L’introduzione del ruolo del DPO nel GDPR impone alle imprese una necessità nuova: l’introduzione di una figura di responsabilità per la gestione e protezione dei dati personali. Ne parliamo nell’articolo del giorno.
Tra le novità introdotte dal Regolamento Europeo 2016/679 (altrimenti noto come GDPR) rispetto alle precedenti normative privacy troviamo l’inserimento di una nuova figura all’interno dell’organizzazione aziendale: il DPO (Data Protection Officer) o Responsabile della Protezione Dati.
Nel corso dell’articolo approfondiremo il ruolo del responsabile della protezione dei dati, le sue funzioni e cosa stabilisce il regolamento in merito. Buona lettura!
Negli Articoli 37, 38 e 39 del GDPR vengono definiti i criteri per stabilire l’obbligatorietà, il ruolo, le responsabilità e i compiti in capo al DPO.
Il DPO è una nuova figura specialistica, che deve disporre di una preparazione giuridica e tecnico-informatica in materia di protezione dei dati.
Viene nominato dal Titolare del Trattamento o dal Responsabile del Trattamento e il suo compito è quello di supportare il Titolare nell’applicazione delle procedure che riguardano il regolamento, fungendo anche da interfaccia con l’Autorità di Controllo (il Garante della Privacy).
Nonostante il GDPR sia in vigore dal 2016, sono numerose le imprese che ad oggi non adempiono completamente agli obblighi del regolamento. Tra questi troviamo appunto l’obbligo della nomina di un Responsabile della protezione dei dati. Ma chi sono i soggetti obbligati ad arruolare tra le proprie fila questa figura?
Innanzitutto sono obbligati, senza se e senza ma, gli enti pubblici; per le aziende del settore privato, di qualsiasi settore o dimensione, il discriminante per l’obbligatorietà è la presenza o meno di trattamenti dei dati personali.
Per completezza riportiamo una sintesi del comma 1/b-c Art.37 del GDPR, presente nelleFAQ del Garante Privacy:
Sono tenute alla nomina di un RPD (o DPO) le organizzazioni (intese come aziende) le cui principali attività comprendono trattamenti che richiedono il monitoraggio regolare e sistematico degli interessati su larga scala o in trattamenti su larga scala di categorie particolari di dati personali o di dati relative a condanne penali e a reati.
A chiarire ulteriormente il perimetro entro il quale le aziende devono agire, il Garante Privacy riporta sempre nelle FAQ una serie di attività che, a titolo esemplificativo, sono obbligate a disporre di un DPO nella propria organizzazione a causa dei trattamenti di dati che effettuano:
Definiti i soggetti che sono tenuti ad adempiere all'obbligo di un DPO, vale la pena dare qualche indicazione in merito alle categorie di attività che, sempre secondo il Garante Privacy, non sarebbero obbligate, ovvero:
A tal proposito è bene però riportare l’ultimo paragrafo del punto 4 delle FAQ del Garante Privacy, il quale recita:
“In ogni caso, resta comunque raccomandata, anche alla luce del principio di accountability che permea il RGPD, la designazione di tale figura (v., in proposito, WP 243, cit., par. 1), i cui criteri di nomina, in tale evenienza, rimangono gli stessi sopra indicati.”
L’Art.37 comma 6 del GDPR recita:
“Il DPO può essere un dipendente del Titolare del Trattamento o del Responsabile del Trattamento oppure assolvere i suoi compiti in base ad un contratto di servizi”.
Pertanto, per tutte quelle aziende dove non ci fosse la possibilità di nominare un dipendente, per mancanza di competenze interne, organizzazione o disponibilità economiche, è possibile comunque avvalersi di un consulente esterno o di una società di servizi.
Se, in alternativa, l’azienda decide di nominare internamente il DPO è necessario porre particolare attenzione a scegliere una figura che non abbia un ruolo od una mansione che possa entrare in conflitto d’interessi con i compiti affidati al DPO.
Lo stesso Garante della Privacy chiarisce nelle sue Linee Guida che:
“…a grandi linee, possono sussistere situazioni di conflitto all’interno dell’organizzazione con riguardo a ruoli manageriali di vertice (amministratore delegato, responsabile operativo, responsabile finanziario, responsabile sanitario, direzione marketing, direzione risorse umane, responsabile IT), ma anche rispetto a posizioni gerarchicamente inferiori se queste ultime comportano la determinazione di finalità o mezzi del trattamento…”
Sebbene nelle imprese italiane ed europee sussistano ancora dubbi e perplessità riguardo l’applicazione e l’adeguamento degli obblighi contenuti nel GDPR, lo scenario sta via via maturando sulla scorta delle interpretazioni fornite dalle Autorità nazionali ed europee preposte.
Data l’importanza del tema, è infine fondamentale comprendere che l’adeguamento al GDPR non può essere improvvisato. Diventa quindi necessario procedere con un approccio strutturato, effettuare valutazioni come il risk assesment e la gap analisys per definire in maniera chiara un piano di adeguamento, i ruoli, le responsabilità e eventuali piani di risposta in caso di criticità.
Restate sintonizzati sulle pagine del Magazine SAEP!
Categorie:
