DPO - cos'è ?
Data Protection Officer tradotto in RPD (Responsabile per la protezione dei dati)
Gli articoli 37, 38 e 39 (sezione 4) del GDPR
trattano della figura del DPO (Data Protection Officer) in particolare della
designazione, della posizione e dei compiti.
L'articolo 37 ci spiega che la figura del Data Protection Manager (DPO) non
sempre è necessaria:
La nomina del DPO è obbligatoria per gli
enti pubblici e i soggetti privati che effettuano monitoraggio delle persone su larga scala oppure trattano dati sensibili su larga scala.
Tra gli esempi forniti dalle linee guida, saranno obbligati a nominare un DPO i
Ministeri, le Università, i Comuni, le Regioni, gli ospedali, i sistemi di
trasporto pubblico, geo-localizzazione dei clienti di una catena commerciale
internazionale, le compagnie di assicurazione, le banche, i fornitori di
servizi di telecomunicazioni, i motori di ricerca che trattano dati a scopi
pubblicitari.
Diversamente, non sono
obbligati a nominare il responsabile per la protezione dei dati, a titolo di
esempio: gli avvocati, il singolo studio medico, le aziende manifatturiere o
del settore dei servizi pubblici (energia, ambiente ecc.).
Designazione
del responsabile della protezione dei dati
(1) Il titolare del trattamento e il responsabile del
trattamento designano sistematicamente un responsabile della protezione dei
dati ogniqualvolta:
a. il trattamento è effettuato
da un'autorità pubblica o da un organismo pubblico, eccettuate le autorità
giurisdizionali quando esercitano le loro funzioni giurisdizionali;
b. le attività principali del
titolare del trattamento o del responsabile del trattamento consistono in
trattamenti che, per loro natura, ambito di applicazione e/o finalità,
richiedono il monitoraggio regolare e sistematico degli interessati su larga scala;
oppure
c.
le attività principali del titolare del trattamento o del responsabile del
trattamento consistono nel trattamento, su larga scala, di categorie
particolari di dati personali di cui all'articolo 9 o di dati relativi a
condanne penali e a reati di cui all'articolo 10.
(2) Un gruppo imprenditoriale può nominare un unico responsabile della protezione dei dati, a condizione che sia facilmente raggiungibile da ciascuno stabilimento.
(3) Qualora il titolare del trattamento o il responsabile del trattamento sia un'autorità pubblica o un organismo pubblico, un unico responsabile della protezione dei dati può essere designato per più autorità pubbliche o organismi pubblici, tenuto conto della loro struttura organizzativa e dimensione.
(4) Il responsabile della protezione dei dati è designato in funzione delle qualità professionali, in particolare della conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati, e della capacità di assolvere i compiti di cui all'art. 39.
(5) Il responsabile della protezione dei dati può anche essere un dipendente del
titolare del trattamento o del responsabile del trattamento oppure assolvere i
suoi compiti in base a un contratto di servizi.
(6) Il titolare del trattamento o il responsabile del trattamento sono tenuti a pubblicare i
dati di contatto del responsabile della protezione dei dati e di comunicarli
all'autorità di controllo (Garante Privacy).
Inoltre il DPO deve
essere dotato di totale autonomia nella gestione delle problematiche affidate e
devono essergli fornite risorse necessarie all'assolvimento dei compiti.
Sarà probabile che molte aziende, pur non obbligate ad avere un DPO, si doteranno di una figura con tale incarico destinata a diventare il controller interno del Sistema Privacy.
Per ovvie ragioni è bene evitare di nominare DPO
figure come il CIO (responsabile informatico dell'azienda) o membri del CDA in quanto si
andrebbe normalmente in conflitto di interesse.
In questo ambito ci sono già in rete casi emblematici con pesanti sanzioni:
https://www.federprivacy.org/index.php?option=com_k2&view=item&id=247:privacy-ruolo-di-data-protection-officer-incompatibile-con-quello-di-manager-it&Itemid=526
Fonti WEB: Federprivacy,GDPR-Italy,CWS,CSQA