Data Protection Officer

Perchè nominare un data protection officer?

Obbligo di legge per trattamenti effettuati da:

a) Pubblica amministrazione (Autorità pubblica, Organismo pubblico);

b) Soggetti che effettuano il monitoraggio regolare e sistematico degli interessati su larga scala;

c) Soggetti che effettuano il trattamento su larga scala di categorie particolari di dati personali di cui all’articolo 9 o di dati relative a condanne penali e a reati di cui all’articolo 10 del Regolamento Europeo.

A titolo esemplificativo e non esaustivo: istituti di credito, imprese assicurative, sistemi di informazione creditizia, società finanziarie, società di informazioni commerciali, società di revisione contabile, società di recupero crediti, istituti di vigilanza, partiti e movimenti politici, sindacati, caf e patronati, società operanti nel settore delle "utilities" (telecomunicazioni, distribuzione di energia elettrica o gas),imprese di somministrazione di lavoro e ricerca del personale, società operanti nel settore della cura della salute, della prevenzione/diagnostica sanitaria quali ospedali privati, terme, laboratori di analisi mediche e centri di riabilitazione, società di call center, società che forniscono servizi informatici, società che erogano servizi televisivi a pagamento.

Opportunità

Anche chi non è obbligato per legge può designare un Data Protection Officer. Il Garante ha fortemente caldeggiato la designazione per tutte quelle realtà societarie dotate di una certa complessità e con diverse sedi, filiali, dislocamenti vari sul territorio nazionale e/o estero.

In ogni caso la designazione del DPO consentirebbe di alleggerire funzioni a volte svolte da personale interno che potrebbe non essere in grado di portare correttamente a conoscenza degli organi decisionali aziendali problematiche privacy correndo quindi il rischio di esporre l’azienda a sanzioni in caso di trattamenti illeciti o data breach.

In sostanza resta comunque raccomandata, anche alla luce del principio di "accountability" che permea il Regolamento, la designazione di tale figura (v., in proposito, le menzionate linee guida), i cui criteri di nomina, in tale evenienza, rimangono gli stessi sopra indicati.

Perchè delegare il ruolo di DPO ad una risorsa esterna?

Al momento non esiste una certificazione per il ruolo di DPO. Se e quando questa ci sarà dovrà essere di livello Europeo. Ad oggi esistono solamente corsi di formazione che però non possono garantire un’adeguata preparazione in quanto priva dell’esperienza pratica.

Inoltre il DPO non deve svolgere funzioni e compiti che diano adito ad un conflitto di interessi ovvero ciò significa che un DPO non può rivestire all’interno dell’organizzazione del titolare un ruolo "decisionale”. Sono sicuramente in conflitto (come indicato nelle linee guida VP243 Rev.01) ruoli manageriali o di vertice e responsabili operativi, finanziari, di direzione marketing, risorse umane, responsabili IT, ma anche posizioni gerarchicamente inferiori se queste hanno un minimo potere decisionale (finalità e modalità del trattamento) e non in ultimo la funzione di DPO deve essere predominante rispetto a tutte le altre funzioni svolte per conto dell’azienda.

Pertanto esternalizzare il servizio presenta numerosi vantaggi, tra i quali:

a) risparmio costi e tempi di impiego del personale;

b) usufruire di professionisti competenti dotati di adeguata esperienza maturata sul campo:

- conoscenza della normativa e delle prassi nazionali ed europee in materia di protezione dei dati, compresa un’approfondita conoscenza del RGPD,

- familiarità̀ con le operazioni di trattamento svolte,

- familiarità̀ con tecnologie informatiche e misure di sicurezza dei dati,

- conoscenza dello specifico settore di attività̀ e dell’organizzazione del titolare/del responsabile, - capacità di promuovere una cultura della protezione dati all’interno dell’organizzazione del titolare/del responsabile;

c) programmazione chiara degli interventi e dei coinvolgimenti del DPO attraverso un contratto di servizi.

Quali sono i vantaggi?

È la figura che viene interpellata direttamente dal Garante in caso di necessità. Spetta al DPO, attraverso i dati di contatto resi pubblici, filtrare l’esercizio dei diritti degli interessati e rispondere ai quesiti da essi proposti. È suo compito riferire direttamente agli organi decisionali aziendali che non possono ignorare le sue osservazioni in merito alla corretta applicazione della normativa privacy.

Inoltre, le attività del DPO sono necessarie per dimostrare la conformità, per rispondere a quesiti complessi relativi alla normativa applicabile.

In concreto il DPO svolgerà la sua attività interna attraverso verifiche in loco controllando procedure, aprendo armadi e cassetti, proverà ad accedere ai pc per vedere se sono bloccati, chiederà di digitare le password, farà domande precise e mirate, controllerà gli uffici e i vari luoghi di trattamento e custodia dei dati e quanto altro servirà. Sarà necessaria la presenza di una persona di supporto che seguirà il DPO in questo percorso. A seguito delle ispezioni redigerà verbali che attesteranno le conformità e le non conformità opponibili in sede di contestazioni.