Responsabile della Protezione dei Dati («Data Protection Officer»)
Chi è obbligato a nominare un DPO?
L’obbligo è sia per i titolari sia per i responsabili. La designazione obbligatoria è richiesta per enti pubblici (a prescindere da quali categorie di dati sono trattati), titolari e responsabili che hanno come attività principale trattamenti che richiedono monitoraggio regolare e sistematico di interessati su larga scala o che trattano categorie particolari di dati personali o dati personali relativi a condanne penali e reati. Gli elementi da considerare per titolari e responsabili che non sono enti pubblici sono: attività principale, monitoraggio regolare e sistematico, larga scala, categoria di dati personali.
Un ospedale è obbligato a nominare un DPO? E un medico?
L’attività principale di un ospedale è l’erogazione di servizi sanitari; perciò il trattamento dei dati sulla salute rappresenta una parte inestricabile dell’attività del titolare. Un ospedale deve nominare un DPO. Inoltre, il trattamento dei dati sulla salute è eseguito su larga scala, il che è un’altra condizione che rende obbligatoria la nomina di un DPO. Un medico generico o specialista tratta dati personali e dati sulla salute di pazienti come attività principale ma non su larga scala e, dunque, non è tenuto a nominare un DPO.
Il trattamento dei dati sulla salute dei dipendenti obbliga a designare un DPO?
Non è obbligatorio, perché tale trattamento non è l’attività principale, ma soltanto necessario ed essenziale, perciò è normalmente considerato come attività strumentale piuttosto che attività principale. È un’attività di supporto per l’attività principale di una società, organizzazione no-profit o ente economico. Inoltre, il trattamento non è su larga scala.
Il DPO è personalmente responsabile della mancata osservanza del GDPR?
Il DPO non è personalmente responsabile della mancata osservanza del GDPR. È il titolare o il responsabile che è tenuto a assicurare ed a essere in grado di dimostrare che il trattamento rispetti i requisiti del GDPR. L’osservanza delle norme sulla protezione dei dati è responsabilità del titolare o del responsabile.
Cosa significa conflitto di interessi?
Il GDPR dispone che i compiti e le competenze del DPO non devono portare a conflitti di interesse. Ciò significa, primariamente, che il DPO non deve ricoprire funzioni che consentano al DPO di determinare le finalità e i mezzi di trattamento dei dati. Come regola generale, le posizioni di conflitto possono includere posizioni di vertice organizzativo (es.: direttore esecutivo, direttore operativo, direttore finanze e personale, responsabile marketing, responsabile dei servizi informativi) ma anche di livello gerarchico inferiore se queste funzioni consentono di determinare finalità e mezzi del trattamento. Inoltre, un conflitto di interessi può derivare se un DPO esterno è chiamato a rappresentare in giudizio il titolare o il responsabile per casi riguardanti la protezione dei dati personali.
Cosa significa svolgere i compiti in modo indipendente?
Ci sono molte precauzioni che assicurano che il DPO possa agire in modo indipendente. Nel seguito alcune linee-guida. Il DPO non deve ricevere alcuna istruzione dal titolare o dal responsabile su come svolgere i compiti assegnati. Non ci deve essere alcuna penalizzazione o rimozione da parte del titolare o del responsabile per lo svolgimento dei compiti del DPO e non ci devono essere conflitti di interessi con altri compiti e doveri di competenza del DPO.
A chi riporta il DPO?
Il DPO riporta direttamente ai vertici dell’organizzazione del titolare o del responsabile.
Quali dati di contatto del DPO devono essere pubblicati?
I contatti del DPO devono includere le informazioni che consentono agli interessati e alle autorità di controllo di raggiungere facilmente e direttamente il DPO (indirizzo postale, numero di telefono dedicato e/o un’e-mail dedicata). Il GDPR non dispone che sia pubblicato il nome del DPO: spetta al titolare o al responsabile e al DPO decidere se ciò sia necessario o utile.
Se il titolare è obbligato a designare un DPO, lo è anche il responsabile?
Non necessariamente. In funzione della presenza dei criteri di obbligatorietà della designazione, soltanto il titolare o soltanto il responsabile o entrambi devono nominarlo (e devono collaborare). Pertanto, è bene chiarire che se il titolare è obbligato a nominare un DPO, non necessariamente anche il responsabile lo deve nominare. Potrebbe essere, però, una buona prassi.
In caso di designazione volontaria del DPO, quali criteri devono essere rispettati?
Quando la nomina del DPO è volontaria, devono essere rispettati tutti i criteri e gli obblighi prescritti dal GDPR circa la designazione obbligatoria del DPO. Quindi, la valutazione della professionalità e competenza della persona, la designazione scritta, la pubblicazione dei dati di contatto per gli interessati e la comunicazione all’autorità di controllo.
Per approfondire, clicca qui o contattami.