
DPO: FACCIAMO LUCE
14 Gennaio 2018
Il Garante della privacy ha pubblicato nuove FAQ sul DPO – Responsabile della protezione dei dati, da leggere in aggiunta alle linee guida adottate dal Gruppo Art. 29.
DPO: Quale ente pubblico deve nominarlo?
Il Regolamento Europeo stabilisce che i Titolari e i Responsabili del trattamento designino un DPO quando il trattamento è effettuato da un’autorità pubblica o da un organismo pubblico; non sono comprese le autorità giurisdizionali quando esercitano le loro funzioni.
Il Regolamento non fornisce però la definizione di “autorità pubblica” o “organismo pubblico”, ma lascia che sia il diritto nazionale ad individuarli; devono ritenersi tenuti alla designazione i soggetti ai sensi degli artt. 18 – 22 del Codice:
- le amministrazioni dello Stato, anche con ordinamento autonomo,
- gli enti pubblici non economici nazionali, regionali e locali,
- le Regioni e gli enti locali,
- le università,
- le Camere di commercio, industria, artigianato e agricoltura,
- le aziende del Servizio sanitario nazionale,
- le autorità indipendenti ecc.
La nomina poi è fortemente raccomandata per i soggetti privati che esercitino funzioni pubbliche (in qualità, ad esempio, di concessionari di servizi pubblici). Nel caso in cui si procedesse con una nomina, si applicherebbero gli stessi requisiti che valgono per i DPO designati su base obbligatoria.
Qualifiche del DPO Interno
Il GDPR non fornisce indicazioni specifiche al riguardo, ma è innanzitutto opportuno valutare se i compiti assegnati al DPO siano compatibili con le mansioni ordinarie affidate.
L’art. 38, infatti, fissa alcune garanzie essenziali per consentire ai DPO di operare con sufficiente autonomia: in particolare, occorre assicurare che “non riceva alcuna istruzione per quanto riguarda l’esecuzione di tali compiti“.
Come chiarito nelle Linee guida, ciò significa che «il DPO non deve ricevere istruzioni sull’approccio da seguire nel caso specifico, né deve ricevere istruzioni sull’interpretazione da dare a una specifica questione attinente alla normativa in materia di protezione dei dati».
Inoltre, il DPO «riferisce direttamente al vertice gerarchico del titolare o del responsabile del trattamento».
Ciò detto, nel caso in cui si opti per un Data Protection interno, sarebbe quindi preferibile che, ove la struttura organizzativa lo consenta e tenendo conto della complessità dei trattamenti, la nomina sia conferita a un dirigente o a un funzionario di alta professionalità, che possa svolgere le proprie funzioni in autonomia e indipendenza, oltre che in collaborazione diretta con il vertice dell’organizzazione.
DPO: Come deve essere nominato
Se la scelta ricadesse su un professionista interno all’ente, servirebbe formalizzare un apposito atto di designazione a “Responsabile per la protezione dei dati”. Qualora invece, si ricorresse a soggetti esterni all’ente, la designazione costituirà parte integrante del contratto di servizi.
Indipendentemente dalla natura e dalla forma dell’atto scelto, è necessario che nello stesso sia individuato:
· il soggetto che opererà come DPO,
· i compiti (eventualmente anche ulteriori a quelli previsti dall’art. 39 del GDPR),
· le funzioni che questi sarà chiamato a svolgere.
Nell’atto di designazione devono risultare anche le motivazioni che hanno portato alla nomina della persona fisica selezionata, così da consentire la verifica del rispetto dei requisiti previsti dal GDPR.
Una volta individuato il DPO, il titolare o il responsabile del trattamento è tenuto a indicare, nell’informativa fornita agli interessati, i suoi dati di contatto, pubblicando gli stessi anche sul proprio sito internet e a comunicarli al Garante.
Se c’è un DPO interno serve un apposito ufficio?
Secondo l’art. 38, par. 2, «il titolare e del trattamento e il responsabile del trattamento sostengono il responsabile della protezione dei dati nell’esecuzione dei compiti di cui all’articolo 39 fornendogli le risorse necessarie per assolvere tali compiti».
Come riportato anche nelle Linee guida, «in linea di principio, quanto più aumentano complessità e/o sensibilità dei trattamenti, tanto maggiori devono essere le risorse messe a disposizione del DPO». Ne deriva che occorrerà valutare se una sola persona possa essere sufficiente a svolgere tutti i compiti affidati al DPO: si potrà così valutare se istituire un apposito ufficio.
Si può avere più di un DPO?
L’unicità della figura del DPO è una condizione necessaria per evitare sovrapposizioni o incertezze sulle responsabilità: occorre quindi che questa sia sempre assicurata.
Nulla impedisce, invece, che siano individuate più figure di supporto, rispetto per esempio a settori o ambiti territoriali diversi, anche dislocate su diverse articolazioni organizzative dell’amministrazione, che facciano però riferimento a un unico soggetto responsabile.
Infatti, considerando l’eterogeneità dei trattamenti di dati personali effettuati, ma anche la complessità della struttura organizzativa di un ente, può risultare opportuno individuare specifici “referenti” che potrebbero svolgere un ruolo di supporto e raccordo, sulla base di precise istruzioni del DPO.
DPO: Quali ulteriori compiti possiamo assegnargli?
Il Regolamento Europeo consente l’assegnazione al DPO di ulteriori compiti e funzioni, purché non generino un conflitto di interessi e che gli consentano di avere a disposizione il tempo sufficiente per l’adempimento dei compiti obbligatori.
E’ quindi ragionevole che negli enti pubblici di grandi dimensioni, con trattamenti di dati personali particolarmente sensibili e complessi, non vengano assegnate al DPO ulteriori responsabilità: tale attribuzione potrebbe rischiare di creare un cumulo di impegni tali da compromettere l’effettività dello svolgimento dei compiti obbligatori del DPO.
Fonte [Garante Privacy]