RUOLO, FUNZIONI E COMPETENZE DEL DPO

Tra le maggiori novità del Regolamento Europeo n.2016/679, sulla protezione dei dati personali, rientra sicuramente la previsione del Data Protection Officer (DPO), altrimenti detto responsabile della protezione dei dati.

Figura strategica che funge da raccordo fra il titolare ed il responsabile del trattamento dei dati da  un lato e l’Autorità Garante per la Protezione dei Dati dall’altro, assume una serie di  competenze plurime e complesse, che  sono ancora in fase di definitivo chiarimento da parte degli organi comunitari.

Il DPO è un professionista di livello elevato che non solo deve conoscere in modo approfondito la normativa di settore, ma che deve altresì possedere qualità manageriali – organizzative ed una buona conoscenza delle nuove tecnologie.
Egli non deve ricevere istruzioni e deve riferire direttamente ai vertici e deve poter disporre di risorse (personale, locali, attrezzature, ecc.) necessarie per l’espletamento dei propri compiti.

Il ruolo di DPO può essere svolto da un dipendente del titolare  o del responsabile del trattamento, solo a determinate condizioni, oppure da un  libero professionista con i requisiti contemplati dalle norme, incaricato sulla base di un contratto di servizi.

Risultati immagini per DPO

DPO ESTERNO ALL’AZIENDA: MAGGIORI GARANZIE?

Il Garante per la Protezione dei dati ha chiarito che il DPO deve essere soggetto non in conflitto di interessi e perciò godere di autonomia decisionale. Quindi, se è coperta da una risorsa interna all’azienda è preferibile evitare di assegnare il ruolo di responsabile della protezione dei dati personali a soggetti con incarichi di alta direzione (amministratore delegato; membro del consiglio di amministrazione; direttore generale; ecc.), ovvero a chi ricopre ruoli nell’ambito di strutture aventi potere decisionale in ordine alle finalità e alle modalità del trattamento (direzione risorse umane, direzione marketing, direzione finanziaria, responsabile IT ecc.).

Ne consegue che  un DPO esterno all’azienda è in grado di assicurare, almeno astrattamente, quella piena indipendenza richiesta dalla norma (cfr. considerando 97 del Regolamento UE 2016/679) e autonomia, e perciò pare offrire maggiori garanzie alla realtà aziendale.

QUANDO DEVE ESSER NOMINATO IL DPO

L’art. 37 del Regolamento sulla protezione dei dati personali (n. 2016/679), prevede le casistiche per cui si rende necessaria la nomina di un DPO, nonché le situazioni in cui la nomina è consigliata ma non obbligatoria. In sintesi la nomina del DPO è adempimento obbligatorio quando il titolare del trattamento:

a) è autorità/organismo pubblico (con alcune eccezioni legate alle funzioni giurisdizionali);

b) effettua trattamenti che richiedono il monitoraggio regolare e sistematico degli interessati su larga scala;

c) effettua come attività principali trattamenti su larga scala di dati sensibili, genetici, biometrici, giudiziari.

 

Il Garante per la protezione dati ha chiarito che in ambito privato:

“Sono tenuti alla designazione del responsabile della protezione dei dati personali il titolare e il responsabile del trattamento che rientrino nei casi previsti dall’art. 37, par. 1, lett. b) e c), del Regolamento (UE) 2016/679. Si tratta di soggetti le cui principali attività (in primis, le attività c.d. di “core business”) consistono in trattamenti che richiedono il monitoraggio regolare e sistematico degli interessati su larga scala o in trattamenti su larga scala di categorie particolari di dati personali o di dati relative a condanne penali e a reati (per quanto attiene alle nozioni di “monitoraggio regolare e sistematico” e di “larga scala”, v. le “Linee guida sui responsabili della protezione dei dati” del 5 aprile 2017, WP 243). Il diritto dell’Unione o degli Stati membri può prevedere ulteriori casi di designazione obbligatoria del responsabile della protezione dei dati (art. 37, par. 4).

Ricorrendo i suddetti presupposti, sono tenuti alla nomina, a titolo esemplificativo e non esaustivo: istituti di credito; imprese assicurative; sistemi di informazione creditizia; società finanziarie; società di informazioni commerciali; società di revisione contabile; società di recupero crediti; istituti di vigilanza; partiti e movimenti politici; sindacati; caf e patronati; società operanti nel settore delle “utilities” (telecomunicazioni, distribuzione di energia elettrica o gas); imprese di somministrazione di lavoro e ricerca del personale; società operanti nel settore della cura della salute, della prevenzione/diagnostica sanitaria quali ospedali privati, terme, laboratori di analisi mediche e centri di riabilitazione; società di call center; società che forniscono servizi informatici; società che erogano servizi televisivi a pagamento”. (https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/8036793).

Sempre sulla base del nuovo Regolamento UE, Il DPO, dovendo svolgere compiti di formazione, consulenza e sorveglianza nell’adempimento della complessa disciplina della privacy ed essendo anche l’interlocutore dell’autorità di controllo, è designato in funzione delle qualità professionali, in particolare della conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati, e della capacità di assolvere i compiti di cui all’art. 39.

È pertanto una figura di notevole specializzazione poiché deve possedere competenze interdisciplinari altamente qualificate, in specie sulle normative di settore, sulla gestione di problematiche di carattere  organizzativo nonché di cultura e pratica delle nuove tecnologie.

IL DPO DEVE AVERE UN PROFILO GIURIDICO: LO SENTENZIA IL TAR

Il TAR per il Friuli Venezia Giulia, sezione prima, con la sentenza 5 settembre 2018, n. 287 entra nel merito di una questione molto dibattuta, sorta a seguito dell’entrata in vigore del Regolamento UE n. 2016/679 sulla protezione dei dati personali (GDPR) e cioè quella delle competenze richieste al DPO per lo svolgimento dei compiti previsti dal Regolamento.

In specie ci si  è chiesti se il DPO sia da ritenere più un giurista o un tecnico-informatico e quale debba essere l’incidenza delle rispettive competenze e delle relative certificazioni ISO che attestino particolari professionalità.

È chiara la presa di posizione del TAR a favore del profilo eminentemente giuridico del DPO e dell’esclusione di certificazione ISO/IEC/27001“quale titolo formativo o abilitante, come tale idoneo ad assurgere a requisito di accesso (alla procedura selettiva indetta dalla Pubblica Amministrazione)”.

Qui è possibile leggere la pronuncia del TAR: dpo-e-profilo-eminentemente-giuridico.pdf

Immagine correlata

 

PERCHE’ IL DPO E’ IMPORTANTE

Il DPO è un supervisore indipendente che ha, come compiti principali  (art. 39 del Regolamento UE):

a) informare e fornire consulenza al Titolare o al Responsabile del trattamento nonché ai dipendenti che eseguono concretamente il trattamento dei dati, in merito agli obblighi derivanti dalle disposizioni europee e nazionali;

b) sorvegliare l’osservanza del Regolamento in materia di trattamento dei dati compresi l’attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale;

c) fornire un parere, se richiesto, in merito alla valutazione d’impattosulla protezione dei dati e sorvegliarne lo svolgimentoai sensi dell’art.35;

d) cooperare con l’autorità di controllo;

e) fungere da punto di contatto per l’autorità di controllo per questioni connesse al trattamento.

Nell’eseguire i propri compiti il responsabile della protezione dei dati considera debitamente i rischi inerenti al trattamento, tenuto conto della natura, dell’ambito di applicazione, del contesto e delle finalità del medesimo.

Per maggiori informazioni contattateci o chiamate il numero +39 333 1328522.