È innegabile: il GDPR è stato certamente uno degli argomenti maggiormente discussi nel 2018. Se avessimo indetto una gara, avrebbe avuto un posto sul podio assicurato.
Tra le novità principali del Regolamento spicca la figura del Data Protection Officer o comunemente Responsabile della protezione dei dati, previsto dall’articolo 37 e seguenti.
L’introduzione della figura all’interno delle realtà aziendali genera spesso dubbi ed incertezze e proprio per questo noi di Mondo Privacy vogliamo fare chiarezza sulla posizione e i compiti principali che competono al D.P.O.
Il WP29 (ex organo consultivo indipendente dell’UE per la protezione dei dati personali) oltre che considerare la figura un elemento fondante ai fini della responsabilizzazione, ha ritenuto che la nomina del D.P.O. possa facilitare l’osservanza della normativae aumentare il margine competitivo delle imprese.
QUANDO È NECESSARIO NOMINARE IL D.P.O
Quali sono le caratteristiche generali di questa professione, sempre più importante?
Innanzitutto, il Data Protection Officer ha la responsabilità di gestire il trattamento di dati personali all’interno di un’azienda, proprio per questo tra le prerogative fondamentali ci deve essere una approfondita conoscenza in ambito privacy, nonché delle norme e procedure amministrative che caratterizzano lo specifico settore di riferimento.
Andiamo per gradi. Anzitutto occorre verificare ai sensi dell’art. 37 se l’Organizzazione in questione abbia o meno l’obbligo di nomina del D.P.O.: “Il titolare del trattamento e il responsabile del trattamento designano sistematicamente un responsabile della protezione dei dati ogniqualvolta:
- a) il trattamento è effettuato da un’autorità pubblica o da un organismo pubblico, eccettuate le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali;
- b) le attività principali del titolare del trattamento o del responsabile del trattamento consistono in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala; oppure
- c) le attività principali del titolare del trattamento o del responsabile del trattamento consistono nel trattamento, su larga scala, di categorie particolari di dati personali di cui all’articolo 9 o di dati relativi a condanne penali e a reati di cui all’articolo 10. “
Qualora il regolamento non imponga la designazione del D.P.O. per la mancata sussistenza delle situazioni suddette, la designazione può avvenire anche su base volontaria.
I PRINCIPALI COMPITI DEL D.P.O
Sono stati molti gli enti che si sono chiesti: è preferibile nominare un D.P.O interno oppure esterno?
Una figura interna, conoscendo strumenti e processi aziendali, sarà agevolata nell’assolvimento dei propri compiti. D’altra parte, i requisiti richiesti al Responsabile caldeggiano la nomina di un soggetto esterno: solo una persona estranea all’Organizzazione è effettivamente in grado di agire in assenza di conflitti di interessi, di aggiornare di continuo la propria formazione in ambito privacy, di disporre di risorse e collaboratori che viceversa qualora fosse interno comporterebbero costi e oneri aggiuntivi per l’Azienda.
Per svolgere correttamente le mansioni suddette si richiede la sussistenza dei classici requisiti di autonomia e indipendenza in capo al Responsabile.
Qualora il D.P.O fosse interno, il titolare del trattamento e il responsabile dovranno assicurarsi che i compiti e le funzioni svolte non siano in conflitto di interessi.
Si richiede pertanto al D.P.O. interno di non esercitare ruoli che comportino la definizione delle finalità o modalità di trattamento di dati personali.
Non è ammessa la possibilità di rivestire il ruolo di Responsabile per l’amministratore delegato, il responsabile operativo, il responsabile sanitario, il responsabile IT e soprattutto per tutti i soggetti apicali dell’Organizzazione.
Sulla base delle informazioni esposte è possibile effettuare qualche considerazione in merito alla scelta del D.P.O.
PREROGATIVE FINALI DELLA FIGURA
Per quanto concerne la posizione del D.P.O. si segnala che la figura dovrà essere coinvolta in tutte le questioni riguardanti la protezione dei dati personali.
Inoltre, sarà tenuta ad avvalersi delle risorse necessarie per assolvere i compiti assegnatagli, per tali ragioni risulta doverosa la collaborazione e il supporto da parte del titolare e del responsabile del trattamento.
Tali “risorse” si concretizzano nella necessità di riservare del tempo per l’espletamento dei compiti affidati al D.P.O., disponibilità di risorse finanziarie, infrastrutture, personale, nonché in base alle dimensioni dell’azienda e la struttura, potrebbe presentarsi la necessità di costituire un ufficio o un gruppo di lavoro D.P.O.
Considerata la posizione e i compiti assegnati, si desume che il D.P.O. è la figura preposta a promuovere la cultura dei dati personali e attuare i diritti degli interessati.
