Chi è il DPO: quando è obbligatorio e quando opportuno

29 Giugno 2020 in DPO as a Service

Chi è il DPO

Vi siete mai chiesti chi è il DPO? Che ruolo e che tipo di responsabilità abbia in azienda? Il Data Protection Officer è previsto dal Regolamento Generale sulla Protezione dei dati (GDPR) e la sua figura è disciplinata perché diventi una realtà per molte organizzazioni. La nomina in alcuni casi deve essere obbligatoria, ma in altri è opportuna sebbene facoltativa. Comunque, la sua designazione non può essere un provvedimento di facciata o di sola compliance normativa.

Chi è il DPO nel GDPR

Il Data Protection Officer (DPO) è una figura introdotta dal GDPR.
Per definire chi è il DPO ne possiamo indicarne le competenze: giuridiche, informatiche, di risk management e di analisi dei processi.
Le responsabilità principali sono legate ad osservazione e valutazione della gestione del trattamento e protezione dei dati personali in azienda nel rispetto delle normative di privacy europee e nazionali.
Il Garante per la protezione dei dati personali ha pubblicato, una scheda informativa dettagliata sugli obblighi e doveri correlati per far capire chi è il DPO.
L’art. 39 del GDPR, elenca la misura minima dei suoi compiti:

a) informare e consigliare il titolare o il responsabile del trattamento, nonché i dipendenti, sugli obblighi previsti dalle norme in materia;

b) verificare l’attuazione e l’applicazione delle norme;

c) se richiesto, fornire pareri ed assistere il titolare in merito alla valutazione d’impatto sulla protezione dei dati e sorvegliare i relativi adempimenti;

d) cooperare con le autorità di controllo;

e) fungere da punto di contatto, non solo per l’autorità di controllo ma anche per gli interessati al trattamento, in merito a qualunque problematica connessa ai loro dati o all’esercizio dei loro diritti;

f) Considerare debitamente i rischi inerenti al trattamento, tenuto conto della natura, dell’ambito di applicazione, del contesto e delle finalità del medesimo.

Chi è il DPO nella disciplina dell’Art. 37 fra obblighi e opportunità di nomina

La designazione del DPO e la sua nomina formale sono trattate nell’art. 37 del GDPR che elenca tutte le tipologie di organizzazione per cui la nomina è resa obbligatoria. Per tutte le altre tipologie di organizzazione la scelta e nomina del DPO è facoltativa, ma in realtà resta opportuna. Indipendentemente da chi è il DPO, se interno o esterno all’azienda, una volta nominato, la sua responsabilità è completamente perimetrata.
L’obbligatorietà di nomina scatta se: l’azienda è una amministrazione, ente pubblico o autorità giudiziarie nell’esercizio delle sue funzioni; il soggetto ha come attività principale trattamenti che, per la loro natura, il loro oggetto o le loro finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala; il soggetto ha per attività principale il trattamento, su larga scala, di dati sensibili, genetici, giudiziari, biometrici e relativi alla salute o alla vita sessuale.
Tranne i casi in cui l’organizzazione non tratti in senso assoluto dati personali, (sebbene assai improbabile), in tutti gli altri casi l’opportunità di avvalersi o meno di un DPO resta comunque raccomandata, anche alla luce del principio di “accountability”.
Nei casi in cui l’azienda sia in dubbio sulla sua appartenenza alle categorie obbligate alla nomina, la scelta di non avvalersi di un DPO, nel rispetto del principio di responsabilizzazione, deve poter essere attentamente dimostrata, con una analisi che abbia preso in esame i fattori pertinenti e di cui l’organizzazione sappia dimostrare lo svolgimento. Infatti, le diciture di “trattamento su larga scala” e “monitoraggio regolare” non forniscono una misura quantitativa precisa; ma il Gruppo di lavoro Art 29 (costituito al fine di fornire indicazioni utili per la conformità al Regolamento GDPR), raccomanda di tenere conto, in particolare, alcuni fattori: il numero di soggetti espressi in percentuale della popolazione interessati dal trattamento, il volume dei dati e/o le diverse tipologie di dati oggetto di trattamento, la durata del trattamento e la portata geografica del trattamento.
Secondo le FAQ del Garante devono procedere alla nomina: gli istituti di credito; le imprese assicurative e quasi tutti gli attori del comparto finanziario, gli istituti di vigilanza; i partiti e movimenti politici; i sindacati; i caf e patronati; le società operanti nel settore delle “utilities”, le società’ che trattano dati di lavoratori e ricerca di personale, le società sanitarie di ogni ordine e grado e tipo, i call center, le società di servizi informatici e televisivi. Viceversa, possono esimersi: le società individuali, i singoli professionisti, gli agenti e rappresentanti, le società piccole e micro, quelle familiari e quelle medie imprese, con riferimento ai trattamenti dei dati personali esclusivamente connessi alla gestione corrente dei rapporti con fornitori e dipendenti: anche considerando il Regolamento, in relazione alla definizione di attività “accessoria” (Fonte Portale 231 della compliance).

P4I – Partners4Innovation

Clicca qui per scaricare l'infografica: DPO insourcing vs outsourcing

Share