Una delle novità del Regolamento UE 2016/679 è l’introduzione della nuova figura del Data Protection Officer, ossia Responsabile della Protezione dei Dati, ovvero l’anello di collegamento tra l’azienda ed il Garante in tema di trattamento e protezione dei dati.
Quindi, le aziende, entro il 25 maggio 2018, cosa devono fare per essere in linea con le nuove regole europee?
Ecco i passi, punto per punto:
NOMINA – Sono obbligatoriamente tenuti alla designazione del DPO le aziende, sia pubbliche (ad eccezione delle autorità giudiziarie) che private, se nelle loro attività principali trattano su larga scala dati sensibili, relativi alla salute o alla vita sessuale, genetici, giudiziari e biometrici (dati personali che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni filosofiche o religiose, o l’appartenenza sindacale, oltre al trattamento di dati genetici, dati biometrici al fine dell’identificazione univoca di una persona fisica, e di dati relativi alla salute, alla vita sessuale o all’orientamento sessuale di una persona fisica) o dati relativi a condanne penali e a reati, oppure se svolgano attività in cui i trattamenti richiedono il controllo regolare e sistematico degli interessati, devono nominare il Data Protection Officer (Dpo). Qualora si trattasse di gruppi di impresa, è sufficiente nominare un unico responsabile.
Il concetto di ‘larga scala’. In base all’articolo 37, paragrafo 1, lettere b) e c) del RGPD, occorre che il trattamento di dati personali avvenga su ‘larga scala’ per far scattare l’obbligo di nomina di un RPD. E’ chiaro che il concetto di ‘larga scala’, del tutto generico e privo di riferimento numerico o comunque oggettivo, mostra il fianco a dubbi, dissidi ed interpretazioni. Tali trattamenti devono intendersi come quelli che mirano al trattamento di una notevole quantità di dati personali a livello regionale, nazionale o sovranazionale e che potrebbero incidere su un vasto numero di interessati e che potenzialmente presentano un rischio elevato.
Si deve, in ogni caso, tener conto dei seguenti fattori al fine di stabilire se un trattamento sia effettuato su larga scala: il numero di soggetti interessati dal trattamento, in termini assoluti ovvero espressi in percentuale della popolazione di riferimento; il volume dei dati e/o le diverse tipologie di dati oggetto di trattamento; la durata, ovvero la persistenza, dell’attività di trattamento; la portata geografica dell’attività di trattamento.
Il ‘monitoraggio regolare e sistematico’. Rientrano poi, nel concetto di “Monitoraggio regolare e sistematico” senza dubbio tutte le forme di tracciamento e profilazione su Internet anche per finalità di pubblicità comportamentale. E’ stato, infatti, chiarito che per stabilire se un’attività di trattamento sia assimilabile al controllo del comportamento dell’interessato, è opportuno verificare se le persone fisiche sono tracciate su internet, compreso l’eventuale ricorso successivo a tecniche di trattamento dei dati personali che consistono nella profilazione della persona fisica, in particolare per adottare decisioni che la riguardano o analizzarne o prevederne le preferenze, i comportamenti e le posizioni personali. Tuttavia, occorre evidenziare che il tracciamento on line è solo uno dei possibili casi di monitoraggio.
L’aggettivo “regolare” ha almeno uno dei seguenti significati: che avviene in modo continuo ovvero a intervalli definiti per un arco di tempo definito; ricorrente o ripetuto a intervalli costanti; che avviene in modo costante o a intervalli periodici. L’aggettivo “sistematico” ha almeno uno dei seguenti significati: che avviene per sistema; predeterminato, organizzato o metodico; che ha luogo nell’ambito di un progetto complessivo di raccolta di dati; svolto nell’ambito di una strategia.
A titolo esemplificativo e non esaustivo, sono state individuate le seguenti categorie di soggetti certamente tenuti alla nomina di un DPO: istituti di credito; imprese assicurative; sistemi di informazione creditizia; società finanziarie; società di informazioni commerciali; società di revisione contabile; società di recupero crediti; istituti di vigilanza; partiti e movimenti politici; sindacati; caf e patronati; società operanti nel settore delle “utilities” (telecomunicazioni, distribuzione di energia elettrica o gas); imprese di somministrazione di lavoro e ricerca del personale; società operanti nel settore della cura della salute, della prevenzione/diagnostica sanitaria quali ospedali privati, terme, laboratori di analisi mediche e centri di riabilitazione; società di call center; società che forniscono servizi informatici; società che erogano servizi televisivi a pagamento.
In tutti gli altri casi, la designazione del responsabile del trattamento non è obbligatoria. Ad esempio, in relazione a trattamenti effettuati da liberi professionisti operanti in forma individuale; agenti, rappresentanti e mediatori operanti non su larga scala; imprese individuali o familiari; piccole e medie imprese, con riferimento ai trattamenti dei dati personali connessi alla gestione corrente dei rapporti con fornitori e dipendenti.
Nulla vieta, anche a chi non cade nell'obbligo di legge, di avvalersi di tale figura, la sua designazione rimane una pratica fortemente raccomandata, in ossequio al principio di accountability che permea l’intero GDPR, e che sarà sicuramente positivamente considerata, quale misura di responsabilizzazione da parte del titolare e del responsabile, e sempre che tale nomina non sia meramente formale, ma risponda ai criteri e principi già richiamati per il caso di nomina obbligatoria.
E’ altresì possibile che un gruppo imprenditoriale possa designare un unico responsabile della protezione dei dati personali, purché sia facilmente raggiungibile da ciascuno stabilimento ed in grado di comunicare in modo efficace con gli interessati e di collaborare con le autorità di controllo.
Il ruolo di responsabile della protezione dei dati personali può essere ricoperto da un dipendente del titolare o del responsabile, che non si trovi in conflitto di interessi e che conosca la realtà operativa in cui avvengono i trattamenti; l’incarico può essere anche affidato a soggetti esterni, a condizione che garantiscano l’effettivo assolvimento dei compiti fissati dal GDPR.
Il responsabile della protezione dei dati scelto all’interno andrà nominato mediante specifico atto di designazione, mentre quello scelto all’esterno, che dovrà avere le medesime prerogative e tutele di quello interno, dovrà operare in base a un contratto di servizi. L’atto di nomina dovrà, in entrambi i casi, essere redatto per iscritto. Il titolare o il responsabile dovranno, in tale atto, indicare espressamente i compiti attribuiti, le risorse assegnate per il loro svolgimento, nonché ogni altra utile informazione in rapporto al contesto di riferimento.
Il DPO, interno o esterno che sia, dovrà ricevere supporto adeguato in termini di risorse finanziarie, infrastrutturali e, ove opportuno, di personale.
Occorre, a questo punto, precisare un concetto fondamentale: la nomina del DPO è in molti casi un obbligo di legge, in altri casi una misura di compliance. In ogni caso, essa non è una misura utile a sollevare il titolare dalle proprie responsabilità. Ed infatti, i titolari o i responsabili del trattamento che abbiano provveduto alla nomina del DPO, rimangono comunque pienamente responsabili dell’osservanza della normativa e devono essere in grado di dimostrare le misure e procedure poste in essere per la sua piena attuazione.
Effettuata la nomina, il nominativo del DPO ed i relativi dati di contatto vanno comunicati all’Autorità di controllo. Il Garante ha predisposto una specifica procedura da utilizzare, che sarà pronta a breve: raccomanda sulla sua pagina, alla data in cui si scrive, di attendere che sia pronta la procedura telematica prima di procedere alla comunicazione.
Il soggetto individuato come DPO può ricoprire anche altri incarichi all’interno della struttura aziendale, a condizione che non sia in conflitto di interessi. Proprio per questo motivo, il Garante ha precisato che sarebbe preferibile evitare di assegnare il ruolo di DPO a soggetti con incarichi di alta direzione (amministratore delegato, membro del consiglio di amministrazione, direttore generale, etc.), ovvero nell’ambito di strutture aventi potere decisionale in ordine alle finalità e alle modalità del trattamento (direzione risorse umane, direzione marketing, direzione finanziaria, responsabile IT, etc.).
Nelle strutture organizzative di medie e grandi dimensioni, il responsabile della protezione dei dati personali, da individuarsi comunque in una persona fisica nel caso sia un dipendente, potrà essere supportato anche da un apposito ufficio dotato delle competenze necessarie ai fini dell’assolvimento dei propri compiti.
Qualora il responsabile della protezione dei dati personali sia individuato in un soggetto esterno, quest’ultimo potrà essere anche una persona giuridica. In ogni caso, è opportuno procedere a una chiara ripartizione di competenze, individuando una sola persona fisica quale punto di contatto con gli interessati ed il Garante.
Il Dpo deve essere designato dal titolare o dal responsabile del trattamento.
COMPITI – Il Dpo assolve a funzioni di supporto e controllo, nonché consultive, formative e informative, relativamente all’applicazione del GDPR. Coopera con l’Autorità Garante e, nel contempo, è il punto di contatto per tutte le questioni connesse al trattamento dei dati personali, anche nei confronti degli interessati. Egli deve: I) prestare consulenza al responsabile del trattamento da lui preposto, nonché i dipendenti, in merito agli obblighi derivanti dal Regolamento Europeo e dalle altre disposizioni dell'UE o delle normative locali degli Stati membri relative alla protezione dei dati. II) verificare che la normativa vigente e le policy interne del titolare siano conformi a dette norme, attuate ed applicate III) occuparsi della formazione dei dipendenti in tema privacy; IV) fornire pareri in merito alla valutazione d'impatto sulla protezione dei dati, sorvegliandone poi i relativi adempimenti.
Il Dpo è l’unico preposto a dialogare con il Garante della Privacy e con gli interessati, che possono rivolgersi a lui anche per l'esercizio dei loro diritti.
E' consentito assegnare al DPO ulteriori compiti e funzioni, a patto che ciò non sia di ostacolo ai compiti ex art.39 del Regolamento Europeo a lui specificatamente assegnati.
COMPETENZE – Il Dpo possiede una conoscenza specialistica della normativa e delle prassi di gestione dei dati personali, e deve essere in grado di adempiere alle proprie funzioni in piena indipendenza e in assenza di conflitti di interesse, operando come dipendente o come consulente. Deve inoltre avere a disposizione risorse umane e finanziarie necessarie all'adempimento dei suoi compiti.
CERTIFICAZIONI - Allo stato attuale, non esistono titoli abilitanti o attestati formali che determinano l'idoneità o meno a ricoprire la carica di Dpo. Pur tuttavia eventuali certificazioni, se pur non obbligatorie, possono incidere sulla scelta da parte dell’azienda, in quanto comunque attestanti un percorso formativo e di crescita in detta area.
Fonte: Garante Privacy