Il Data Protection Officer

Il nuovo Regolamento Europeo in materia di privacy (2016/679) ha introdotto la figura di un supervisore che, dotato spiccate conoscenze della normativa e della prassi in materia di privacy e di ampia autonomia (non risponde in caso di inosservanza del Regolamento), avrà il compito di monitorare e assistere il responsabile e il titolare nel trattamento e nella gestione dei dati.

La normativa indica le modalità di nomina del Data Protection Officer, specificando altresì i requisiti che il soggetto deve possedere ai fini della designazione.

Vengono stabiliti casi obbligatori in cui la figura deve essere necessariamente nominata: in ogni caso per pubbliche amministrazioni ed enti pubblici, in alcuni casi anche (o su base volontaria) nell’ambito privato.

Il DPO, oltre ad avere una sorta di ruolo responsabilizzante nell’effettuare i trattamenti, in quanto avrà tra i vari compiti quello di vigilare sull’osservanza del Regolamento, sarà anche una figura di raccordo tra i vari soggetti interessati dal trattamento che potranno contattarlo in modo agevole (interessati, autorità di controllo ecc…).

La nascita di questa nuova figura comporterà ulteriori oneri per il titolare e il responsabile del trattamento, in quanto, oltre a doverla designare, dovranno porre in essere ogni attività utile a consentirgli di svolgere i propri compiti: è necessario, dunque che mettano a disposizione tutte le risorse necessarie per un corretto svolgimento dell’attività da parte del DPO.

 

Requisiti per la nomina

Per quanto riguarda la nomina, questa viene effettuata direttamente dal titolare o dal responsabile del trattamento e il soggetto può essere designato o tra gli stessi dipendenti del titolare oppure può essere una figura esterna legata tramite un contratto di servizi.

E’ necessario (ex art. 37 comma 5: “Il responsabile della protezione dei dati è designato in funzione delle qualità professionali, in particolare della conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati, e della capacità di assolvere i compiti di cui all’articolo 39”), visto l’importante ruolo che dovrà andare a ricoprire, che il DPO sia una figura con una completa e approfondita preparazione in materia di privacy a livello europeo e nazionale e che sia idoneo a svolgere i compiti indicati dallo stesso RGPD (conoscenza di normative e prassi), per quanto il livello di conoscenze necessarie sia da relazionare con la tipologia e la complessità dei trattamenti per cui il DPO viene nominato.

Il Regolamento consente che il DPO svolga anche altre tipologie di attività lavorative, purchè queste non lo pongano in una posizione di conflitto d’interessi con la carica ricoperta.

E’ inoltre consentita, per un gruppo imprenditoriale, la nomina di un unico DPO, purché “facilmente raggiungibile da ciascuno stabilimento” (visto il suo ruolo di figura di contatto tra i vari soggetti).

Come anticipato, vi sono casi in cui la nomina del DPO dev’essere obbligatoria, ma ciò non toglie che, al di fuori di queste ipotesi, il titolare (o responsabile) del trattamento decida di nominarlo ugualmente per fornire una maggiore tutela agli interessati.

Il Regolamento impone la nomina del Data Protection Officer in tre casi:

– quando il trattamento è effettuato da un’autorità o un ente pubblico, a eccezione dei tribunali nell’esercizio di attività giudiziaria: il Regolamento non fornisce alcuna definizione di autorità od organismo pubblico, che sarà quindi da rinvenire nelle specifiche normative nazionali ed europee;

– quando le attività principali del titolare del trattamento consistono in operazioni che, vista la loro natura o finalità, richiedono un monitoraggio regolare e sistematico su larga scala delle persone interessate. Il Regolamento non riporta, tuttavia, un’esplicita definizione del concetto di “larga scala”, contenuto però nel considerando 91 dello stesso RGDP, che fornisce anche alcuni esempi di trattamento in larga scala (“trattamenti su larga scala, che mirano al trattamento di una notevole quantità di dati personali a livello regionale, nazionale o sovranazionale e che potrebbero incidere su un vasto numero di interessati e che potenzialmente presentano un rischio elevato”). D’altro canto, lo stesso considerando prevede in modo specifico che “Il trattamento di dati personali non dovrebbe essere considerato un trattamento su larga scala qualora riguardi dati personali di pazienti o clienti da parte di un singolo medico, operatore sanitario o avvocato”. Non è fornita dal Regolamento neppure una definizione di “monitoraggio regolare”, data anch’essa da un considerando (n. 24) che vi ricomprende le forme di tracciamento e profilazione su internet anche a fini pubblicitari (ma non solo nel mondo online);

– quando le attività principali del titolare consistono nel trattamento su larga scala di categorie speciali di dati come i dati sensibili o giudiziari.

 

Poteri

Il DPO, che ai sensi del RGPD riveste una posizione di vertice nella gerarchia delle figure privacy, dev’essere tempestivamente ed adeguatamente coinvolto in tutte le questioni che riguardano la protezione dei dati personali (ex art. 38).

Il Regolamento (art. 39) elenca anche i compiti di cui è investita questa figura e questi sono i principali:

– la vigilanza sulla corretta applicazione della normativa sulla protezione dei dati (informa e consiglia titolare e responsabile sugli obblighi derivanti dal Regolamento e ne verifica la regolare attuazione);

– la sovraintendenza nella valutazione d’impatto sulla protezione dei dati personali: il DPO eventualmente nominato affianca (art. 35 del GDPR) il titolare del trattamento ai fini della valutazione di impatto sulla protezione dei dati personali. La valutazione d’impatto riguarda ogni trattamento di dati personali che presenta rischi per i diritti e le libertà degli individui ed è necessaria prima di procedere allo stesso trattamento. E’ l’autorità di controllo a redigere una lista di trattamenti che devono essere soggetti a tale procedura (come ad esempio quelli, in larga scala, o i trattamenti automatizzati di profilazione);

– la cooperazione e la collaborazione con l’Autorità di Controllo e con le varie Autorità competenti (funge, ad esempio, da punto di contatto per il Garante sulla protezione dei dati personali);

– il controllo circa la documentazione, notificazione e comunicazione delle violazioni di dati personali.

E’ sicuramente da rimarcare come tutti questi compiti devono essere svolti nella piena indipendenza e autonomia, in quanto il DPO non deve e non può ricevere ordini e istruzioni da nessun soggetto.

 

Dott. Luigi Dinella

FocusNewsNormativaPrivacy e sicurezza Informatica
luglio 14, 2017
privacy
logo fclex nero

Scopri anche

intelligenza artificiale settimana lavorativa

Rivoluzione Lavorativa: Intelligenza Artificiale e Settimana da 4 Giorni – Implicazioni Giuridiche

28 Mar
Leggi tutto
linee guida agcom influencer

Nuove Linee guida AGCOM per Influencer e Content Creator: Criticità, multe e sfide nel Contesto Giuridico

17 Gen
Leggi tutto
ecommerce sanzioni direttiva omnibus 2023 omnibus

Nuovi obblighi per gli eCommerce: maggiori responsabilità per le imprese e tutele per i consumatori

14 Apr
Leggi tutto
recesso contratto clausola ecommerce limite

Diritto di recesso dal contratto: limiti e clausola di recesso

6 Apr
Leggi tutto
COME REGISTRARE MARCHIO

Come registrare un marchio? Le 5 domande più frequenti

29 Mar
Leggi tutto
guadagnare con marchio e licenza

Licensing e modelli di Business: 5 licenze per monetizzare il tuo marchio

18 Gen
Leggi tutto

Ultimi aggiornamenti

password garante

Linee guida del Garante Privacy in materia di Funzioni Crittografiche e Conservazione delle Password

Con il provvedimento n. 9962283 del 7 dicembre 2023, il Garante per la Protezione dei Dati Personali e l’Agenzia per la cybersicurezza nazionale (ACN) hanno emanato alcune Linee Guida in materia “Funzioni Crittografiche e Conservazione delle Password”. Successivamente, con un comunicato del 1° marzo 2024, il […]
aprile 4, 2024
Leggi tutto
intelligenza artificiale settimana lavorativa

Rivoluzione Lavorativa: Intelligenza Artificiale e Settimana da 4 Giorni – Implicazioni Giuridiche

Avv. Giuseppe Croari – Dott.ssa Francesca Gattarello Ad oggi sono notoriamente risaputi i vantaggi che l’intelligenza artificiale ha apportato anche nel mondo del lavoro (a tal proposito vi segnaliamo questo articolo). A ciò si aggiunga la maggiore consapevolezza che la società ha acquisito, negli ultimi anni, […]
marzo 28, 2024
Leggi tutto
contratto vendere webinar

Il Contratto come strumento per vendere di più

Hai mai pensato al tuo contratto come a un’arma segreta per il successo? Probabilmente no. La maggior parte delle persone considera il contratto come un ostacolo burocratico, un documento noioso e pieno di “legalese” incomprensibile. Ma se ti dicessi che il tuo contratto può essere molto […]
marzo 15, 2024
Leggi tutto

Iscriviti alla nostra newsletter

i nostri social

Guarda i nostri video e rimani aggiornato con notizie e guide

Lo sapevi che per continuare a fare Smart Working in azienda bisognerà adottare degli accorgimenti entro il 30 giugno?

Le modalità per fare marketing si sono evolute di pari passo alle norme in tema di privacy, questo porta ad un binomio complesso: lead generation e privacy. Come fare contatti rispettando però il GDPR?

Il marchio oggi non rappresenta meramente un simbolo identificativo, ma diviene uno degli elementi fondanti della brand identity di un’impresa. La registrazione è fondamentale per tutela e VALORE del tuo business.

scopri altri video

Dirittodellinformatica.it è rivista telematica registrata il 08.04.2008 presso il Tribunale di Foggia (n. 10/08 registro periodici, cron. n. 816/08). Proprietari del sito: Gianluigi Fioriglio e Giuseppe Croari. Direttore responsabile: Gerardo Antonio Cavaliere. P.I. Studio Legale Associato Fioriglio-Croari: 02863681207.

Il contenuto del sito è sottoposto a licenza Creative Commons (Attribuzione-Non commerciale-Non opere derivate 3.0 Unported). E' possibile riprodurre, distribuire, comunicare al pubblico, esporre in pubblico, rappresentare, eseguire e recitare il contenuto del sito purché sia attribuita esplicitamente la paternità di ogni sua singola parte; non sono consentiti utilizzi per fini commerciali, nè alterazioni o trasformazioni del contenuto del sito.

© 2024 dirittodellinformatica.it