Il Data Protection Officer (Dpo) è la figura più innovativa del GDPR della Privacy: chi è, quali sono i suoi compiti e quando è obbligatorio.
Il 25 maggio 2018 è andato in vigore il Regolamento Generale sulla Protezione dei Dati 2016/679, il GDPR (General Data Protection Regulation) della privacy. Il regolamento è stato emesso dall’Unione Europea al fine di migliorare la privacy e il trattamento dei dati personali. Il 25 maggio è stato anche il termine ultimo per le aziende e le pubbliche amministrazioni di adottare le misure richieste dal Regolamento.
Con l’attuazione del GDPR vi è l’obbligo di nominare un responsabile della protezione dei dati personali (Rdp) meglio conosciuto con il termine inglese Data Protection Officer (Dpo). Il Dpo è il soggetto previsto dall’art. 37 del Regolamento 2016/679, si tratta di un soggetto che ha il compito di assolvere a funzioni di supporto, controllo, consultive, formative e informative relative all’applicazione del Regolamento.
Collabora con l’Autorità Garante ed è il punto di contatto per le questioni connesse al trattamento dei dati personali (artt. 38 e 39 del Regolamento).
Chi è il Dpo?
Il Dpo (Data Protection Officer) è una figura che è stata introdotta dal GDPR al fine di organizzare tutte le attività per il trattamento e la protezione dei dati personali, nel rispetto delle norme vigenti sia nazionali che europee. Il ruolo di responsabile della protezione dei dati personali (Rdp) può essere ricoperto da un dipendente del titolare o del responsabile (non in conflitto di interessi) che conosca la realtà in cui avvengono i trattamenti; l’incarico può essere affidato sia a soggetti interni che esterni, a condizione che garantiscano l’effettivo assolvimento dei compiti che il Regolamento (UE) 2016/679 assegna a tale figura. Il dpo interno andrà nominato mediante specifico atto di designazione, mentre il dpo esterno, che possiede le medesime prerogative e tutele di quello interno, dovrà operare in base a un contratto di servizi. La novità del nuovo GDPR è che il dpo risulta obbligatorio per le Pubbliche Amministrazioni. In particolare il dpo obbligatorio è previsto per tutte le strutture sanitarie pubbliche e private, in quanto assicurare un’adeguata assistenza medica implica necessariamente il trattamento dei dati sensibili dei pazienti. Per ricoprire la carica di dpo non sono necessari particolari requisiti o attestazioni, ma risulta necessaria una preparazione approfondita della normativa, delle procedure amministrative e delle prassi in materia di privacy. Il Regolamento prevede espressamente che il responsabile della protezione dei dati personali possa essere un dipendente del titolare o del responsabile del trattamento ma nel caso in cui si decida di scegliere un dpo esterno è possibile che sia una persona giuridica. Per la nomina è importante evitare situazioni di conflitto del Dpo rispetto a chi gestisce processi decisionali critici dell’organizzazione in tema di protezione dei dati. Può essere istituito un ufficio di supporto (Data Protection Office) per le attività del dpo, ma non è possibile istituire due figure al fine di facilitare l’attribuzione delle responsabilità.
Quali sono i suoi compiti?
- Informare e fornire consulenza al titolare o al responsabile del trattamento in merito agli obblighi derivanti dal regolamento.
- Sorvegliare l’osservanza del regolamento, relative alla protezione dei dati compresi l’attribuzione delle responsabilità e la sensibilizzazione
- Cooperare con l’Autorità di Controllo
- Fungere da punto di contatto per l’Autorità Garante per questioni connesse al trattamento dei dati e delle consultazioni relative a qualunque questione.
Il GDPR consente l’assegnazione al dpo di altre funzioni e compiti a condizione che non siano presenti conflitti di interessi, questo però non accade nelle strutture di grandi dimensioni: si cerca sempre di non sovraccaricare il dpo di responsabilità al fine di non compromettere negativamente lo svolgimento delle sue attività.
Quando il dpo è obbligatorio?
Per le Pubbliche Amministrazioni il dpo è obbligatorio in tutti i casi. L’articolo 37 del Regolamento è molto esplicito su quando risulta obbligatorio il dpo, la designazione è necessaria ogni qualvolta:
● | ● Il trattamento è effettuato da un’autorità pubblica o da un organismo pubblico |
● | ● Le attività principali del titolare del trattamento o del responsabile del trattamento consistono in trattamenti che richiedono il monitoraggio regolare e sistematico degli interessati su larga scala |
● | ● Le attività principali del titolare del trattamento o del responsabile del trattamento consistono nel trattamento, su larga scala, di categorie particolari di dati personali di cui all’articolo 9 (riguardante i dati sensibili) o di dati relativi a condanne penali e a reati di cui all’articolo 10. Un esempio di trattamento su larga scala è l’elaborazione dei dati dei pazienti di un ospedale caso contrario se si tratta dell’elaborazione dei dati dei pazienti di un singolo professionista medico |
I soggetti privati per i quali dunque non è obbligatoria la designazione del responsabile della protezione dei dati personali sono quei soggetti che operano in forma individuale e non in larga scala come professionisti, imprese familiari e piccole e medie imprese, con riferimento ai trattamenti dei dati personali connessi alla gestione dei rapporti con fornitori e dipendenti.