PRIVACY: AGGIORNAMENTI

Data Protection Officer DPO: Chi lo deve nominare?

03/04/2018

Il Garante della protezione dei dati ha pubblicato sul proprio sito alcune FAQ relativamente ai soggetti obbligati alla designazione del responsabile della protezione dei dati (DPO - Data Protection Officer), previsto dall’articolo 37 del Regolamento (UE) 2016/679, e alle funzioni che dovrà svolgere.

Il Regolamento europeo prevede infatti che il titolare o il responsabile del trattamento debbano designare un responsabile della protezione dei dati ogniqualvolta:

  • le attività principali del titolare o del responsabile del trattamento consistono in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala

oppure

  • le attività principali del titolare o del responsabile del trattamento consistono nel trattamento, su larga scala, di categorie particolari di dati personali (dati personali che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, nonché dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona), o i dati personali relativi a condanne penali e a reati.

Dalla lettura delle considerazioni preliminari del Regolamento (considerando n. 97) si evince che l’obbligo di designazione del DPO sussiste solo se il trattamento di dati costituisce l’attività primaria, e non si tratta di attività accessoria.

Di seguito una sintesi dei chiarimenti forniti dal Garante.

Soggetti obbligati alla designazione del DPO

Sono tenuti alla designazione del DPO i soggetti le cui principali attività (in primis, le attività c.d. di "core business") consistono in trattamenti che richiedono il monitoraggio regolare e sistematico degli interessati su larga scala o in trattamenti su larga scala di categorie particolari di dati personali o di dati relativi a condanne penali e a reati.

Per le nozioni di "monitoraggio regolare e sistematico" e di "larga scala", il Garante rinvia alle Linee guida sulla figura del DPO emanate dal Gruppo di lavoro europeo “WP29” (organo consultivo indipendente dell’UE per la protezione dei dati personali). Secondo il Gruppo di lavoro WP29, il concetto di “monitoraggio” ricomprende tutte le forme di tracciamento e profilazione anche per finalità̀ di pubblicità̀ comportamentale. L’aggettivo “regolare” ha invece almeno uno dei seguenti significati:

  • che avviene in modo continuo ovvero a intervalli definiti per un arco di tempo definito;
  • ricorrente o ripetuto a intervalli costanti;
  • che avviene in modo costante o a intervalli periodici.

L’aggettivo “sistematico”, infine, ha almeno uno dei seguenti significati:

  • che avviene per sistema;
  • predeterminato, organizzato o metodico;
  • che ha luogo nell’ambito di un progetto complessivo di raccolta di dati;
  • svolto nell’ambito di una strategia.

Per far scattare l’obbligo di nomina di un DPO, il trattamento di dati personali deve avvenire anche “su larga scala”. Nel considerando 91 del Regolamento sono considerati trattamenti su larga scala quelli che mirano al trattamento di una notevole quantità di dati personali a livello regionale, nazionale o sovranazionale e che potrebbero incidere su un vasto numero di interessati e che potenzialmente presentano un rischio elevato.

Per il Gruppo di lavoro WP29, sono considerati trattamenti su larga scala:

  • trattamento di dati relativi a pazienti svolto da un ospedale nell’ambito delle ordinarie attività;
  • trattamento di dati relativi agli spostamenti di utenti di un servizio di trasporto pubblico cittadino (per esempio, il loro tracciamento attraverso titoli di viaggio);
  • trattamento di dati di geolocalizzazione raccolti in tempo reale per finalità statistiche da un responsabile del trattamento specializzato nella prestazione di servizi di questo tipo rispetto ai clienti di una catena internazionale di fast food;
  • trattamento di dati relativi alla clientela da parte di una compagnia assicurativa o di una banca nell’ambito delle ordinarie attività;
  • trattamento di dati personali da parte di un motore di ricerca per finalità di pubblicità comportamentale;
  • trattamento di dati (metadati, contenuti, ubicazione) da parte di fornitori di servizi telefonici o telematici.

Sono considerati trattamenti non su larga scala:

  • trattamento di dati relativi a pazienti svolto da un singolo professionista sanitario;
  • trattamento di dati personali relativi a condanne penali e reati svolto da un singolo avvocato.

Ricorrendo i presupposti di cui sopra (monitoraggio regolare e sistematico degli interessati su larga scala), secondo il Garante sono tenuti alla nomina, a titolo esemplificativo e non esaustivo: istituti di credito; imprese assicurative; sistemi di informazione creditizia; società finanziarie; società di informazioni commerciali; società di revisione contabile; società di recupero crediti; istituti di vigilanza; partiti e movimenti politici; sindacati; caf e patronati; società operanti nel settore delle "utilities" (telecomunicazioni, distribuzione di energia elettrica o gas); imprese di somministrazione di lavoro e ricerca del personale; società operanti nel settore della cura della salute, della prevenzione/diagnostica sanitaria quali ospedali privati, terme, laboratori di analisi mediche e centri di riabilitazione; società di call center; società che forniscono servizi informatici; società che erogano servizi televisivi a pagamento.

Per il Garante, la designazione del DPO non è obbligatoria, ad esempio, in relazione a trattamenti effettuati da liberi professionisti operanti in forma individuale; agenti, rappresentanti e mediatori operanti non su larga scala; imprese individuali o familiari; piccole e medie imprese, con riferimento ai trattamenti dei dati personali connessi alla gestione corrente dei rapporti con fornitori e dipendenti.

Confermiamo inoltre che nella generalità dei casi le aziende alberghiere, se ed in quanto non effettuano trattamenti che richiedono il monitoraggio regolare e sistematico degli interessati su larga scala, non sono obbligate alla nomina del DPO.

In ogni caso, il Garante, anche alla luce del principio di "accountability" che permea il Regolamento, raccomanda comunque la designazione di tale figura. Nel caso in cui si ritenga di nominare un DPO, occorre rispettare le prescrizioni del Regolamento europeo e le indicazioni fornite dal Garante.

Funzioni del DPO

Il DPO assolve a funzioni di supporto e controllo, consultive, formative e informative relativamente all'applicazione del Regolamento europeo. Coopera con l'Autorità, ed infatti il suo nominativo va comunicato al Garante, e costituisce il punto di contatto, anche rispetto agli interessati, per le questioni connesse al trattamento dei dati personali (articoli 38 e 39 del Regolamento).

Il ruolo di DPO può essere ricoperto da un dipendente (non in conflitto di interessi) che conosca la realtà operativa in cui avvengono i trattamenti. Può però essere affidato a soggetti esterni, a condizione che garantiscano l'effettivo assolvimento dei compiti che il Regolamento assegna a tale figura. Il DPO scelto all'interno andrà nominato mediante specifico atto di designazione, mentre quello scelto all'esterno dovrà operare in base a un contratto di servizi. Tali atti, da redigere in forma scritta, dovranno indicare espressamente i compiti attribuiti, le risorse assegnate per il loro svolgimento, nonché ogni altra utile informazione in rapporto al contesto di riferimento.

Nel caso di gruppo imprenditoriale, è possibile designare un unico DPO, purché sia facilmente raggiungibile da ciascuna sede.

Il ruolo di DPO è compatibile con altri incarichi, a condizione che non sia in conflitto di interessi. Il Garante ritiene preferibile evitare di assegnare il ruolo di DPO a soggetti con incarichi di alta direzione (amministratore delegato; membro del consiglio di amministrazione; direttore generale; ecc.). Da valutare, in assenza di conflitti di interesse e in base al contesto di riferimento, l'eventuale assegnazione di tale incarico ai responsabili delle funzioni di staff (ad esempio, il responsabile della funzione legale).

Qualora il DPO sia individuato in un soggetto esterno, quest'ultimo potrà essere anche una persona giuridica. In questo caso, si dovrà comunque individuare una sola persona fisica atta a fungere da punto di contatto con gli interessati e l'Autorità di controllo.

Professionalità

Per essere designati come DPO non sono richieste specifiche attestazioni formali o l'iscrizione in appositi albi. Il DPO deve possedere un'approfondita conoscenza della normativa e delle prassi in materia di privacy, nonché delle norme e delle procedure amministrative che caratterizzano lo specifico settore di riferimento.

Deve avere una professionalità adeguata alla complessità del compito da svolgere, finalizzata a progettare, verificare e mantenere un sistema organizzato di gestione dei dati personali, coadiuvando il titolare nell'adozione di un complesso di misure (anche di sicurezza) e garanzie adeguate al contesto in cui è chiamato a operare. Deve inoltre agire in piena indipendenza (considerando 97 del Regolamento) e autonomia, senza ricevere istruzioni e riferendo direttamente ai vertici. Deve infine poter disporre di risorse (personale, locali, attrezzature, ecc.) necessarie per l'espletamento dei propri compiti.

 Facciamo riserva di tornare sull’argomento, all’esito dell’emanazione dei decreti legislativi di coordinamento delle norme o a seguito di altri chiarimenti del Garante.

Leggi anche le notizie già pubblicate:

Nasce lo Sportello Privacy du Confcommercio Nuoro Ogliastra. Scarica la normativa