Consulenza per la Nomina del DPO (Data Protection Officer)
Chi è il Data Protection Officer?
Il DPO (Data Protection Officer) è il responsabile della protezione dei dati di un’organizzazione, pubblica o privata. La definizione di questo ruolo, elemento fondante del principio di accountability, si deve al Regolamento UE, in cui sono contenuti specifiche indicazioni ed dettagli in merito ai requisiti e ai compiti di questa figura.
Il responsabile della protezione dei dati personali è una figura individuata dal Regolamento Europeo n. 2016/679, regolamento generale della protezione dei dati (noto come GDPR, dall’inglese “General Data Protection Regulation”), che costituisce la norma fondamentale in materia di privacy e protezione dei dati personali per tutti gli Stati membri dell’Unione Europea.
Cosa fa il DPO?
Il responsabile opera in qualità di consulente, svolgendo un’importante funzione di supporto e stimolo all’organizzazione. In concreto, il suo compito è quello di coadiuvare il titolare del trattamento dei dati nello svolgimento delle attività e processi che implicano trattamenti di dati personali, deve, quindi, fare in modo che siano salvaguardate e rispettate le norme sulla privacy e sulla protezione dei dati.
Quando la nomina del DPO è obbligatoria?
In alcuni casi il DPO è una figura che deve essere individuata obbligatoriamente, ma di grande importanza per le aziende e gli enti pubblici che trattano grandi moli di dati.
In particolare, deve essere individuato un DPO nei seguenti casi, come previsto dall’art. 37 del GDPR:
- quando il trattamento è effettuato da autorità pubblica o da un organismo pubblico, eccetto le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali;
- se le attività e i principali adempimenti professionali propri del titolare del trattamento dei dati consistono in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala, inclusi tutti i trattamenti effettuati per fini di marketing da parte di grandi aziende, anche online, o comunque tramite qualsiasi altro mezzo;
- se le attività principali del titolare del trattamento consistono nel trattamento, su larga scala, di categorie particolari di dati personali di cui all’articolo 9 (come, ad esempio, le attività che trattano dati sindacali o biometrici, gli istituti di credito e le imprese assicurative) o di dati relativi a condanne penali e a reati di cui all’articolo 10.
Chi nomina il responsabile protezione dati?
E’ il titolare del trattamento che designa il responsabile della protezione dei dati, selezionando una figura professionale che sia a conoscenza della normativa in materia di dati personali e abbia le necessarie competenze in area giuridica, nell’ambito della cybersecurity e della valutazione dei fattori di rischio, affinché sia in grado di svolgere il suo ruolo come stabilito dalla legge.
Il responsabile nominato deve assicurare la compliance aziendale al diritto in costante cambiamento garantendo il flusso di informazioni in merito verso il Titolare del trattamento. Una volta che il DPO sia stato designato è necessario provvedere alla comunicazione del suo nominativo all’autorità di controllo, il Garante per la Protezione dei Dati Personali.
Consulenza per la nomina di un DPO
- individuare un DPO (Data Protection officer), vale a dire un avvocato, un ingegnere, o comunque un soggetto che sia a conoscenza della normativa e della prassi in materia di privacy, scelto tra i dipendenti o anche esterno all’impresa, su designazione di chi ha la governance e il management (o l’amministratore) delle società, degli enti pubblici o delle pubbliche amministrazioni. Come ha precisato l’Autorità Garante, non esiste alcun obbligo di designare soggetti in possesso di eventuali certificazioni o attestati, perché unico requisito necessario è quello della conoscenza della disciplina in materia.
- informare e fornire consulenza al titolare del trattamento in merito agli obblighi derivanti dal presente regolamento nonché da altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati; potrà individuare le linee guida da seguire, nel rispetto della direttiva comunitaria in vigore e del GDPR e indicare le procedure necessarie e la prassi utile da adottare (per esempio, nei casi di Data Breach).
- verificare la conformità dei trattamenti realizzati alla Policy e sorvegliare l’osservanza obbligatoria del regolamento, di altre disposizioni dell’Unione o degli Stati membri, nonché di tutti gli obblighi di legge comunque stabiliti e comunicati, delle norme particolari relative a un dato settore, o dei regolamenti interni relativi alla protezione dei dati, nonché delle politiche del titolare del trattamento in materia di protezione dei dati personali, compresi l’attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo;
- fornire, se richiesto, un parere, sulla base della propria conoscenza specialistica, della propria esperienza e delle valutazioni acquisite nell’ambito della propria attività, in merito alla valutazione d’impatto sulla protezione dei dati e sorvegliarne lo svolgimento ai sensi dell’articolo 35;
- cooperare con l’autorità di controllo nazionale e con chi ha l’amministrazione delle aziende e dei relativi business, nonché con titolare e responsabile del trattamento, al fine di garantire nel miglior modo possibile la sicurezza dei dati e la trasparenza delle operazioni di raccolta, trattamento ed eventualmente anonimizzazione e pseudonimizzazione;
- fungere da punto di contatto per l’autorità di controllo per questioni connesse al trattamento, tra cui la consultazione preventiva di cui all’articolo 36, ed effettuare, se del caso, consultazioni relativamente a qualunque altra questione inerente agli specifici compiti del DPO, nonché alle eventuali violazioni della privacy e ai rischi per la sicurezza dei dati riscontrati nel corso del proprio lavoro.
Interventi tecnici per la nomina del DPO
- DPIA (Data Protection Impact Assessment);
- Predisporre il registro;
- Gestione dei rapporti con l’Autorità Garante della Privacy (o Garante per la protezione dei dati personali, l’autorità indipendente che in Italia, in coordinamento con gli enti e le istituzioni analoghe dell’Unione Europea, tutela e salvaguarda la privacy dei cittadini in rapporto al trattamento dei dati personali);
- Controllo sull’osservanza del Regolamento nell’ambito dell’azienda o ente di riferimento.