Privacy e DPO: cosa fa e come sceglierlo

La figura del Data Protection Officer (DPO), a volte chiamato impropriamente Data Privacy Officer e tradotto in italiano con Responsabile della Protezione dei dati personali (RPD), è la figura introdotta dal GDPR che si eleva a responsabile privacy nelle aziende e nelle pubbliche amministrazioni.

 

Quando nominare il responsabile privacy, o meglio il nostro DPO?

 

L’art. 37 GDPR ci dice che i requisiti per la nomina obbligatoria del DPO sono questi:

  1. il trattamento è effettuato da un’autorità pubblica o da un organismo pubblico, eccettuate le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali;
  2. le attività principali del titolare del trattamento o del responsabile del trattamento consistono in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala; oppure
  3. le attività principali del titolare del trattamento o del responsabile del trattamento consistono nel trattamento, su larga scala, di categorie particolari di dati personali di cui all’articolo 9 o di dati relativi a condanne penali e a reati di cui all’articolo 10.

Come si può vedere ci sono termini molto generici che necessitano di un approfondimento che ci viene dato dalle Linee Guida redatte dal Gruppo di Lavoro ex art. 29, altrimenti in inglese Working Party, per comprendere come interpretare e saper nominare correttamente il responsabile privacy. Vediamoli.

 

Il concetto di autorità pubblica ha una valenza più ampia rispetto alla pubblica amministrazione, ma bensì può essere applicato anche a privati che esercitano attività di pubblico interesse quali partecipate da pubbliche amministrazioni, oppure privati che operano principalmente a favore delle pubbliche amministrazioni. Altra casistica potrebbero essere le scuole paritarie, organismi non considerate pubbliche amministrazioni, bensì ai fini del GDPR organismo pubblico obbligato alla nomina di DPO.

 

Le attività principali del titolare o del responsabile riguardano le attività principali relative al trattamento dati che non coincidono sempre con la principale attività commerciale: ad esempio, una società che vende un determinato prodotto e ha un folto database potrebbe decidere di fare un’operazione nuova e diversa di trattamento dati e, in quel caso, il DPO potrebbe diventare obbligatorio. Il medesimo concetto non può applicarsi alle attività collegate, a meno che queste non possano essere separate.

 

Il monitoraggio regolare e sistematico, insieme alla larga scala, sono due concetti molto ampi che le Linee Guida ci fanno comprendere con punti chiari ed esempi pratici. Il primo viene identificato in questi punti:

  • Ricorrenti in determinati periodi di tempo
  • Impostati per determinati periodi di tempo
  • Ricorrenti in tutta la loro durata
  • Organizzati e pre-impostasti secondo uno specifico sistema
  • Parte di un piano di raccolta dati
  • Parte di una strategia (aziendale)

Alcuni esempi, quindi, potrebbero essere un sistema di telecomunicazione, email retargeting, marketing basato su strategia di dati, profilazione per scopo di risk assessment, ecc…

La larga scala, invece, si basa su questi punti:

  • Numero di interessati
  • Numero e qualità dei dati
  • Durata del trattamento
  • Estensione geografica del trattamento

Esempi, in questo caso, potrebbero essere geolocalizzazione, attività di gestione delle banche o delle assicurazioni, sponsorizzazione basata sul comportamento degli utenti, ec…

 

Come deve essere considerato il DPO?

 

In questo caso, l’art. di riferimento del GDPR è il n. 38 che ci dice come il responsabile della protezione dei dati sia tempestivamente e adeguatamente coinvolto in tutte le questioni riguardanti la protezione dei dati personali e che sia fornito di tutte le risorse necessarie per assolvere tali compiti e accedere ai dati personali e ai trattamenti e per mantenere la propria conoscenza specialistica.

Inoltre, il titolare del trattamento e il responsabile del trattamento si assicurano che il responsabile della protezione dei dati non riceva alcuna istruzione per quanto riguarda l’esecuzione di tali compiti. Il responsabile della protezione dei dati non è rimosso o penalizzato dal titolare del trattamento o dal responsabile del trattamento per l’adempimento dei propri compiti. Il responsabile della protezione dei dati riferisce direttamente al vertice gerarchico del titolare del trattamento o del responsabile del trattamento.

Infine, e di fondamentale importanza, il responsabile della protezione dei dati è tenuto al segreto o alla riservatezza in merito all’adempimento dei propri compiti.

 

La domanda a questo punto è: il responsabile della protezione dati è interno o esterno alla struttura organizzativa? Entrambe le possibilità sono valide e possono essere valutate in fase di nomina, l’importante è comprendere quali sono le effettive necessità aziendali e quanto sia necessaria la presenza di un DPO: eventualmente si potrebbe scegliere la soluzione ibrida, in altre parole DPO esterno con una risorsa interna in outsourcing.

 

Che compiti ha il DPO?

 

L’art. 39 del GDPR ci informa che il responsabile della protezione dei dati è incaricato almeno dei seguenti compiti:

  1. informare e fornire consulenza al titolare del trattamento o al responsabile del trattamento nonché ai dipendenti che eseguono il trattamento in merito agli obblighi derivanti dal GDPR;
  2. sorvegliare l’osservanza GDPR;
  3. fornire, se richiesto, un parere in merito alla valutazione d’impatto sulla protezione dei dati (Data Protecion Impact Assessment – DPIA in inglese) e sorvegliarne lo svolgimento;
  4. cooperare con l’autorità di controllo (il Garante Privacy); e
  5. fungere da punto di contatto per il Garante per questioni connesse al trattamento, tra cui la consultazione preventiva di cui all’articolo 36, ed effettuare, se del caso, consultazioni relativamente a qualunque altra questione.

Queste sono almeno le attività da effettuare, ma questo non vuol dire che il DPO non possa essere incaricato di altre attività.

 

Come scegliere il DPO?

 

Il vero quesito, compreso quando nominare e quale sono i compiti del DPO, è capire come scegliere il responsabile della protezione dei dati personali per la tua organizzazione.

 

Innanzitutto, il DPO deve essere una figura tecnico-legale in grado di comprendere non solo la parte legale, sicuramente fondamentale, ma comprendere altresì (e oltretutto) i fondamenti dei processi aziendali, di marketing, di HR e di sistemi IT aziendali: insomma, una competenza verticale e una comprensione orizzontale.

In aggiunta, il DPO deve avere delle competenze manageriali in quanto la sua attività lo porterà a contatto con tutti i livelli e tutti i dipartimenti aziendali e dovrà essere in grado di dirigere il processo di adeguamento per l’organizzazione e le risorse aziendali.

Infine, deve essere formato e in grado di formare le risorse aziendali, infatti la formazione è una delle misure che permette di implementare nel modo corretto i processi di trattamento dati e la relativa documentazione

 

 

 

Vuoi innovare la tua azienda? Contattaci per una consulenza legal-tech:


    Cliccando sul pulsante "Invia Messaggio" si acconsente al trattamento dei dati personali come disposto dall'Informativa sulla Privacy

    Related Posts

    19

    Ott
    AB/blog, Contrattualistica Legal Tech

    Legal tech: L’innovazione è nel rapporto tra technology e legal

    Il settore legale è stato fortemente rivoluzionato negli ultimi decenni dal cambio del mercato e dalla percezione del consulente legale, ma è negli ultimi anni che, grazie allo sviluppo delle nuove tecnologie, la consulenza legale ha visto il suo spostamento verso il legal-tech. Quando si parla di legal-tech bisogna pensare a due macro-argomenti: i) la consulenza legale[…]

    17

    Ott
    AB/blog, Start-up e Investimenti

    Work for equity e Stock Option: opportunità per le Startup

    Con il decreto crescita bis (Dl. N. 179/2012) e l’investment compact (Dl. N. 37/2015) il legislatore si è proposto l’ambizioso obiettivo di fornire alle start up e PMI innovative strumenti capaci di aiutare gli startupper perennemente alla ricerca di capitale umano specializzato e risorse economiche. Ravvisando dunque nella costante sottocapitalizzazione una delle più serie e sentite criticità,[…]