Data Protecion Officer, nomina e contratto

di Anna Fabi

17 Maggio 2018 09:55

logo PMI+ logo PMI+
Linee guida sul Data Protecion Officer per la conformità agli obblighi di privacy in azienda: analisi a cura dell'Avv. Emiliano Vitelli.

A pochi giorni dall’entrata in vigore in Italia del GDPR, molte aziende interessate non sono ancora conformi ai dettami del nuovo Regolamento UE per la protezione dei dati personali (Reg. 679/16). Molti dubbi riguardano la nomina del Responsabile della Protezione Dati in azienda (RPD) individuato come Data Protection Officer (DPO). A fare chiarezza possono essere le linee guida del Gruppo Articolo 29 (cioè i Garanti europei per la privacy riuniti in un unico organismo) suddivise in tre sezioni: designazione, posizione giuridica e compiti.

Disponibili anche delle FAQ (con esempi concreti), che permettono – a prescindere dall’obbligatorietà o meno dell’adozione di tale figura all’interno dell’azienda – di comprendere con maggiore profondità e competenza le indicazioni dettate dalla nuova normativa in materia di dati personali.

=> Privacy: obbligo DPO in azienda

Nomina o contratto DPO

Per quanto riguarda la posizione giuridica, il DPO è una figura professionale che può essere sia interna o esterna e, in caso di gruppi di imprese, è possibile procedere alla nomina anche di un solo DPO di riferimento. Quando non si procede alla nomina di un DPO interno ma si sceglie una figura esterna, è bene sapere che si può scegliere anche un team di professionisti o un’organizzazione: in questo caso deve essere sottoscritto un contratto adeguatamente in linea con le prescrizioni del Regolamento e quindi con il ruolo, le responsabilità e la posizione di indipendenza che fanno capo al DPO.

La nomina interna o il contratto esterno devono sempre prevedere l’allocazione di tutte le risorse e le tutele necessarie affinché tale figura possa perseguire i propri compiti. Allo stesso modo, si suggerisce l’opportunità di organizzare regolari riunioni con il DPO e di valutare il suo coinvolgimento negli incontri a livello dirigenziale quando questi rilevano anche in relazione al sistema informativo aziendale.

Compiti e responsabilità

In relazione ai compiti che fanno capo al DPO, appare rilevante sottolineare come il Gruppo dei Garanti Europei abbia ritenuto opportuno evidenziare come questa figura non possa mai essere considerata responsabile per il mancato rispetto della GDPR. Tenendo infatti  bene a mente il fondamentale principio dell’accountability (su cui si regge l’intero impianto del Regolamento), sarà il titolare o il responsabile del trattamento che sono tenuti a garantire ed essere in grado di dimostrare che la gestione dei dati viene eseguita in conformità della normativa.

Allo stesso modo, per quanto riguarda la registrazione delle attività di trattamento, sarà obbligo del titolare o del responsabile (ognuno per le sue competenze) e non del DPO, mantenere il registro delle operazioni di trattamento. Tuttavia, precisano anche le linee guida nulla impedisce al titolare o al responsabile di assegnare al DPO anche il compito di mantenere il registro.

Queste ultime due indicazioni, pertanto, rilevano come il DPO – anche se non può essere considerato la figura che sostituisce il titolare ed il responsabile nell’adempimento degli obblighi prescritti dal GDPR – è un elemento integrante il sistema di gestione delle informazioni a cui possono essere eventualmente demandati alcuni adempimenti che non fanno strettamente capo al ruolo che il GDPR ha delineato.

Definizioni

Chiudiamo con un chiarimento sulle definizioni riguardanti i dati oggetto di trattamento e i relativi obblighi di tutela.

  • Attività principale” (Art. 37 e dal considerando 97), intesa come parte inestricabile dell’attività (come per esempio i dati sulla salute) del titolare e del responsabile, rimanendo escluso da tale definizione, per quanto fondamentale, il trattamento dei dati a fini amministrativi;
  • trattamento su larga scala” (Art. 37 e dal considerando 91), in relazione al quale non può essere indicato un numero specifico, sottolinea il Gruppo dei Garanti Europei, ma devono essere prese in considerazione una serie di elementi indicativi quali la popolazione di riferimento, il volume di dati trattati, la durata e la permanenza del trattamento o l’estensione geografica.

__________

Avv. Emiliano Vitelli