Linee guida sui Responsabili della Protezione dei Dati (RPD) o Data Protection Officer (DPO)

Posted by

Office Automation, 20 Marzo 2017

Il Regolamento Generale sulla Protezione dei Dati (GDPR) esplicherà i propri effetti a partire dal 25 maggio 2018 ed offrirà un quadro di riferimento per la protezione dei dati in Europa, aggiornato e fondato sul principio di responsabilizzazione (accountability). I Responsabili della Protezione dei Dati (RPD), meglio conosciuti come DPO (Data Protection Officer), saranno al centro di questo nuovo quadro giuridico in molti ambiti e dovranno facilitare l’osservanza delle disposizioni del GDPR.

In base al Regolamento, alcuni titolari e responsabili del trattamento sono tenuti a nominare in via obbligatoria un DPO. Questo vale per tutte le autorità pubbliche e tutti i soggetti pubblici, indipendentemente dalla natura e tipologia di dati trattati, e per soggetti che, come attività principale, effettuino un monitoraggio regolare e su larga scala delle persone fisiche o trattino su larga scala categorie particolari di dati personali e sensibili. Anche dove il regolamento non imponga in modo specifico la designazione di un DPO, può risultare utile procedere su base volontaria alla sua nomina.

Ancor prima dell’adozione del Regolamento, il Gruppo di Lavoro “articolo 29″ (WP29) ha sostenuto che questa figura rappresenti un elemento fondante ai fini della responsabilizzazione, e che la nomina del DPO possa facilitare l’osservanza della normativa ed aumentare il margine competitivo delle imprese. I Responsabili della Protezione dei Dati fungono inoltre da interfaccia fra i soggetti coinvolti: autorità di controllo, interessati, divisioni operative all’interno di un’azienda o di un ente.

In caso di inosservanza del GDPR, i Responsabili della Protezione dei Dati non rispondono personalmente. Il Regolamento stesso chiarisce spetta al titolare o al responsabile del trattamento garantire ed essere in grado di dimostrare che le operazioni sono conformi alle disposizioni di legge. L’onere di assicurare il rispetto della normativa in materia di protezione e tutela dei dati ricade sul titolare o sul responsabile.

Di seguito alcune linee guida a cura del Garante Privacy:

1. Nomina di un DPO

La nomina di un Responsabile Protezione Dati è obbligatoria in 3 casi:

a) se il trattamento è svolto da un’autorità pubblica o da un organismo pubblico;

b) se le attività principali del titolare o del responsabile consistono in trattamenti che richiedono il monitoraggio regolare e sistematico di interessati su larga scala;

c) se le attività principali del titolare o del responsabile consistono nel trattamento su larga scala di categorie particolari di dati o di dati personali relativi a condanne penali e reati.

Il WP29 raccomanda a titolari e responsabili di documentare le valutazioni compiute all’interno dell’azienda o dell’ente per stabilire se si applichi o meno l’obbligo di nomina di un RPD, così da poter dimostrare che l’analisi ha preso in esame correttamente i fattori pertinenti. Ciò non vieta che un’azienda o un ente, quando non intenda nominare un DPO su base volontaria e non sia tenuta a farlo, ricorra comunque a personale o consulenti esterni incaricati di incombenze relative alla protezione dei dati personali. In tal caso è fondamentale garantire che non vi siano ambiguità in termini di denominazione, status e compiti di queste figure; è dunque essenziale che in tutte le comunicazioni interne all’azienda e anche in quelle esterne queste figure o consulenti non siano indicati con la denominazione di “DPO”.

Il concetto di monitoraggio regolare e sistematico degli interessati non trova definizione all’interno del Regolamento; tuttavia tra questo rientrano senza dubbio tutte le forme di tracciamento e profilazione su Internet, anche per finalità di pubblicità comportamentale.

Il Responsabile Protezione Dati deve essere in grado di comunicare con gli interessati in modo efficiente e di collaborare con le autorità di controllo interessate. Deve inoltre essere facilmente raggiungibile da ciascuno stabilimento, nel caso sia stato nominato da un gruppo imprenditoriale. Il fatto che egli sia raggiungibile – vuoi fisicamente all’interno dello stabile ove operano i dipendenti, vuoi attraverso una linea dedicata o altri mezzi di comunicazione idonei e sicuri – è fondamentale al fine di garantire all’interessato la possibilità di contattare il Responsabile Protezione Dati stesso. Quest’ultimo, è vincolato al segreto e alla riservatezza nell’esercizio delle proprie funzioni.

Poichè questa figura è chiamata ad una molteplicità di funzioni, il titolare deve assicurarsi che un unico DPO sia in grado di adempiere in modo efficiente a tali funzioni.

Se un trattamento riveste particolare complessità oppure comporta un volume consistente di dati sensibili, il DPO avrà probabilmente bisogno di un livello più elevato di conoscenze specialistiche e di supporto.

Il Regolamento non specifica le qualità professionali che il DPO deve avere, tuttavia sono pertinenti al riguardo la conoscenza della normativa e delle prassi nazionali ed europee in materia di protezione dei dati. Dovrebbe avere sufficiente familiarità con le operazioni di trattamento svolte nell’azienda, nonché con i sistemi informativi e le esigenze di sicurezza e protezione dati manifestate dal titolare. Le qualità professionali dovrebbero comprendere anche l’integrità ed elevati standard deontologici. Il DPO svolge un ruolo chiave nel promuovere la cultura della protezione dei dati all’interno dell’azienda o dell’ente e contribuisce a dare attuazione a principi fondamentali del trattamento, i diritti degli interessati, la protezione dei dati sin dalla fase di progettazione, i registri delle attività di trattamento, la sicurezza dei trattamenti e la notifica e comunicazione delle violazioni di dati personali.

2. Posizione del DPO

E’ fondamentale che il DPO sia coinvolto in tutte le questioni riguardanti la protezione dei dati personali, a partire dalle fasi iniziali di impatto sulla privacy e protezione dei dati nell’azienda. E’ essenziale inoltre che egli partecipi su base regolare alle riunioni del management di alto e medio livello, che sia tempestivamente informato ogniqualvolta debbano essere assunte decisioni che impattano sulla protezione dei dati o qualora si verifichi una violazione dei dati, che il suo parere riceva sempre la dovuta considerazione.

Il management deve fornire supporto attivo alle funzioni del Responsabile Protezione Dati e dargli tempo sufficiente per l’espletamento dei compiti affidati. Tra le risorse necessarie il titolare deve garantire al DPO supporto adeguato in termini di finanze, infrastrutture e, dove necessario, personale (risorse umane, legali, IT, ecc.).

La comunicazione della nomina del DPO deve pervenire ufficialmente a tutto il personale aziendale, in modo da garantire che la sua presenza e le sue funzioni siano note e chiare a tutto il personale.

I DPO devono avere inoltre la possibilità di curare il proprio aggiornamento e la loro formazione, per un incremento costante delle competenze nel settore della protezione dei dati.

Tra le garanzie essenziali per l’operato del DPO ci deve essere un grado sufficiente di autonomia all’interno dell’azienda. Il titolare mantiene la piena responsabilità dell’osservanza della normativa in materia di protezione dei dati e deve essere in grado di dimostrarla. Se il titolare assume decisioni incompatibili con il DPO, quest’ultimo dovrebbe avere la possibilità di manifestare il proprio dissenso al decisore.

Se un Responsabile Protezione Dati svolge anche altre funzioni in azienda, l’affidamento di questo ruolo non deve dare adito a conflitti di interesse.

3. Compiti del DPO

Al Responsabile Protezione Dati viene affidato il compito di sorvegliare l’osservanza del Regolamento Generale sulla Protezione Dati. Fanno parte di questi compiti di controllo svolti dal DPO:

– la raccolta di informazioni per individuare i trattamenti svolti;

– l’analisi e la verifica dei trattamenti in termini di loro conformità;

– l’attività di informazione, consulenza e indirizzo nei confronti del titolare.

Il controllo del rispetto del Regolamento non significa che il DPO sia personalmente responsabile in caso di inosservanza. Il rispetto delle norme in materia di protezione dei dati fa parte della responsabilità d’impresa del titolare del trattamento, non del DPO.

Secondo il principio di protezione dei dati fin dalla fase di progettazione (data protection by design) il Regolamento prevede che il titolare si consulti con il Responsabile Protezione Dati quando svolge una valutazione di impatto sulla protezione dei dati. Qualora il titolare non concordi con le indicazioni fornite dal DPO, è necessario venga prodotta della documentazione in cui si riporti chiaramente per iscritto quali sono le motivazioni per cui non è possibile conformarsi a tali indicazioni.

Si chiede al DPO di definire inoltre un ordine di priorità nell’attività svolta e di concentrarsi sulle questioni che presentino maggiori rischi in termini di protezione dei dati.

E’ previsto dal Regolamento che il titolare o il responsabile del trattamento, e non il DPO, tenga un registro delle attività di trattamento svolte sotto la propria responsabilità e di tutte quelle svolte per conto di un titolare del trattamento. Nella pratica, spesso sono i Responsabili Protezione Dati a realizzare e tenere un registro di tali attività sulla base delle informazioni fornite loro dai vari uffici o unità che trattano dati personali. Tale registro va considerato uno degli strumenti che consentono al DPO di adempiere agli obblighi di sorveglianza nel rispetto del regolamento, informazione e consulenza nei riguardi del titolare o del responsabile. Il registro deve essere considerato anche uno strumento che consente al titolare e all’autorità di controllo, su richiesta, di disporre di un quadro complessivo di trattamenti di dati personali svolti dallo specifico soggetto. In quanto tale, costituisce un presupposto indispensabile ai fini dell’osservanza delle norme ed un’efficace misura di responsabilizzazione.

Vuoi saperne di più sull’argomento?

Non mancare al seminario del prossimo 6 aprile “Regolamento Europeo sulla Protezione Dati”.

RISERVA IL TUO POSTO

[Fonte garanteprivacy.it, “Linee Guida sui RPD – WP 243”, traduzione a cura del Garante per la protezione dei dati personali, 03.02.2017]

Tags