Perchè il Data Protection Officer non è una creatura immaginaria
La figura del Data Protection Officer (Responsabile della protezione dei dati) come sappiamo è una delle novità che porterà con sé l’entrata in vigore dal 25 Maggio 2018 del Regolamento Europeo per la protezione dei dati personali: L’art 37 infatti definisce questa figura come un soggetto designato dal titolare o dal responsabile del trattamento dei dati ad assolvere funzioni di supporto e consulenza (sia pure in modo non vincolante), controllo, formazione, informazione.
Recentemente il Garante Privacy ha meglio precisato, fornendo anche casi esemplificativi, per quali tipologie di aziende private è doverosa la nomina della figura del DPO, inizialmente indicate genericamente al par. 1 lett b) e c) del Regolamento UE 2016/679 come quei soggetti le cui principali attività (in primis, le attività c.d. di "core business") consistono in trattamenti che richiedono il monitoraggio regolare e sistematico degli interessati su larga scala o in trattamenti su larga scala di categorie particolari di dati personali o di dati relative a condanne penali e a reati.
Di seguito le tipologie di imprese per cui il trattamento dei dati richiede la figura del DPO:
· Istituti di credito
· Imprese assicurative
· Sistemi di informazione creditizia
· Società finanziarie
· Società di informazioni commerciali
· Società di revisione contabile
· Società di recupero crediti
· Istituti di vigilanza
· Partiti e movimenti politici
· Sindacati
· CAF e Patronati
· Società operanti nel settore delle “utilities” (telecomunicazioni, energia)
· Imprese che si occupano di lavoro interinale e di ricerca del personale
· Società che si occupano della cura della salute, prevenzione e diagnostica
· Call center
· Società di servizi informatici
· Società che erogano servizi televisivi a pagamento
In quali casi il DPO non è richiesto? Le recenti FAQ disponibili sul sito del Garante della Privacy riportano quanto segue: “la designazione del responsabile del trattamento non è obbligatoria (ad esempio, in relazione a trattamenti effettuati da liberi professionisti operanti in forma individuale; agenti, rappresentanti e mediatori operanti non su larga scala; imprese individuali o familiari; piccole e medie imprese, con riferimento ai trattamenti dei dati personali connessi alla gestione corrente dei rapporti con fornitori e dipendenti: v. anche considerando 97 del Regolamento, in relazione alla definizione di attività "accessoria").” In ogni caso resta “raccomandata” su base volontaria la nomina di un DPO anche quando questi non sia espressamente richiesta.
Individuazione, competenze e requisiti richiesti a un DPO
Se ci fossero ancora dubbi in proposito, è utile ribadire che la figura del Data Protection Officer non è assolutamente da considerare una figura puramente formale da individuare dando la precedenza ai criteri della maggiore disponibilità o del minor costo, ma al contrario va scelta con cura e documentandola in modo adeguato, se non si vuole incorrere in sanzioni derivanti dalla individuazione di una figura non adeguata (principio giuridico della “culpa in eligendo” già presente anche nel DPCM 3 Dic 2013 in materia di sistema di conservazione digitale)
Come riporta testualmente la pagina FAQ del sito web del Garante della Privacy “Il responsabile della protezione dei dati personali, al quale non sono richieste specifiche attestazioni formali o l'iscrizione in appositi albi, deve possedere un'approfondita conoscenza della normativa e delle prassi in materia di privacy, nonché delle norme e delle procedure amministrative che caratterizzano lo specifico settore di riferimento.
Deve poter offrire, con il grado di professionalità adeguato alla complessità del compito da svolgere, la consulenza necessaria per progettare, verificare e mantenere un sistema organizzato di gestione dei dati personali, coadiuvando il titolare nell'adozione di un complesso di misure (anche di sicurezza) e garanzie adeguate al contesto in cui è chiamato a operare. Deve inoltre agire in piena indipendenza (considerando 97 del Regolamento UE 2016/679) e autonomia, senza ricevere istruzioni e riferendo direttamente ai vertici.
Il responsabile della protezione dei dati personali deve poter disporre, infine, di risorse (personale, locali, attrezzature, ecc.) necessarie per l'espletamento dei propri compiti.”
Definite le caratteristiche di professionalità della figura del DPO è inoltre utile sapere che:
· Il Regolamento UE 2016/679 prevede che un gruppo imprenditoriale nomini un unico DPO purchè sia facilmente interpellabile/raggiungibile da ciascun stabilimento e sia perciò in grado di comunicare e collaborare efficacemente con gli interessati e in caso di bisogno con le autorità di controllo
· Fatte salve le caratteristiche professionali precedentemente citate e richieste, il ruolo può essere ricoperto sia da una figura interna, nominata con atto formale, sia esterna con cui verrà stipulato un contratto di servizio. Il nominativo dovrà essere obbligatoriamente comunicato all’autorità Garante della Privacy
· L’incarico di DPO è compatibile con altri incarichi, purchè non vi sia conflitto di interessi: è consigliabile evitare perciò che il ruolo sia ricoperto da incarichi di alta direzione o da risorse operanti con potere decisionale in ordine alle finalità e alle modalità del trattamento dati personali quali risorse umane, marketing, IT etc
· Il DPO può essere sia una persona fisica che, in caso di soggetto esterno, giuridica. Si raccomanda, in ogni caso, di procedere a una chiara ripartizione di competenze, individuando una sola persona fisica atta a fungere da punto di contatto con gli interessati e l'Autorità di controllo.
Alla fine di questo articolo sarà finalmente chiaro a tutti che il DPO, al contrario dell'immagine, sarà vero e avrà le sembianze di un comune essere umano con una solida preparazione e professionalità, non avrà ali o piume, ma soprattutto non avrà poteri magici per cui conviene che iniziate a cercarvene uno se volete essere conformi per il 25 Maggio 2018