Nuova privacy in vigore, Dpo: chi è e quali sono i suoi compiti

Paolo Ballanti 18/09/18
Anche l’ultimo tassello della riforma sulla Privacy entrato ufficialmente in vigore. Dal 19 settembre, infatti, entra in funzione il Dlgs. n. 101/2018 recante le disposizioni per l’adeguamento del Codice privacy alla normativa europea contenuta nel Regolamento UE 2016/679 (cosiddetto GDPR), già operante dal 25 maggio scorso.

Leggi anche “Nuova privacy, è legge: ecco il decreto pubblicato in Gazzetta”

Nuova Privacy: la nomina obbligatoria del Data Protection Officer

Una delle maggiori novità che il legislatore europeo ha introdotto è la figura del Responsabile della protezione dei dati o DPO (acronimo di “Data Protection Officer”). A dire il vero alcuni paesi, come la Germania, ne avevano già previsto la designazione sulla scorta della direttiva 95/46/UE. Con il GDPR, tuttavia, la nomina del DPO diviene obbligatoria al ricorrere delle seguenti condizioni:

  • Il trattamento dei dati è posto in essere da un’autorità pubblica;
  • Le attività principali relative al trattamento dei dati richiedono un monitoraggio regolare e sistematico degli interessati su larga scala;
  • Quando l’attività principale del titolare del trattamento o del responsabile del trattamento consistono nel trattamento, su larga scala, di categorie particolari di dati personali (come i dati sensibili) o dati relativi a condanne penali e a reati.

Nel settore pubblico devono provvedere alla nomina del DPO le amministrazioni dello Stato, gli enti pubblici non economici nazionali, Regioni ed enti locali, università e Camere di Commercio.

Scarica qui il Decreto Privacy

Tra i privati sono tenuti alla designazione del DPO i soggetti indicati a titolo esemplificativo ma non esaustivo dal Garante della Privacy nelle sue FAQ del 26 marzo 2018. Si fa riferimento, tra gli altri, ad istituti di credito, imprese assicurative, società di revisione contabile, società di recupero crediti, istituti di vigilanza, partiti e movimenti politici, sindacati, caf e patronati. In definitiva tutti quei soggetti il cui core business, afferma il Garante, consiste “in trattamenti che richiedono il monitoraggio regolare e sistematico degli interessati su larga scala o in trattamenti su larga scala di categorie particolari di dati personali o di dati relativi a condanne penali e a reati”.

Stando sempre alle FAQ la nomina del DPO non è obbligatoria per quei trattamenti effettuati da liberi professionisti operanti in forma individuale, agenti, rappresentanti e mediatori operanti non su larga scala, imprese individuali o familiari, piccole e medie imprese (con riguardo ai trattamenti dei dati personali connessi alla gestione corrente dei rapporti con dipendenti e fornitori). Come ha precisato il Vademecum del 2 maggio scorso della Fondazione Studi Consulenti del Lavoro, non sono esplicitamente esclusi dall’obbligo della nomina “i professionisti che svolgono la professione in forma associata o STP, per i quali, perlomeno per le realtà più strutturate, la nomina è raccomandata”.

Consulta lo speciale Privacy 2018

Nuova Privacy: le caratteristiche del Data Protection Officer

Il DPO, nominato dal titolare o responsabile del trattamento, può essere una persona fisica (dipendente o consulente esterno) o giuridica. La normativa non prevede tassativi requisiti per rivestire il ruolo. Dev’essere comunque un soggetto dotato di una conoscenza approfondita della normativa e delle prassi in materia di protezione dei dati. Nelle realtà di medie e grandi dimensioni, precisa il Garante, il DPO interno potrà essere comunque coadiuvato da un “apposito ufficio dotato delle competenze necessarie ai fini dell’assolvimento dei propri compiti”.

Sempre nelle FAQ si raccomanda che nel caso in cui si tratti di figura già presente in organico, la scelta dovrebbe cadere preferibilmente su un dirigente o funzionario di alta professionalità, dotato di autonomina e indipendenza, comunque in collaborazione diretta con i vertici dell’azienda o ente.

Nuova Privacy: i compiti del Data Protection Officer

Le funzioni del DPO (contenute nell’articolo 39 del Regolamento UE 2016/679) riguardano principalmente la consulenza al titolare e al responsabile del trattamento sul rispetto degli obblighi derivanti dal GDPR e dalla normativa nazionale, oltre a verificarne l’osservanza.

Al DPO si chiede inoltre di cooperare con l’autorità di controllo e di esserne il punto di riferimento per facilitare l’accesso a documenti e informazioni riguardanti l’azienda o l’ente.

Ultimo, ma non meno importante compito, collaborare con titolare e responsabile, se richiesto, alla valutazione di impatto sulla protezione dei dati e sorvegliarne lo svolgimento.

Nuova Privacy: le responsabilità del Data Protection Officer

Il DPO non risponde personalmente della mancata osservanza della normativa. Come chiarisce l’articolo 24 del GDPR è compito del titolare mettere in atto misure tecniche e organizzative adeguate per “garantire ed essere in grado di dimostrare che il trattamento è effettuato conformemente” al regolamento.

Paolo Ballanti

Scrivi un commento

Accedi per poter inserire un commento