Responsabile della protezione dei dati («Data Protection Officer – DPO»)
Chi è il «Data Protection Officer»
Il Responsabile della protezione dei dati personali (meglio noto con la locuzione anglosassone di «Data Protection Officer – DPO») è una figura prevista dal GDPR e non deve confuso con il responsabile del trattamento. È un soggetto designato dal titolare o dal responsabile per assolvere a funzioni di supporto e controllo, consultive, formative e informative sull’applicazione del GDPR. Coopera con l’autorità di controllo (e proprio per questo, il suo nominativo deve essere comunicato al Garante); è punto di contatto anche rispetto agli interessati, per le questioni connesse al trattamento dei dati personali.
Può essere un dipendente oppure una persona fisica esterna all’organizzazione del titolare o del responsabile.
Il titolare e il responsabile devono assicurare che il DPO sia coinvolto, nei modi e nei tempi opportuni, in tutte le questioni che attengono alla protezione dei dati personali.
Il DPO riporta direttamente ai vertici dell’organizzazione del titolare o del responsabile.
Il DPO non è personalmente responsabile della mancata osservanza del GDPR. È il titolare o il responsabile che è tenuto a assicurare ed a essere in grado di dimostrare che il trattamento rispetti i requisiti del GDPR. L’osservanza del GDPR è responsabilità del titolare o del responsabile.
Obbligo di nomina del DPO
L’obbligo è sia per i titolari sia per i responsabili. La designazione obbligatoria è richiesta per enti pubblici, titolari e responsabili che hanno come attività principale trattamenti che richiedono monitoraggio regolare e sistematico di interessati su larga scala o che trattano categorie particolari di dati personali o dati personali relativi a condanne penali e reati. Gli elementi da considerare per titolari e responsabili che non sono enti pubblici sono: attività principale, monitoraggio regolare e sistematico, larga scala, categoria di dati personali.
Per attività principale si deve intendere l’insieme delle operazioni fondamentali per raggiungere gli obiettivi statutari e istituzionali, commerciali del titolare o del responsabile. Ciò include tutte le attività ove il trattamento di dati personali è una parte inestricabile dell’attività condotta dal titolare o dal responsabile.
Per determinare se il trattamento è eseguito su larga scala si devono considerare: il numero di interessati coinvolti, l’estensione territoriale, il volume di dati e il tipo di dati coinvolti, la durata e la continuità del trattamento.
Il concetto di monitoraggio regolare e sistematico non è chiarito dal GDPR ma, incontrovertibilmente, include tutte le forme di tracciamento in Internet, includendo le finalità di profilazione comportamentale per fini di pubblicità mirata. Non è, comunque, limitato al contesto Internet. Regolare può includere attività continuative o svolte in particolari intervalli temporali per un determinato periodo, ricorrenti o ripetute, costanti e periodicamente svolte. Sistematico significa che accade in funzione di un sistema o con un predefinito, organizzato e metodico processo o che è parte di una attività di raccolta di dati pianificata o nel contesto di una ben determinata strategia di raccolta e successivo trattamento.
Inoltre, gli Stati membri UE potrebbero prevedere anche ulteriori casi di obbligo di nomina del DPO.
È possibile, comunque, anzi utile e buona prassi, designare il DPO su base volontaria, anche in caso di non obbligatorietà. Questo approccio è incoraggiato dalle autorità di controllo nazionali e dal Working Party 29, istituito dalla previgente Direttiva UE 95/46/CE.
Quando la nomina del DPO è volontaria, devono essere rispettati tutti i criteri e gli obblighi prescritti dal GDPR circa la designazione obbligatoria del DPO. Quindi, la valutazione della professionalità e competenza della persona, la designazione scritta, la pubblicazione dei dati di contatto per gli interessati e la comunicazione all’autorità di controllo.
I requisiti del DPO
Il DPO deve essere nominato in base a qualità professionali e, in particolare, di un’elevata conoscenza della legislazione di protezione dei dati personali e delle pratiche, nonché la capacità di assolvere ai compiti affidati. Non è affatto necessario un determinato livello di istruzione né attestazioni di frequenza a corsi di formazione mirati a tale ruolo.
Il livello adeguato di esperta conoscenza deve essere definito in base al tipo di attività di trattamento condotte e al grado di protezione richiesto per i dati personali trattati.
Quindi, sono fondamentali i seguenti requisiti:
1. conoscenza della normativa e delle prassi nazionali ed europee in materia di protezione dei dati, compresa una ovvia e un’approfondita conoscenza del GDPR
2. conoscenza dei trattamenti eseguiti
3. conoscenze delle procedure informatiche e tecnologiche e di sicurezza in generale
4. conoscenza dello specifico settore di attività e dell’organizzazione del titolare o del responsabile
5. deve poter offrire la consulenza necessaria per progettare, verificare e mantenere un sistema organizzato di gestione dei dati personali, cooperando nell’adozione di un complesso di misure (anche di sicurezza) e garanzie adeguate al contesto in cui è chiamato a operare
6. capacità di promuovere una cultura della protezione dei dati, anche attraverso l’organizzazione di corsi formativi.
I compiti del DPO
Il GDPR assegna al DPO, tra gli altri, il dovere di monitorare il rispetto del GDPR. Il GDPR ulteriormente specifica che il DPO deve assistere il titolare o il responsabile, fornire indicazioni e suggerimenti e controllare l’aderenza al GDPR. Quindi, si deve richiedere consiglio e assistenza al DPO nel controllo del rispetto dei requisiti del GDPR.
Perché ciò avvenga il DPO deve, in particolare:
1. raccogliere qualsiasi informazione utile per conoscere la realtà dei trattamenti svolti e la realtà operativa in cui si esplicano, così da individuare quali sono i trattamenti e le loro caratteristiche
2. analizzare e verificare che i trattamenti eseguiti siano conformi al GDPR
3. informare, dare consulenza e indicazioni o suggerire procedure idonee a conformarsi al GDPR
4. organizzare formazione alle persone autorizzate al trattamento
5. intervenire quando interpellato per dare suggerimenti e consulenza nello svolgimento dei trattamenti fin dalla loro preventiva progettazione
6. è il punto di contatto con l’autorità di controllo e con gli interessati.
Pertanto, il DPO ha un ruolo chiave nel promuovere la cultura della protezione dei dati personali all’interno dell’organizzazione ed è di ausilio a implementare gli elementi essenziali del GDPR, quali: i principi applicabili al trattamento, la liceità del trattamento, i diritti degli interessati, il principio di «data protection by design and by default», Registri delle attività di trattamento, sicurezza del trattamento, e notificazione e comunicazione di eventi di violazione dei dati personali.
Nel caso della necessità di condurre un «impact assessment», il titolare o il responsabile devono chiedere parere al DPO, nonché la sua assistenza nella fattiva esecuzione e nel controllarne il corretto svolgimento.
Nel caso della tenuta del Registro delle attività di trattamento, sebbene sia compito del titolare o del responsabile e non del DPO, nulla osta che il titolare o il responsabile affidino al DPO questo compito. Tale Registro delle attività di trattamento può considerarsi uno fra gli strumenti che permettono al DPO di espletare i suoi compiti di monitoraggio sulla conformità del trattamento, di consiglio e informazione al titolare o al responsabile.
Conflitto di interessi e svolgimento dei compiti in modo indipendente
Il GDPR dispone che i compiti e le competenze del DPO non devono portare a conflitti di interesse. Ciò significa, primariamente, che il DPO non deve ricoprire funzioni che consentano al DPO di determinare le finalità e i mezzi di trattamento dei dati. Come regola generale, le posizioni di conflitto possono includere posizioni di vertice organizzativo (es.: direttore esecutivo, direttore operativo, direttore finanze e personale, responsabile marketing, o responsabile dei servizi informativi) ma anche di livello gerarchico inferiore se queste funzioni consentono di determinare finalità e mezzi del trattamento. Inoltre, un conflitto di interessi può derivare se un DPO esterno è chiamato a rappresentare in giudizio il titolare o il responsabile per casi riguardanti la protezione dei dati personali.
Ci sono molte precauzioni che assicurano che il DPO possa agire in modo indipendente. Il DPO non deve ricevere alcuna istruzione dal titolare o dal responsabile su come svolgere i compiti assegnati. Non ci deve essere alcuna penalizzazione o rimozione da parte del titolare o del responsabile per lo svolgimento dei compiti del DPO e non ci devono essere conflitti di interessi con altri compiti e doveri di competenza del DPO.
DPO interno o esterno
Il DPO può essere un membro dello staff del titolare o del responsabile (DPO interno) oppure svolgere il ruolo in base a contratto di servizi (DPO esterno). La nomina deve essere, comunque, scritta e il DPO deve essere una persona fisica. Se del caso, il DPO può adempiere i compiti in collaborazione con un team a supporto, ma deve essere individuata la persona che è il DPO (il DPO deve essere un singolo individuo). In caso di DPO esterno, la persona deve svolgere i propri compiti in base a un contratto di servizi. Il contratto può essere stipulato con la persona fisica o con un organismo (es.: una società), ma il DPO deve essere individuato in una persona fisica. Nel contratto di servizi con il fornitore di servizi, deve essere identificata la persona che svolge i compiti del DPO, anche se la funzione è svolta con la collaborazione di un team di lavoro.
Designazione congiunta del DPO
Un gruppo di imprese o organizzazioni possono designare un unico DPO, a condizione che sia facilmente accessibile da ogni stabilimento. Il concetto di accessibilità si riferisce ai compiti del DPO come punto di contatto con gli interessati e le autorità di controllo ma anche all’interno delle organizzazioni. Per assicurare che sia accessibile (sia DPO interno o esterno), è fondamentale accertarsi che i contatti del DPO siano disponibili. Il DPO deve essere in grado di comunicare efficientemente con gli interessati e collaborare con le autorità di controllo. La sua disponibilità (sia fisicamente o meno nei locali dell’organizzazione, via canale dedicato o altro sicuro mezzo di comunicazione) è essenziale per assicurare che il DPO sia contattabile da interessati e autorità di controllo. La sua agevole rintracciabilità deve essere assicurata anche per consentire al DPO di svolgere i compiti di controllo e assistenza di cui si è trattato. Affinché questa condizione sia soddisfatta, è raccomandabile che il DPO sia localizzato in territorio UE.
La nomina del DPO e la comunicazione all’autorità di controllo
Il GDPR riconosce il DPO come un attore centrale nel nuovo assetto di governance della protezione dei dati personali e definisce le condizioni per la sua nomina, posizione e compiti.
La designazione del DPO deve essere scritta e determinare i suoi compiti, avendo dapprima accertato che la persona sia dotata dei requisiti prescritti dal GDPR. La designazione può essere di libera redazione.
I dati del DPO devono essere comunicati all’autorità di controllo: per l’Italia è disponibile una procedura telematica https://servizi.gpdp.it/comunicazione-rpd/. Per conoscere quali sono i dati da comunicare e come compilare la comunicazione si può consultare il template in PDF e le istruzioni messi a disposizione dall’autorità di controllo.
L’autorità di controllo ha anche messo a disposizione il modello da usare per comunicare la revoca del DPO.
Per approfondire, consulta le FAQ o contattami.