DPO: incarichi, posizioni e prerogative della figura
18 Febbraio 2019
È innegabile: il GDPR è stato certamente uno degli argomenti maggiormente discussi nel 2018. Se avessimo indetto una gara, avrebbe avuto un posto sul podio assicurato.
Tra le novità principali del Regolamento spicca la figura del DPO o comunemente Responsabile della protezione dei dati, previsto dall’articolo 37 e seguenti.
L’introduzione della figura all’interno delle realtà aziendali genera spesso dubbi ed incertezze e proprio per questo noi di Mondo Privacy vogliamo fare chiarezza sulla posizione e i compiti principali che competono al DPO.
Il WP29 (ex organo consultivo indipendente dell’UE per la protezione dei dati personali) oltre che considerare la figura un elemento fondante ai fini della responsabilizzazione, ha ritenuto che la nomina del D.P.O. possa facilitare l’osservanza della normativa e aumentare il margine competitivo delle imprese.
DPO: Quando è necessario nominarlo
Quali sono le caratteristiche generali di questa professione, sempre più importante?
Innanzitutto, il Data Protection Officer ha la responsabilità di gestire il trattamento di dati personali all’interno di un’azienda, proprio per questo tra le prerogative fondamentali ci deve essere una approfondita conoscenza in ambito privacy, nonché delle norme e procedure amministrative che caratterizzano lo specifico settore di riferimento.
Andiamo per gradi. Anzitutto occorre verificare ai sensi dell’art. 37 se l’Organizzazione in questione abbia o meno l’obbligo di nomina del DPO: “Il titolare del trattamento e il responsabile del trattamento designano sistematicamente un responsabile della protezione dei dati ogniqualvolta:
- a) il trattamento è effettuato da un’autorità pubblica o da un organismo pubblico, eccettuate le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali;
- b) le attività principali del titolare del trattamento o del responsabile del trattamento consistono in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala; oppure
- c) le attività principali del titolare del trattamento o del responsabile del trattamento consistono nel trattamento, su larga scala, di categorie particolari di dati personali di cui all’articolo 9 o di dati relativi a condanne penali e a reati di cui all’articolo 10. “
Qualora il regolamento non imponga la designazione del DPO per la mancata sussistenza delle situazioni suddette, la designazione può avvenire anche su base volontaria.
DPO: I principali compiti
Una volta nominato, il DPO è incaricato a svolgere compiti specifici sanciti dall’art. 39 del GDPR che potremmo riassumere insieme in un elenco puntato:
- Sarà tenuto a sorvegliare l’osservanza del Regolamento Europeo e delle altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati. Questo si traduce nella raccolta di informazioni per individuare i trattamenti svolti, analisi e verifica dei trattamenti in termini di loro conformità e svolgimento di attività di informazione, consulenza e indirizzo nei confronti del Titolare o del responsabile nonché dei loro dipendenti;
- Dovrà fornire, se richiesto dal Titolare, un parere in merito alla valutazione d’impatto sulla protezione dei dati, in conformità al principio della “protezione dei dati fin dalla fase di progettazione o data protection by design”, che prevede la consultazione del DPO in fase di elaborazione della
- Dovrà facilitare l’accesso, da parte dell’autorità di controllo, ai documenti e alle informazioni che si ritengono necessari nonché ai fini dell’esercizio dei poteri di indagine, correttivi, autorizzativi e consultivi.
DPO: interno oppure esterno?
Sono stati molti gli enti che si sono chiesti: è preferibile nominare un DPO interno oppure esterno?
Una figura interna, conoscendo strumenti e processi aziendali, sarà agevolata nell’assolvimento dei propri compiti. D’altra parte, i requisiti richiesti al Responsabile caldeggiano la nomina di un soggetto esterno: solo una persona estranea all’Organizzazione è effettivamente in grado di agire in assenza di conflitti di interessi, di aggiornare di continuo la propria formazione in ambito privacy, di disporre di risorse e collaboratori che viceversa qualora fosse interno comporterebbero costi e oneri aggiuntivi per l’Azienda.
Per svolgere correttamente le mansioni suddette si richiede la sussistenza dei classici requisiti di autonomia e indipendenza in capo al Responsabile.
Qualora il D.P.O fosse interno, il titolare del trattamento e il responsabile dovranno assicurarsi che i compiti e le funzioni svolte non siano in conflitto di interessi.
Si richiede pertanto al D.P.O. interno di non esercitare ruoli che comportino la definizione delle finalità o modalità di trattamento di dati personali.
Non è ammessa la possibilità di rivestire il ruolo di Responsabile per l’amministratore delegato, il responsabile operativo, il responsabile sanitario, il responsabile IT e soprattutto per tutti i soggetti apicali dell’Organizzazione.
Sulla base delle informazioni esposte è possibile effettuare qualche considerazione in merito alla scelta del DPO.
Prerogative finali della figura
Per quanto concerne la posizione del DPO si segnala che la figura dovrà essere coinvolta in tutte le questioni riguardanti la protezione dei dati personali.
Inoltre, sarà tenuta ad avvalersi delle risorse necessarie per assolvere i compiti assegnatagli, per tali ragioni risulta doverosa la collaborazione e il supporto da parte del titolare e del responsabile del trattamento.
Tali “risorse” si concretizzano nella necessità di riservare del tempo per l’espletamento dei compiti affidati al DPO, disponibilità di risorse finanziarie, infrastrutture, personale, nonché in base alle dimensioni dell’azienda e la struttura, potrebbe presentarsi la necessità di costituire un ufficio o un gruppo di lavoro DPO.
Considerata la posizione e i compiti assegnati, si desume che il DPO è la figura preposta a promuovere la cultura dei dati personali e attuare i diritti degli interessati.