DPO cosa significa la sigla e i compiti del Data Protection Officer
DPO cosa significa la sigla, chi è e di che cosa si occupa – La figura del DPO (Data Protection Officer) o, in italiano, RPD (Responsabile Protezione dei Dati) è l’evoluzione del Privacy Officer della direttiva privacy precedentemente in vigore.
Il distacco si concentra nell’individuazione di particolari poteri e compiti e nella obbligatorietà della sua designazione per alcuni casi specifici, a differenza di quanto era previsto in precedenza con una generica possibilità di individuare un soggetto indipendente da cui derivavano semplificazioni ed esenzioni.
Con l’approvazione del GDPR nel 2016 c’era particolare fermento nell’ambiente privacy. Era sorto un nuovo quadro di riferimento in termini di compliance per la Data Protection, rinnovato e fondato sul principio di responsabilizzazione (accountability). Quadro ove i DPO ne erano e sono il centro, chiamati a facilitare l’osservanza delle disposizioni del GDPR.
Chi è il DPO cosa significa la sigla?
Il DPO è dunque una figura ibrida che riveste diversi ruoli fondamentali nella Data Protection: è un forma di consulente tecnico-legale che collabora e consiglia il Titolare del Trattamento (l’azienda o ente pubblico che tratti dati) negli adempimenti privacy e su come trattare al meglio i dati personali. Viene coinvolto nella redazione di particolari analisi tecniche (DPIA), assolve a funzioni formative e informative;,veglia sul rispetto del GDPR e si fa tramite coll’Autorità Garante per la protezione dei dati personali e coi soggetti interessati.
Lo stesso WP29 (il gruppo di lavoro sulla tutela delle persone fisiche con riguardo al trattamento di dati personali) ha sostenuto nel documento WP243 che “questa figura rappresenti un elemento fondante ai fini della responsabilizzazione, e che la nomina del RPD possa facilitare l’osservanza della normativa e aumentare il margine competitivo delle imprese. Oltre a favorire l’osservanza attraverso strumenti di accountability (per esempio, supportando valutazioni di impatto e conducendo o supportando audit in materia di protezione dei dati), i RPD fungono da interfaccia fra i soggetti coinvolti: autorità di controllo, interessati, divisioni operative all’interno di un’azienda o di un ente.”
Quali sono i requisiti del DPO?
Il GDPR non stabilisce specifiche attestazioni formali o iscrizione ad appositi albi; tuttavia, individua rigorosamente alcuni requisiti, tra i quali un’approfondita conoscenza della normativa e delle prassi in materia di protezione dei dati personali, nonché delle norme e delle procedure amministrative che caratterizzano lo specifico settore di riferimento. A conferma di ciò la sentenza n. 287/2018 del 13 settembre 2018 del TAR per il Friuli-Venezia Giulia ove si è precisato che il profilo del DPO è eminentemente giuridico.
Inoltre, come sintetizza l’Autorità Garante italiana nelle proprie FAQ “Deve poter offrire, con il grado di professionalità adeguato alla complessità del compito da svolgere, la consulenza necessaria per progettare, verificare e mantenere un sistema di gestione dei dati personali, coadiuvando il titolare o il responsabile del trattamento nell’adozione di un complesso di misure organizzative (anche di sicurezza) e garanzie adeguate al contesto in cui è chiamato a operare. Deve inoltre agire in piena indipendenza (considerando 97 del RGPD) e autonomia, senza ricevere istruzioni in ordine all’esecuzione dei menzionati compiti e riferendo direttamente ai vertici del titolare o del responsabile del trattamento (art. 38, par. 3 del RGPD).”
DPO Interno o DPO esterno?
Proprio il requisito dell’indipendenza ha fatto propendere molti enti pubblici e privati ad individuare il proprio DPO in società esterne che riescano a garantire il più elevato livello di imparzialità ed autonomia unito a specifiche competenze tecniche.
La normativa lascia la possibilità di nominare tale figura anche tra soggetti interni all’ente, che sicuramente hanno una conoscenza approfondita e diretta della realtà in cui dovranno operare ma che, a livello pratico, difficilmente riescono a rispettare a pieno i requisiti richiesti dalla normativa.
Hai bisogno di maggiori informazioni per la tua azienda? Contattaci!
Quando il DPO è obbligatorio?
“Anche ove il regolamento non imponga in modo specifico la designazione di un RPD, può risultare utile procedere a tale designazione su base volontaria. Il Gruppo di lavoro “Articolo 29” (Gruppo di lavoro) incoraggia gli approcci di questo genere.”, così il WP29 nel documento WP243.
Però bisogna precisare che la nomina del DPO è obbligatoria ogniqualvolta (art.37, par.1 GDPR):
- il trattamento è effettuato da un’autorità pubblica o da un organismo pubblico, eccettuate le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali;
- le attività principali del titolare del trattamento o del responsabile del trattamento consistono in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala; oppure
- le attività principali del titolare del trattamento o del responsabile del trattamento consistono nel trattamento, su larga scala, di categorie particolari di dati personali di cui all’articolo 9 o di dati relativi a condanne penali e a reati di cui all’articolo 10.
I casi b) e c) sono sicuramenti i casi che necessitano di maggiori approfondimenti, in particolare riguardo ai concetti di attività principali e larga scala.
A riguardo l’Autorità Garante italiana ha fornito diverse precisazioni, ma di grande supporto rimangono le linee guida del WP29 nel documento WP247 che rispettivamente sottolineano quanto segue:
“Con “attività principali” si possono intendere le operazioni essenziali che sono necessarie al raggiungimento degli obiettivi perseguiti dal titolare del trattamento o dal responsabile del trattamento, comprese tutte quelle attività per le quali il trattamento dei dati è inscindibilmente connesso all’attività del titolare del trattamento o del responsabile del trattamento. Per esempio, il trattamento di dati relativi alla salute (come le cartelle sanitarie dei pazienti) è da ritenersi una delle attività principali di qualsiasi ospedale; ne deriva che tutti gli ospedali dovranno designare un RPD.”
“Il regolamento non definisce cosa rappresenti un trattamento “su larga scala”. Il Gruppo di lavoro raccomanda di tenere conto, in particolare, dei fattori qui elencati al fine di stabilire se un trattamento sia effettuato su larga scala:
- il numero di soggetti interessati dal trattamento, in termini assoluti ovvero espressi in percentuale della popolazione di riferimento;
- il volume dei dati e/o le diverse tipologie di dati oggetto di trattamento;
- la durata, ovvero la persistenza, dell’attività di trattamento;
- la portata geografica dell’attività di trattamento.”
