenti fattori:

  • il numero di soggetti interessati dal trattamento, in termini assoluti ovvero espressi in percentuale della popolazione di riferimento;
  • il volume dei dati e/o le diverse tipologie di dati oggetto di trattamento;
  • la durata, ovvero la persistenza, dell’attività di trattamento;
  • la portata geografica dell’attività di trattamento.

Inoltre il Gruppo di Lavoro Articolo 29, per dare ulteriore chiarezza, fornisce esempi pratici di trattamenti su “larga scala”:

  • trattamento di dati relativi a pazienti svolto da un ospedale nell’ambito delle ordinarie attività;
  • trattamento di dati relativi agli spostamenti di utenti di un servizio di trasporto pubblico cittadino;
  • trattamento di dati di geolocalizzazione raccolti in tempo reale per finalità statistiche da un responsabile specializzato nella prestazione di servizi di questo tipo rispetto ai clienti di una catena internazionale di fast food;
  • trattamento di dati relativi alla clientela da parte di una compagnia assicurativa o di una banca nell’ambito delle ordinarie attività;
  • trattamento di dati personali da parte di un motore di ricerca per finalità di pubblicità comportamentale;
  • trattamento di dati (metadati, contenuti, ubicazione) da parte di fornitori di servizi telefonici o telematici;

ed esempi pratici di trattamenti non su “larga scala”:

  • trattamento di dati relativi a pazienti svolto da un singolo professionista sanitario;
  • trattamento di dati personali relativi a condanne penali e reati svolto da un singolo avvocato.

 

Conclusione

Colui che dovrà valutare l’obbligatorietà o meno della nomina DPO dovrà nel caso specifico conoscere la società e dimostrare di aver valutato nel complesso la mole dei dati personali trattati (persino gli utenti del sito internet in caso di utilizzo dei cookie di profilazione). Pertanto, il Titolare/Responsabile dovrà tenere traccia della motivazione che ha portato alla decisione di nominare o meno il DPO, con particolare attenzione a precisare se ci si trovi o meno in una delle ipotesi di nomina obbligatoria. La documentazione da produrre dovrà inoltre tenere conto di eventuali aggiornamenti, da includere qualora i titolari o i responsabili intraprendessero nuove attività o fornissero nuovi servizi. Vista la complessità della materia si consiglia al Titolare/ Responsabile di richiedere un parere ad un esperto in materia privacy.

Se ti è piaciuto l'articolo condividi:

Matteo Colombo

Socio Fondatore e Presidente dell’Associazione dei Data Protection Officer – ASSO DPO. Consulente d’impresa e formatore, esperto in materia privacy e lavoristica. Dopo un’esperienza di alcuni anni in una primaria multinazionale del settore Agenzie per il Lavoro quale Risk Manager e componente del Team ufficio legale, è socio fondatore di Labor Project Srl, azienda che da quindici anni opera nel campo della “compliance” in tema Privacy e 231/01 e di cui è a tutt’oggi l’Amministratore Delegato. A capo di un pool di tecnici, nel corso di questi anni ha seguito imprese private e pubbliche amministrazioni nell’adempimento del Testo Unico Privacy e GDPR. È DPO di alcune importanti società multinazionali. Relatore in molteplici eventi in tutta Italia sui temi Privacy e autore di diversi libri sul Regolamento (UE) Privacy. Esperto in materia di reati societari D.Lgs. 231/01 e componente di Organismi di Vigilanza. Relatore in molteplici eventi in tutta Italia sui temi Privacy e 231 e ideatore del progetto E-Learning “Master DPO”. CIPP/E: Certified Information Privacy Professional/Europe Socio Fondatore e Presidente dell’Associazione dei Data Protection Officer – ASSO DPO. Fondatore del gruppo Linkedin “ASSO DPO | Data Protection Officer”. Componente del Comitato Scientifico di Istituto Italiano Privacy Componente del gruppo di Esperti Italiani di Privacy Italia