Sedi
Via G. Pascoli n. 60 – 20133 Milano
Via Cardinale P. Maffi, 5 - Pisa
Via XXV Aprile, 180/B - Crotone
Lun-Ven
09:00 - 12:00
16:00 - 19:00
Numero Verde 800 129 692
info@studiogammaonline.it

News

Le nostre news

Comments are off

Alla scoperta del DPO, il responsabile della protezione dei dati

Il 25 maggio è entrato in vigore il GDPR, ovvero il Regolamento generale per la protezione dei dati, disciplina che ha portato alla ribalta una nuova figura professionale esperta in materia di privacy: il DPO.

Il DPO (acronimo di Data Protection Officer) è una figura professionale esperta in materia di privacy, balzata agli onori della cronaca grazie all’entrata in vigore del GDPR, il Regolamento generale per la protezione dei dati. Un ruolo che molti soggetti saranno obbligati ad assumere nel proprio organico lavorativo. A tal proposito, cerchiamo di capire di che cosa si tratta, quali saranno i suoi compiti e soprattutto chi non potrà farne a meno.

Quali sono i compiti del DPO?

Nella traduzione italiana del Regolamento UE 2016/679, la figura del DPO è identificata con l’appellativo “Responsabile della protezione dei dati“, da non confondere con il ruolo di “Responsabile del trattamento dei dati personali“. Esso è un soggetto dotato di piena autonomia ed indipendenza nello svolgimento dei propri compiti, un ruolo vincolato solo ed esclusivamente nei confronti del Titolare del trattamento.

I compiti del DPO sono:

  • vigilare sull’osservanza del Regolamento UE 2016/679 e della normativa vigente in materia di privacy;
  • informare e consigliare il Titolare del trattamento in relazione agli obblighi scaturiti dal Regolamento e dalla normativa in materia di privacy;
  • supportare il Titolare in ogni attività concernente il trattamento di dati personali;
  • collaborare con il titolare e/o con il Responsabile del trattamento nella valutazione dei Data Protection Impact Assessments (DPIA);
  • cooperare con l’Autorità Garante in materia di protezione dei dati personali e fungere da elemento di contatto fra questa ed il Titolare del trattamento;
  • notificare al Garante i data breaches.

Le competenze del DPO

La figura del DPO può essere assegnata a un elemento interno all’azienda oppure ad un soggetto esterno, come un avvocato, un ingegnere o, in ogni caso, un soggetto dotato di idonee competenze. Queste dovranno essere incentrate soprattutto sulla conoscenza della normativa e sulla prassi inerente alla gestione dei dati personali. Il DPO deve conoscere, inoltre, il settore specifico in cui viene operato il trattamento (per esempio l’ambito sanitario), oltre a possedere un know how tecnico e informatico al fine di garantire l’idonea protezione dei dati. A tal proposito, il DPO può avvalersi dell’ausilio di un team di soggetti esperti in diverse materie. In ogni caso, il ruolo dovrà essere ricoperto da una persona fisica e non da una persona giuridica.
Per diventare DPO non è necessario avere un titolo particolare oppure essere iscritti ad un albo. Il Titolare del trattamento deve però essere in grado di dimostrare di aver scelto un soggetto adeguato a ricoprire il ruolo. Pertanto, la qualifica professionale del soggetto incaricato, la partecipazione a Master o a corsi di formazione, l’esibizione di certificazioni etc. sono tutti criteri da tenere in considerazione nella scelta di un DPO.

Chi è obbligato ad assumere il DPO?

In base all’art. 37 del Regolamento UE 2016/679, saranno obbligati a designare un DPO:

  • le pubbliche amministrazioni e gli enti pubblici, ad eccezione delle autorità giudiziarie;
  • tutti i soggetti la cui attività principale consiste in trattamenti che richiedono un monitoraggio regolare e sistematico degli interessi su larga scala;
  • tutti i soggetti la cui attività principale consiste nel trattamento, su larga scala, di dati sensibili, relativi alla salute o alla vita sessuale, genetici, giudiziari e biometrici.

I criteri sopra elencati non permettono di individuare con assoluta certezza i soggetti per i quali sarà richiesta la designazione di un DPO, poiché vengono utilizzati concetti che possono essere interpretati discrezionalmente. Ad esempio: attività principale, larga scala, monitoraggio regolare e sistematico.
L’Autorità Garante ha già fornito delle linee guida in tal senso ma, in determinati casi, sarà difficile avere l’assoluta certezza sulla obbligatorietà o meno di designare un DPO. A meno che non risulti evidente che un soggetto non è tenuto a nominare un Data Protection Officer, è fortemente raccomandato effettuare una valutazione con l’aiuto di un professionista qualificato. Nel caso in cui infine si decida di non nominarlo, è opportuno documentare per iscritto le argomentazioni a sostegno di questa decisione. Ciò al fine di esibire al Garante la valutazione effettuata in caso di contestazione. La nomina di un DPO è comunque consigliata anche nei casi in cui non risulti obbligatoria.