dpo

DPO (Data Protection Officer): la nuova figura professionale in materia di privacy

Il DPO, per esteso Data Protection Officer, è una nuova figura professionale in materia privacy, fino ad oggi poco conosciuta in Italia. Con l’entrata in vigore del GDPR, applicabile dal 25 Maggio 2018, numerosi soggetti avranno l’obbligo di assumerne uno. Cerchiamo quindi di capire di che cosa si tratta, quali saranno i suoi compiti e, soprattutto, chi non potrà farne a meno.

Si veda anche “GDPR: il conto alla rovescia è iniziato… e voi siete pronti?

Il Privacy Officer è il soggetto che, all’interno di un’azienda, si occupa di organizzare il trattamento dei dati personali e di verificare che avvenga nel rispetto delle normative vigenti. Quando questo soggetto vanta autonomia decisionale nell’esercizio delle sue mansioni, viene definito CPO (Chief Privacy Officer) negli Stati Unit e DPO (Data Protection Officer) in Europa.

Che ruolo ha il DPO e quali sono i suoi compiti?

Nella traduzione Italiana del Regolamento UE 2016/679, la figura del DPO è stata tradotta con Responsabile della protezione dei dati. Questa figura non deve però essere confusa con quella del Responsabile del trattamento dei dati personali, che è ben diversa. Il DPO dovrà essere un soggetto dotato di piena autonomia ed indipendenza nello svolgimento dei propri compiti e risponderà solo ed esclusivamente nei confronti del Titolare del trattamento.

Il DPO avrà i seguenti compiti:

  • vigilare sull’osservanza del Regolamento UE 2016/679 e, più in generale, della normativa vigente in materia di privacy;
  • informare e consigliare il Titolare del trattamento in merito agli obblighi derivanti dal Regolamento e dalla normativa in materia di privacy;
  • supportare il Titolare in ogni attività concernente il trattamento di dati personali (quali la redazione del Registro dei dati del trattamento);
  • collaborare con il Titolare e/o con il Responsabile del trattamento nella valutazione dei Data Protection Impact Assessments (DPIA);
  • cooperare con l’Autorità Garante in materia di protezione dei dati personali e fungere da elemento di contatto fra questa ed il Titolare del trattamento;
  • notificare al Garante i data breaches.

Quali competenze dovrà avere un DPO?

Il DPO potrà essere nominato fra i dipendenti dell’azienda oppure potrà essere designato un soggetto esterno: un avvocato, un ingegnere o, comunque, un soggetto dotato di idonee competenze.

Il DPO dovrà possedere un’idonea conoscenza della normativa e della prassi in materia di gestione dei dati personali. Dovrà conoscere il settore specifico in cui viene operato il trattamento (ad esempio per i trattamenti in ambito sanitario) ed avere anche competenze tecniche ed informatiche al fine di garantire idonea protezione dei dati. Nel caso in cui siano necessarie competenze trasversali, il DPO può avvalersi di un team di soggetti esperti in diverse materie. Ad esempio, un avvocato che venga nominato DPO potrà avvalersi di un ingegnere informatico per colmare eventuali lacune nelle proprie conoscenze tecniche (in materia di cybersecurity; firewall; antivirus; backup etc…). In ogni caso, il ruolo dovrà essere ricoperto da una persona fisica e non da un persona giuridica.

Per diventare DPO non è necessario avere un titolo particolare oppure essere iscritti ad un albo. Il Titolare del trattamento deve però essere in grado di dimostrare di aver scelto un soggetto adeguato a ricoprire il ruolo. Pertanto, la qualifica professionale del soggetto incaricato, la partecipazione a Master o corsi di formazione, l’esibizione di certificazioni etc. sono tutti criteri che si consiglia di tenere in considerazione nella scelta di un DPO.

Chi avrà l’obbligo di assumere il DPO?

In base all’art. 37 del Regolamento UE 2016/679, saranno obbligati a designare un DPO:

  • le pubbliche amministrazioni e gli enti pubblici, ad eccezione delle autorità giudiziarie;
  • tutti i soggetti la cui attività principale consiste in trattamenti che, per la loro natura, il loro oggetto o le loro finalità, richiedono un monitoraggio regolare e sistematico degli interessi su larga scala;
  • tutti i soggetti la cui attività principale consiste nel trattamento, su larga scala, di dati sensibili, relativi alla salute o alla vita sessuale, genetici, giudiziari e biometrici.

I criteri sopra elencati non permetto di individuare con assoluta certezza i soggetti per i quali sarà richiesta la designazione di un DPO. Ciò in quanto vengono utilizzati concetti suscettibili di essere interpretati discrezionalmente, quali: attività principale; larga scala; monitoraggio regolare e sistematico.

L’Autorità Garante ha già fornito delle linee guida per interpretare questi concetti ma, in determinati casi, sarà difficile avere l’assoluta certezza sulla obbligatorietà o meno di designare un DPO. A meno che non risulti evidente che un soggetto non è tenuto a nominare un Data Protection Officer, è fortemente raccomandato effettuare una valutazione con l’aiuto di un professionista qualificato. Nel caso in cui infine si decida di non nominarlo, è opportuno documentare per iscritto le argomentazioni a sostegno di questa decisione. Ciò al fine di esibire al Garante la valutazione effettuata in caso di contestazione. La nomina di un DPO è comunque consigliata anche nei casi in cui non risulti obbligatoria.

 

Licenza Creative Commons
Quest’opera è distribuita con Licenza Creative Commons Attribuzione 3.0 Italia.

0 Comments

Leave a reply

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

*

CONTACT US

We're not around right now. But you can send us an email and we'll get back to you, asap.

Sending

© 2018 - Avv. Massimo Bacci - Prato (IT) Via Valentini 23/a - P.IVA 06212440488 - Iscritto all'Ordine Avvocati di Prato

Log in with your credentials

Forgot your details?