Paolo Soro

DPO: ruolo chiave per la privacy 4.0

Il Data Protection Officer, responsabile della protezione dei dati è una figura essenziale per la riuscita del Regolamento Europeo n. 2016/679 - GDPR.

Entro il 25 maggio 2018 i titolari del trattamento che svolgono già operazioni di trattamento dei dati personali devono procedere alla nomina del responsabile della protezione dei dati - DPO e comunicarne le generalità al Garante privacy.

Il Data Protection Officer è tenuto ad informare e a consigliare il titolare del trattamento, sorvegliare l'esatta osservanza del regolamento, fornire pareri con riguardo alla valutazione di impatto per la privacy. Un ruolo decisamente strategico nella compagine aziendale. Pertanto, è consigliabile valutare con estrema attenzione la scelta del soggetto da nominare.

Con riferimento alle modalità di nomina, il primo problema che si pone è quello di distinguere i casi di nomina obbligatoria da quelli di nomina facoltativa. I casi di nomina obbligatoria sono i seguenti: tutte le pubbliche amministrazioni; tutti i soggetti privati, i quali, come loro attività principale e su larga scala, compiono monitoraggio regolare e sistematico delle persone oppure trattano particolari categorie di dati nonché dati relative relativi a condanne e reati.

Mentre l'individuazione dei soggetti obbligati in ambito pubblico è semplice, considerata la regola della totalità delle autorità pubbliche, con riferimento al settore privato possono, nella pratica, sussistere incertezze.

Con riferimento alla corretta interpretazione delle disposizioni generali relative ai concetti di attività principale su larga scala, peraltro, se pure con un margine di approssimazione, sia i garanti europei sia il garante italiano hanno elaborato alcune liste esemplificative di soggetti che possono rientrare nella obbligo di nomina: per esempio banche, assicurazioni, organismi e strutture sanitarie, società che effettuano servizi informatici, società di recupero crediti, società di revisione.

Va anche aggiunto che, se pure sempre a livello esemplificativo e con margine di approssimazione, sono stati indicati come soggetti tendenzialmente esclusi dall'obbligo di nomina le imprese individuali e il professionista, che esercita la professione in forma individuale.

Peraltro trattandosi di indicazioni non tassative, occorre che ciascun soggetto, indipendentemente dalla dato dimensionale, verifichi se al suo interno si svolgano o meno trattamenti su larga scala di particolari categorie di dati o se si effettuino su larga scala il monitoraggio regolare e sistematico delle persone.

È opportuno anche che la decisione negativa sia formalizzata, affinché rimanga traccia del ragionamento e delle motivazioni poste a base della mancata nomina.

Una volta sciolto il nodo, eventualmente con il criterio dell’opportunità piuttosto che con il criterio della doverosità certa imposta dalla normativa, occorre sciogliere un altro nodo di carattere organizzativo. Ci si riferisce alla scelta di un soggetto interno o di un soggetto esterno. Ci si riferisce, altresì, per i gruppi imprenditoriali, alla scelta tra nomina di un responsabile della protezione dei dati per l'intero gruppo o, al contrario, di un singolo responsabile della protezione dei dati per ciascuna entità legale, componente del gruppo medesimo.

Una volta compiuta fase, occorre andare all’individuazione in concreto del soggetto, il quale, con riferimento alle situazioni in cui si individua un soggetto esterno alla organizzazione, potrebbe essere una persona giuridica o piuttosto una persona fisica, un professionista.

Nel caso in cui si opti per un soggetto interno occorre compilare un atto di designazione; nel caso in cui si opti per un soggetto esterno occorre sottoscrivere un contratto di servizi. Entrambe queste scritture devono dare atto delle condizioni di indipendenza e di autonomia del responsabile della protezione dei dati, così come devono dare atto della inesistenza di un conflitto di interessi.

La procedura di nomina deve completarsi obbligatoriamente mediante la comunicazione al Garante della protezione dei dati per la protezione dei dati personali dell'avvenuta nomina e dei dati delle generalità e dei dati di contatto del responsabile della protezione dei dati.

A questo proposito il garante italiano ha predisposto una modalità di comunicazione telematica disponibile sul sito www.garanteprivacy.it

Da sottolineare che il modulo predisposto dal Garante impone di indicare altresì le modalità di diffusione dei dati di contatto da parte del titolare del trattamento, sia attraverso la pubblicazione sul proprio sito internet sia attraverso la altre forme, che devono essere predisposti del titolare del trattamento.

Queste operazioni devono essere compiute entro il 25 maggio 2018, per i titolari del trattamento che svolgono operazioni di trattamento già a quella data.

Fonte: IPSOA

comments powered by Disqus
gdpr
top