Consulenza e Formazione Sicurezza, Medicina Del Lavoro, Sistemi Di Gestione, Qualità, Privacy, Ambiente e Modelli Organizzativi

Nomina del DPO (Data Privacy Officer): da chi è Nominato

Il DPO (Data Privacy Officer) è il responsabile della protezione dei dati di un’azienda, pubblica o privata. La definizione di questo ruolo, elemento fondante del principio di accountability, si deve al Regolamento UE, in cui sono contenuti specifiche indicazioni ed approfondimenti in merito ai requisiti e ai compiti di questa figura.

Il responsabile opera in qualità di consulente, svolgendo un’importante funzione di supporto all’interno dell’azienda: infatti, in concreto, il suo compito all’interno dell’organizzazione è quello di coadiuvare il titolare e il responsabile del trattamento dei dati personali nello svolgimento del loro compito, facendo in modo che siano salvaguardate le norme sulla privacy e sulla protezione dei dati.

Si tratta di una figura forse superflua per il trattamenti dei dati relati ad un singolo professionista (ad esempio un medico o un avvocato), ma di grande importanza per le aziende e gli enti che trattano grandi moli di dati, e in alcuni casi è una figura che deve essere individuata obbligatoriamente, come nei contesti che richiedono un monitoraggio regolare e sistematico dei dati, in ragione della complessità o della delicatezza del trattamento.

Il titolare del trattamento e il responsabile del trattamento designano sistematicamente un responsabile della protezione dei dati, ovvero una figura professionale che sia a conoscenza della normativa in materia di dati sensibili, e abbia le necessarie competenze in area giuridica, nell’ambito della cybersecurity, e nell’ambito della valutazione dei fattori di rischio, per essere in grado di svolgere il suo ruolo, così come stabilito dalla legge. Può anche avvalersi di consulenti e professionisti in possesso di titolo idoneo, che potranno essere inseriti nella struttura.

Il responsabile della protezione dei dati personali è una figura individuata dal Regolamento Europeo n. 2016/679, regolamento generale della protezione dei dati (noto come GDPR, dall’inglese “General Data Protection Regulation”), che costituisce la norma fondamentale in materia di privacy e protezione dei dati personali per tutti gli Stati membri dell’Unione Europea.

Il responsabile nominato deve assicurare la compliance al diritto, dando la giusta informativa in merito. Potrà nominare uno o più responsabili, che così costituiranno un network, a tutela dell’osservanza del codice sulla privacy.

Deve essere individuato un DPO (Data Privacy Officer) nei seguenti casi, previsti dall’art. 37 del gdpr:

  • quando il trattamento è effettuato da autorità pubblica o da un organismo pubblico, eccettuate le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali;
  • se le attività e i principali adempimenti professionali propri del titolare del trattamento dei dati (o, in subordine, del responsabile del trattamento dei dati) consistono in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala, inclusi tutti i trattamenti effettuati per fini di marketing da parte di grandi aziende, anche online, o comunque tramite qualsiasi altro mezzo;
  • se le attività principali del titolare del trattamento o del responsabile del trattamento consistono nel trattamento, su larga scala, di categorie particolari di dati personali di cui all’articolo 9 (come, ad esempio, le attività che trattano dati sindacali o biometrici, gli istituti di credito e le imprese assicurative) o di dati relativi a condanne penali e a reati di cui all’articolo 10.

Una volta che il DPO sia stato designato, poi, è necessario provvedere alla comunicazione del suo nominativo all’autorità di controllo.

  • individuare un DPO (Data Protection officer), vale a dire un avvocato, un ingegnere, o comunque un soggetto che sia a conoscenza della normativa e della prassi in materia di privacy, scelto tra i dipendenti o anche esterno all’impresa, su designazione di chi ha la governance e il management (o l’amministratore) delle società, degli enti pubblici o delle pubbliche amministrazioni. Come ha precisato l’Autorità Garante, non esiste alcun obbligo di designare soggetti in possesso di eventuali certificazioni o attestati, perché unico requisito necessario è quello della conoscenza della disciplina in materia.
  • informare e fornire consulenza al titolare del trattamento in merito agli obblighi derivanti dal presente regolamento nonché da altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati; potrà individuare le linee guida da seguire, nel rispetto della direttiva comunitaria in vigore e del GDPR e indicare le procedure necessarie e la prassi utile da adottare (per esempio, nei casi di Data Breach).
  • verificare la conformità dei trattamenti realizzati alla Policy e sorvegliare l’osservanza obbligatoria del regolamento, di altre disposizioni dell’Unione o degli Stati membri, nonché di tutti gli obblighi di legge comunque stabiliti e comunicati, delle norme particolari relative a un dato settore, o dei regolamenti interni relativi alla protezione dei dati, nonché delle politiche del titolare del trattamento in materia di protezione dei dati personali, compresi l’attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo;
  • fornire, se richiesto, un parere, sulla base della propria conoscenza specialistica, della propria esperienza e delle valutazioni acquisite nell’ambito della propria attività, in merito alla valutazione d’impatto sulla protezione dei dati e sorvegliarne lo svolgimento ai sensi dell’articolo 35;
  • cooperare con l’autorità di controllo nazionale e con chi ha l’amministrazione delle aziende e dei relativi business, nonché con titolare e responsabile del trattamento, al fine di garantire nel miglior modo possibile la sicurezza dei dati e la trasparenza delle operazioni di raccolta, trattamento ed eventualmente anonimizzazione e pseudonimizzazione;
  • fungere da punto di contatto per l’autorità di controllo per questioni connesse al trattamento, tra cui la consultazione preventiva di cui all’articolo 36, ed effettuare, se del caso, consultazioni relativamente a qualunque altra questione inerente agli specifici compiti del DPO, nonché alle eventuali violazioni della privacy e ai rischi per la sicurezza dei dati riscontrati nel corso del proprio lavoro.
  • DPIA (Data Protection Impact Assessment);
  • Predisporre il registro;
  • Gestione dei rapporti con l’Autorità Garante della Privacy (o Garante per la protezione dei dati personali, l’autorità indipendente che in Italia, in coordinamento con gli enti e le istituzioni analoghe dell’Unione Europea, tutela e salvaguarda la privacy dei cittadini in rapporto al trattamento dei dati personali);
  • Controllo sull’osservanza del Regolamento nell’ambito dell’azienda o ente di riferimento.