Nuova Privacy 2018

24 aprile 2018

DPO al debutto: quando è obbligatoria la sua designazione

privacy policy dati personali sicurezza
A poco più di un mese dal debutto effettivo della nuova figura del DPO (Data Protection Officer), ovvero del Responsabile della sicurezza dei dati (RPD), figura nata, lo ricordiamo, con l’avvento del nuovo Regolamento (Ue) 2016/679, vediamone in sintesi, per sciogliere gli ultimi dubbi in riguardo, quando effettivamente va individuata, se va individuata all’interno o meno dell’organizzazione aziendale o in uno studio professionale, quando è obbligatoria la sua designazione o quando invece rimane una decisione facoltativa.

Si tratta in particolare di una figura di garanzia professionale introdotta dal Regolamento (all’art. 37) designata in funzione delle qualità professionali con conoscenza specifica della normativa e in materia di protezione dei dati; una new entry nel mondo del lavoro: si prospetta, infatti, con l’applicazione delle nuove norme, un’apertura verso tale figura che genererà una richiesta di ben 45mila esperti tra data protection officer e consulenti esperti (Analisi dati Osservatorio di Federprivacy).

Ma quando è obbligatoria la sua designazione? Ebbene per quanto riguarda l’obbligo di designazione è stabilito che il titolare e il responsabile sono tenuti ad individuare o a formare un DPO, in base all’art. 37 del regolamento, qualora:
  • il trattamento sia effettuato da un’autorità pubblica o da un organismo pubblico (eccetto le autorità giurisdizionali quando esercitano le loro funzioni);
  • le attività principali del titolare del trattamento o del responsabile del trattamento consistano in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala;
  • le attività principali del titolare del trattamento o del responsabile del trattamento consistano nel trattamento, su larga scala, di categorie particolari di dati personali di cui all’articolo 9 (dati sensibili) o di dati relativi a condanne penali e a reati di cui all’articolo 10.

Al di fuori di tali ipotesi, invece, la designazione del DPO rimane facoltativa.

Obbligatorietà designazione in ambito privato - Per quanto riguarda in particolar modo l’obbligatorietà della designazione di tale figura all’interno della struttura organizzativa in ambito privato il Garante, nelle FAQ pubblicate il 26 marzo sul proprio sito istituzionale, ha fornito importanti chiarimenti anche in merito ai soggetti che saranno tenuti alla nomina.

In particolare, il titolare è tenuto alla nomina del responsabile della protezione dei dati personali nei casi previsti dall'art. 37, par. 1, lett. b) e c), del Regolamento (UE) 2016/679 sopra descritti. Nello specifico, si tratta di soggetti le cui principali attività (in primis, le attività c.d. di "core business") consistono in trattamenti che richiedono il monitoraggio regolare e sistematico degli interessati su larga scala o in trattamenti su larga scala di categorie particolari di dati personali o di dati relativi a condanne penali e a reati (per quanto attiene alle nozioni di "monitoraggio regolare e sistematico" e di "larga scala").

Elenco tracciato dal garante a titolo esemplificativo dei soggetti obbligati – Nell’elenco fornito nelle FAQ pubblicate il 26 marzo vengono individuati i seguenti soggetti: istituti di credito; imprese assicurative; sistemi di informazione creditizia; società finanziarie; società di informazioni commerciali; società di revisione contabile; società di recupero crediti; istituti di vigilanza; partiti e movimenti politici; sindacati; CAF e patronati; società operanti nel settore delle "utilities" (telecomunicazioni, distribuzione di energia elettrica o gas); imprese di somministrazione di lavoro e ricerca del personale; società operanti nel settore della cura della salute, della prevenzione/diagnostica sanitaria quali ospedali privati, terme, laboratori di analisi mediche e centri di riabilitazione; società di call center; società che forniscono servizi informatici; società che erogano servizi televisivi a pagamento.

Quando non è obbligatoria la nomina? Non è obbligatoria la designazione del DPO nei casi diversi da quelli previsti dall’art. 37, quali ad esempio in relazione a trattamenti effettuati da liberi professionisti operanti in forma individuale; agenti, rappresentanti e mediatori operanti non su larga scala; imprese individuali o familiari; piccole e medie imprese, con riferimento ai trattamenti dei dati personali connessi alla gestione corrente dei rapporti con fornitori e dipendenti.

Nonostante la non obbligatorietà, il Garante ne consiglia e ne raccomanda anche a tali soggetti la designazione, anche alla luce del principio di "accountability" (secondo il principio di responsabilizzazione).

Va individuata all’interno o meno dell’organizzazione aziendale o in uno studio professionale? Anche in riguardo a tale punto il Garante ha fornito tramite le FAQ degli utili chiarimenti. Difatti viene specificato che il ruolo di responsabile della protezione dei dati personali potrà essere rivestito tanto da un dipendente del titolare o del responsabile (non in conflitto di interessi) che conosca la realtà operativa in cui avvengono i trattamenti, quanto da un soggetto esterno. Potrà essere compatibile con altri incarichi a patto che non vi sia conflitto d'interessi con gli stessi (se ne sconsiglia infatti l’incarico a soggetti con mansioni di alta direzione - amministratore delegato, membro del consiglio di amministrazione, direttore generale, ecc.; o anche figure aventi poteri decisionali nelle direzioni di risorse umane, marketing, direzione finanziaria, responsabile IT, ecc.).

Atto di designazione in ambito privato - Il responsabile della protezione dei dati scelto all'interno andrà nominato mediante specifico atto di designazione, mentre quello scelto all'esterno, che dovrà avere le medesime prerogative e tutele di quello interno, dovrà operare in base a un contratto di servizi. Tali atti, da redigere in forma scritta, dovranno indicare espressamente i compiti attribuiti, le risorse assegnate per il loro svolgimento, nonché ogni altra utile informazione in rapporto al contesto di riferimento.

Soggetti obbligati alla designazione del DPO in ambito pubblico - Mentre precedentemente abbiamo trattato i dubbi relativi alle questioni sollevate in ambito privato, ora cerchiamo di porre chiarezza ai dubbi riguardanti la designazione del DPO nel settore pubblico. Anche in questo caso il Garante ha fornito sul suo sito istituzionale degli utili chiarimenti in riguardo tramite la pubblicazione delle FAQ ufficiali. L'art. 37, par. 1, lett. a), del RGPD prevede in particolare che i titolari e i responsabili del trattamento designino un RPD «quando il trattamento è effettuato da un'autorità pubblica o da un organismo pubblico, eccettuate le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali».

Come, ad esempio: le amministrazioni dello Stato, anche con ordinamento autonomo; gli enti pubblici non economici nazionali, regionali e locali; le Regioni e gli enti locali; le università; le Camere di commercio, industria, artigianato e agricoltura; le aziende del Servizio sanitario nazionale; le autorità indipendenti; ecc.

È fortemente raccomandato procedere alla designazione di un RPD anche nel caso in cui soggetti privati esercitino funzioni pubbliche (in qualità, ad esempio, di concessionari di servizi pubblici).

Atto di designazione in ambito pubblico - Nel caso in cui la scelta del RPD ricada su una professionalità interna all'ente, occorre formalizzare un apposito atto di designazione a "Responsabile per la protezione dei dati". In caso, invece, di ricorso a soggetti esterni all'ente, la designazione costituirà parte integrante dell'apposito contratto di servizi redatto in base a quanto previsto dall'art. 37 del RGPD. Vanno riportati espressamente le generalità e i compiti.

Inserimento dei riferimenti del DPO nell’informativa - Una volta individuato, il titolare o il responsabile del trattamento è tenuto a indicare, nell'informativa fornita agli interessati, i dati di contatto del RPD pubblicandoli anche sui siti web.
Autore: Redazione Fiscal Focus
 © Informati S.r.l. – Riproduzione Riservata
Categorie: Privacy > Disposizioni generali

Per inserire i vostri commenti dovete registrarvi.