Il nuovo Regolamento Europeo in materia di privacy (2016/679) ha introdotto la figura di un supervisore che, dotato spiccate conoscenze della normativa e della prassi in materia di privacy e di ampia autonomia (non risponde in caso di inosservanza del Regolamento), avrà il compito di monitorare e assistere il responsabile e il titolare nel trattamento e nella gestione dei dati.

La normativa indica le modalità di nomina del Data Protection Officer, specificando altresì i requisiti che il soggetto deve possedere ai fini della designazione.

Vengono stabiliti casi obbligatori in cui la figura deve essere necessariamente nominata: in ogni caso per pubbliche amministrazioni ed enti pubblici, in alcuni casi anche (o su base volontaria) nell’ambito privato.

Il DPO, oltre ad avere una sorta di ruolo responsabilizzante nell’effettuare i trattamenti, in quanto avrà tra i vari compiti quello di vigilare sull’osservanza del Regolamento, sarà anche una figura di raccordo tra i vari soggetti interessati dal trattamento che potranno contattarlo in modo agevole (interessati, autorità di controllo ecc…).

La nascita di questa nuova figura comporterà ulteriori oneri per il titolare e il responsabile del trattamento, in quanto, oltre a doverla designare, dovranno porre in essere ogni attività utile a consentirgli di svolgere i propri compiti: è necessario, dunque che mettano a disposizione tutte le risorse necessarie per un corretto svolgimento dell’attività da parte del DPO.

 

Requisiti per la nomina

Per quanto riguarda la nomina, questa viene effettuata direttamente dal titolare o dal responsabile del trattamento e il soggetto può essere designato o tra gli stessi dipendenti del titolare oppure può essere una figura esterna legata tramite un contratto di servizi.

E’ necessario (ex art. 37 comma 5: “Il responsabile della protezione dei dati è designato in funzione delle qualità professionali, in particolare della conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati, e della capacità di assolvere i compiti di cui all’articolo 39”), visto l’importante ruolo che dovrà andare a ricoprire, che il DPO sia una figura con una completa e approfondita preparazione in materia di privacy a livello europeo e nazionale e che sia idoneo a svolgere i compiti indicati dallo stesso RGPD (conoscenza di normative e prassi), per quanto il livello di conoscenze necessarie sia da relazionare con la tipologia e la complessità dei trattamenti per cui il DPO viene nominato.

Il Regolamento consente che il DPO svolga anche altre tipologie di attività lavorative, purchè queste non lo pongano in una posizione di conflitto d’interessi con la carica ricoperta.

E’ inoltre consentita, per un gruppo imprenditoriale, la nomina di un unico DPO, purché “facilmente raggiungibile da ciascuno stabilimento” (visto il suo ruolo di figura di contatto tra i vari soggetti).

Come anticipato, vi sono casi in cui la nomina del DPO dev’essere obbligatoria, ma ciò non toglie che, al di fuori di queste ipotesi, il titolare (o responsabile) del trattamento decida di nominarlo ugualmente per fornire una maggiore tutela agli interessati.

Il Regolamento impone la nomina del Data Protection Officer in tre casi:

– quando il trattamento è effettuato da un’autorità o un ente pubblico, a eccezione dei tribunali nell’esercizio di attività giudiziaria: il Regolamento non fornisce alcuna definizione di autorità od organismo pubblico, che sarà quindi da rinvenire nelle specifiche normative nazionali ed europee;

– quando le attività principali del titolare del trattamento consistono in operazioni che, vista la loro natura o finalità, richiedono un monitoraggio regolare e sistematico su larga scala delle persone interessate. Il Regolamento non riporta, tuttavia, un’esplicita definizione del concetto di “larga scala”, contenuto però nel considerando 91 dello stesso RGDP, che fornisce anche alcuni esempi di trattamento in larga scala (“trattamenti su larga scala, che mirano al trattamento di una notevole quantità di dati personali a livello regionale, nazionale o sovranazionale e che potrebbero incidere su un vasto numero di interessati e che potenzialmente presentano un rischio elevato”). D’altro canto, lo stesso considerando prevede in modo specifico che “Il trattamento di dati personali non dovrebbe essere considerato un trattamento su larga scala qualora riguardi dati personali di pazienti o clienti da parte di un singolo medico, operatore sanitario o avvocato”. Non è fornita dal Regolamento neppure una definizione di “monitoraggio regolare”, data anch’essa da un considerando (n. 24) che vi ricomprende le forme di tracciamento e profilazione su internet anche a fini pubblicitari (ma non solo nel mondo online);

– quando le attività principali del titolare consistono nel trattamento su larga scala di categorie speciali di dati come i dati sensibili o giudiziari.

 

Poteri

Il DPO, che ai sensi del RGPD riveste una posizione di vertice nella gerarchia delle figure privacy, dev’essere tempestivamente ed adeguatamente coinvolto in tutte le questioni che riguardano la protezione dei dati personali (ex art. 38).

Il Regolamento (art. 39) elenca anche i compiti di cui è investita questa figura e questi sono i principali:

– la vigilanza sulla corretta applicazione della normativa sulla protezione dei dati (informa e consiglia titolare e responsabile sugli obblighi derivanti dal Regolamento e ne verifica la regolare attuazione);

– la sovraintendenza nella valutazione d’impatto sulla protezione dei dati personali: il DPO eventualmente nominato affianca (art. 35 del GDPR) il titolare del trattamento ai fini della valutazione di impatto sulla protezione dei dati personali. La valutazione d’impatto riguarda ogni trattamento di dati personali che presenta rischi per i diritti e le libertà degli individui ed è necessaria prima di procedere allo stesso trattamento. E’ l’autorità di controllo a redigere una lista di trattamenti che devono essere soggetti a tale procedura (come ad esempio quelli, in larga scala, o i trattamenti automatizzati di profilazione);

– la cooperazione e la collaborazione con l’Autorità di Controllo e con le varie Autorità competenti (funge, ad esempio, da punto di contatto per il Garante sulla protezione dei dati personali);

– il controllo circa la documentazione, notificazione e comunicazione delle violazioni di dati personali.

E’ sicuramente da rimarcare come tutti questi compiti devono essere svolti nella piena indipendenza e autonomia, in quanto il DPO non deve e non può ricevere ordini e istruzioni da nessun soggetto.

 

Dott. Luigi Dinella

Ultimi aggiornamenti

spid cns azienda
La pandemia da Covid-19 è stata un fattore propulsivo di un processo che era già in progressivo e rapido avanzamento: l’avanzamento digitale dei servizi delle Pubbliche Amministrazioni è infatti un obiettivo a lungo perseguito dal legislatore, europeo ed italiano. L’auspicio è quello, fra tutti, di snellire […]
cookie policy generator iubenda privacy
Navigando in rete, è diventata sempre più alta la probabilità di imbattersi in siti web del tutto diversi fra loro – sia perché i gestori dei siti sono diversi, sia perché diversi sono i contenuti all’interno della pagina stessa – ma che hanno una Privacy & […]
e-commerce sanzioni direttiva omnibus
Il già ampio novero di strumenti legislativi previsti a tutela dei diritti dei consumatori (ed imposti agli eCommerce) è stato recentemente arricchito dall’entrata in vigore della Direttiva Omnibus (direttiva (UE) 2019/2161 che modifica la direttiva 93/13/CEE del Consiglio e le direttive 98/6/CE, 2005/29/CE e 2011/83/UE del […]

Iscriviti alla nostra newsletter

i nostri social

Guarda i nostri video e rimani aggiornato con notizie e guide

Lo sapevi che per continuare a fare Smart Working in azienda bisognerà adottare degli accorgimenti entro il 30 giugno?

Le modalità per fare marketing si sono evolute di pari passo alle norme in tema di privacy, questo porta ad un binomio complesso: lead generation e privacy. Come fare contatti rispettando però il GDPR?

Il marchio oggi non rappresenta meramente un simbolo identificativo, ma diviene uno degli elementi fondanti della brand identity di un’impresa. La registrazione è fondamentale per tutela e VALORE del tuo business.