D.P.O. – Data Protection Officer: chi è e cosa deve fare
Il Regolamento Europeo in materia di protezione dei dati personali ha introdotto la nuova figura del D.P.O, Data Protection Officer (anche Responsabile della Protezione dei Dati), i cui contatti, nelle ipotesi di nomina obbligatoria ai sensi del G.D.P.R., avrebbero dovuto essere comunicati all’autorità di controllo entro il termine del 25 maggio 2018.
Si tratta di un soggetto, persona fisica (interno o esterno alla struttura del Titolare o del Responsabile del trattamento) o persona giuridica, con competenze legali, informatiche, di risk management e di analisi dei processi.
Compiti del D.P.O.
L’art. 39 del Regolamento Europeo sulla protezione dei dati personali fa un’elencazione dei principali compiti del DPO, secondo le norme specifiche, che qui si sintetizzano:
- informa e fornisce consulenza al Titolare del trattamento o al Responsabile del trattamento, nonché ai dipendenti dei medesimi;
- sorveglia l’osservanza del Regolamento, di altre disposizioni dell’Unione Europea e degli altri Stati membri;
- controlla le modalità dell’attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale predisposto al trattamento e al controllo dei dati;
- fornisce, su richiesta, ogni tipo di consiglio in merito alla valutazione d’impatto sulla protezione dei dati;
- collabora con l’autorità di controllo, fungendo da punto di contatto con la stessa, per questioni relative al trattamento;
- considera i rischi inerenti il trattamento dati, in merito alla natura, all’ambito di applicazione, al contesto e alle sue finalità, attuando un’adeguata procedura di controllo.
Per lo svolgimento dei suoi compiti potrà avvalersi di idoneo software.
Quando si configura un monitoraggio regolare sistematico di dati su larga scala? Nomina obbligatoria.
Il Garante Europeo, ha sancito tre ipotesi nelle quali la nomina del D.P.O. è obbligatoria:
- la prima delle tre, concerne tutti quei trattamenti svolti da enti, autorità od organismi pubblici (eccezion fatta per ipotesi inerenti al compimento delle proprie funzioni giurisdizionali);
- la seconda, invece, attiene a tutte quelle ipotesi nelle quali il core business (o “attività principale”) del Titolare, o del Responsabile del trattamento, consista in una gestione di informazioni che necessitino di un “monitoraggio regolare e sistematico” delle persone fisiche “su larga scala”;
- la terza ed ultima ipotesi, senz’altro più controversa giacché di maggior diffusione, riguarda invece quei casi nei quali il suddetto core business si sostanzi in un trattamento, sempre “su larga scala”, di categorie “particolari” di dati personali oppure di dati inerenti a “condanne penali e reati”.
- il numero effettivo delle persone interessate, “in termini assoluti ovvero espressi in percentuale della popolazione di riferimento”;
- la quantità/volume di dati, nonché le diverse categorie oggetto del trattamento;
- la durata della medesima attività di trattamento;
- la portata geografica (aspetto assolutamente dirimente) del trattamento dati posto in essere.
Si tratta, nei fatti, di trattamenti che riguardino informazioni “sensibili” (ora dati “particolari”) ossia relative ad aspetti assolutamente personali della vita dell’interessato (salute, vita e orientamento sessuale, origine razziale o etnica, opinioni politiche, convinzioni religiose o filosofiche, appartenenza sindacale), nonché relative all’identificazione univoca dell’individuo (dati genetici, dati biometrici). Infine, con la specificazione “condanne penali e a reati”, è di tutta evidenza come all’interno di tale ipotesi non rientrino tutte quelle informazioni relative ad un procedimento civile.
Sulla base delle linee guida emanate dal W.P. 29 (Gruppo di lavoro istituito sulla base dell’articolo 29 della direttiva 95/46/CE), il trattamento è da considerarsi “su larga scala” qualora miri a processare una notevole quantità di dati personali a qualsivoglia livello di estensione (anche solo regionale), interessando verosimilmente un gran numero di soggetti, e comportando, così, un rischio potenzialmente elevato per i diritti e per le libertà dei medesimi.
E’, di assoluta rilevanza sottolineare che, sulla scorta delle medesime linee guida, viene espressamente precisato che il trattamento di dati personali non dovrebbe essere considerato un trattamento su larga scala qualora riguardi dati personali di pazienti o clienti da parte di un singolo medico, operatore sanitario o avvocato.
Pertanto, al fine di stabilire se un trattamento sia effettuato o meno su larga scala bisogna tenere conto dei seguenti fattori:
Per quanto concerne il concetto di monitoraggio “regolare”, questo può essere inteso come un’osservazione continua, ovvero a intervalli definiti, per un arco di tempo definito; oppure, ricorrente o ripetuta a intervalli costanti; o ancora, che avviene in modo costante o a intervalli periodici.
Con l’espressione “sistematico” viene invece indentificato un monitoraggio:
- compiuto per sistema;
- predeterminato, nonché organizzato oppure metodico;
- il quale avvenga nell’ambito di un progetto complessivo oppure di una strategia mirata alla raccolta dei dati.
La nozione di monitoraggio regolare e sistematico include, dunque, non solo tutti i vari strumenti di tracciatura elettronica e profilazione online, ma anche qualsiasi forma di tracciatura in un ambiente offline.
Eseguendo un’attenta analisi del regolamento e delle relative linee guida, si può concludere che siano soggetti agli obblighi di nomina del D.P.O. tutte quelle imprese e quei professionisti che, tenendo ben presente il summenzionato concetto di larga scala, operano su banche dati (clienti, dipendenti e fornitori, consulenti), effettuano attività di marketing attraverso cookies di profilazione online dei clienti, trattano dati particolari o relativi a condanne penali e rati, utilizzano strumenti tecnologici di videosorveglianza (anche digitale), o di controllo degli accessi, gestiscono un sito web.
L’obbligo generalizzato di nominare il D.P.O., secondo le attuali leggi in vigore, vale per tutta la Pubblica Amministrazione, ovvero le Amministrazioni dello Stato, le Scuole di ogni ordine e grado, le Amministrazioni locali, le Camere di Commercio e ogni ente pubblico non economico, ad eccezione
Il Garante per la protezione dei dati, ha precisato, all’interno delle frequently asked questions, pubblicate sul proprio sito web, che ricorrendo i presupposti summenzionati, gli enti privati, che rientrano nell’ambito della seguente elencazione, anche se non esaustiva, sono tenuti a nominare un D.P.O.
- Istituzioni finanziarie e istituti di credito;
- Società di recupero crediti;
- Compagnie assicurative;
- Aziende sanitarie private;
- Società di servizi e/o consulenza;
- Centri elaborazione dati;
- Società di somministrazione di pubblica utilità (es. energia elettrica);
- Società di trasporti;
- Strutture alberghiere;
- Società commerciali ed industriali che trattano una grossa mole di dati personali dei propri clienti, fornitori, consulenti esterni, tale da rientrare nei requisiti di larga scala;
- Studi professionali associati.
Stante la complessità nel gestire tali adempimenti, sarebbe altresì opportuno che le aziende provvedano alla nomina, in aggiunta al D.P.O., di un’ulteriore figura interna, il cosiddetto “Privacy Officer”, il quale avrà il compito di coadiuvare il D.P.O. in ognuna delle sue attività.
Chi nomina il D.P.O.? Autonomia
Il D.P.O. può essere nominato sia dal Titolare sia dal Responsabile del trattamento (mediante contratto di servizi) e la suddetta nomina deve essere perentoriamente comunicata al Garante per la privacy di riferimento.
Il D.P.O. è un consulente dotato di conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati, nonché della capacità di assolvere i compiti stabiliti dal G.D.P.R. Egli (al di là di quanto già illustrato in precedenza) affianca ed assiste il Titolare nella gestione di ogni aspetto relativo al trattamento dei dati personali.
La ratio alla base di una tale scelta risiede nell’obbiettivo di tutela dei diritti e delle libertà dei soggetti interessati, infatti, nelle ipotesi di trattamento più complesse, che comportano un rischio maggiore per i medesimi, vi dovrà sempre essere un soggetto qualificato, il quale vigili sul trattamento medesimo, assicurando il rispetto del G.D.P.R. nonché il costante aggiornamento sulle adeguate misure di sicurezza da implementare.
Il ruolo può essere affidato, secondo la normativa europea, a un dipendente dell’azienda o a un professionista esterno, che può essere una persona fisica o un’organizzazione. Può anche essere nominato un unico D.P.O. per un intero gruppo di imprese.
Il G.D.P.R. stabilisce che il Titolare e il Responsabile del trattamento debbano assicurarsi che il D.P.O. sia sempre tempestivamente ed adeguatamente coinvolto in tutte le questioni inerenti al trattamento, sostenendolo altresì nell’adempimento dei propri compiti fornendogli le risorse necessarie per assolvere i medesimi e per mantenere la propria conoscenza specialistica.
In più il D.P.O. è totalmente indipendente e non deve ricevere istruzioni da nessuno per l’assolvimento dei propri doveri (anche su tale circostanza devono vegliare sia il Titolare sia il Responsabile del trattamento). Inoltre, non potrà essere rimosso, o penalizzato in ragione del corretto adempimento dei propri compiti.
Alla luce di quanto sin qui rappresentato, è facile comprendere come sia decisamente più opportuno nominare un D.P.O. esterno, in modo da scongiurare ogni eventuale ipotesi di conflitto d’interessi.
Il titolare del trattamento deve mettere a disposizione del D.P.O. le risorse umane e finanziarie per poter svolgere il suo compito.