☎ : +39 3920719931

Il “Data Protection Officer” nel nuovo Regolamento UE in materia di data-protection

Il “Data Protection Officer” nel nuovo Regolamento UE in materia di data-protection

Una delle principali novità del nuovo Regolamento Ue n. 679/2016 (“General Data Protection Regulation”, di seguito “GDPR”) è rappresentata dalla figura del “Data Protection Officer” o “DPO”, ossia il “Responsabile per la protezione dei dati personali”, che assume una posizione “apicale” all’interno di una determinata organizzazione, con funzioni manageriali e di supporto del Titolare.

Il DPO è soggetto diverso dal Responsabile del trattamento, può essere un dipendente del Titolare o del Responsabile del trattamento oppure  un consulente esterno in base a un contratto di servizi. Un gruppo imprenditoriale può nominare un unico DPO.

I dati di contatto del DPO devono essere indicati nell’informativa da rendere agli interessati e pubblicati sul sito dell’organizzazione di cui fa parte e altresì comunicati all’Autorità di controllo (oggi Garante per la protezione dei dati personali) e resi pubblici.

La designazione del DPO è obbligatoria nei seguenti casi

  • se il trattamento è effettuato da un’autorità pubblica o da un organismo pubblico, eccettuate le autorità giurisdizionali;
  • se le attività principali del Titolare o del Responsabile consistono in trattamenti che, per natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala;
  • se le attività principali del Titolare del trattamento o del Responsabile del trattamento consistono nel trattamento, su larga scala, di categorie particolari di dati, ossia i dati che rivelino l’origine razziale o etnica, opinioni politiche, convinzioni religiose o filosofiche, appartenenza sindacale, dati genetici, biometrici, dati relativi alla salute o alla vita sessuale o orientamento sessuale, o dati relativi a condanne penali e a reati.

Quanto al significato di “trattamenti su larga scala” deve farsi riferimento sia al considerando 91 del GDPR, sia alle Linee Guida del Gruppo ex art. 29 della Direttiva 95/46/Ce del 13.12.2016. A tal proposito, per determinare se il trattamento è effettuato o meno su larga scala, devono esser tenuti presenti alcuni elementi come:

  • il numero di persone interessate, come un numero specifico o come percentuale della popolazione in questione;
  • il volume di dati e /o la gamma di differenti elementi di dati in elaborazione;
  • la durata o permanenza dell’attività di elaborazione dei dati;
  • l’estensione geografica dell’attività di trasformazione.

Fatta tale doverosa precisazione, possono allora individuarsi talune ipotesi di trattamenti su larga scala:

  • elaborazione dei dati del paziente nel corso normale delle attività di un ospedale;
  • trattamento dei dati di viaggio di persone che utilizzano il sistema di trasporto pubblico di una città (per es., in caso di monitoraggio tramite schede di viaggio);
  • elaborazione dei dati in tempo reale di geo-localizzazione di clienti di una catena di fast food internazionale a fini statistici da parte di un responsabile specializzato nella fornitura di questi servizi;
  • trattamento dei dati dei clienti nel normale corso di attività da una compagnia di assicurazioni o di una banca;
  • profilazione per la pubblicità di un motore di ricerca;
  • trattamento dei dati (contenuti, traffico, posizione) da parte dei fornitori di servizi telefonici o Internet.

Non costituiscono trattamenti su larga scala quelli riferiti a dati di pazienti da parte di un singolo medico o a dati personali relativi a condanne penali e reati da parte di un singolo avvocato.

Il DPO deve essere designato in base alle qualità professionali, alla conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati e alla capacità di assolvere i propri compiti.

Soggetto del tutto autonomo e indipendente, il DPO non deve ricevere dal Titolare o dal Responsabile alcuna istruzione per quanto riguarda l’esecuzione dei compiti affidati, né è soggetto a potere disciplinare o sanzionatorio dea parte del Titolare per l’adempimento dei propri compiti. Al DPO devono però essere messe a disposizione le risorse necessarie, con autonomo potere di spesa, sia per assolvere ai compiti assegnatigli, sia per accedere ai dati personali e ai trattamenti, sia infine per mantenere le proprie conoscenze specialistiche (es. aggiornamento professionale). La sua è una tipica attività di vigilanza sulla corretta applicazione del GDPR e sulle politiche e procedure interne dell’organizzazione, sull’attribuzione delle responsabilità, sulla informazione, sensibilizzazione e formazione del personale. Ma egli svolge anche attività di consulenza e di rilascio di pareri al Titolare e al Responsabile, funge da punto di riferimento e di contatto per i cittadini che possono a lui rivolgersi per tutte le questioni relative al trattamento dei loro dati personali e all’esercizio dei loro diritti e coopera con l’Autorità di controllo.

Concludendo, il DPO è un supervisore indipendente, il cui compito principale è quello di vigilare sulla corretta ed efficace attuazione del sistema organizzato di gestione dei dati personali, nonché di supportare i ruoli di garanzia per la protezione dei dati (titolare e responsabili). Pertanto, il DPO non risponde della corretta tenuta del sistema di protezione dei dati personali dell’organizzazione: la sua funzione è di vigilanza e non di garanzia, una sorta di Organismo di Vigilanza e di Controllo (monocratico) simile a quello previsto dal D.Lgs. n. 231/2001 s.m. e i. Tuttavia si può ritenere che nel caso in cui il titolare o responsabile del trattamento dovessero prendere decisioni non conformi al Regolamento comunitario con il configurarsi di conseguenti danni a soggetti terzi e tali decisioni siano dovute a pareri fuorvianti del DPO, quest’ultimo potrà sicuramente essere chiamato a responsabilità, seppur in sede di rivalsa.

Condividi