Iscriviti al sito e alla newsletter di Filodiritto.

Welcome kit in omaggio

La pubblicazione di contributi, approfondimenti, articoli e in genere di tutte le opere dottrinarie e di commento (ivi comprese le news) presenti su Filodiritto è stata concessa (e richiesta) dai rispettivi autori, titolari di tutti i diritti morali e patrimoniali ai sensi della legge sul diritto d'autore e sui diritti connessi (Legge 633/1941). La riproduzione ed ogni altra forma di diffusione al pubblico delle predette opere (anche in parte), in difetto di autorizzazione dell'autore, è punita a norma degli articoli 171, 171-bis, 171-ter, 174-bis e 174-ter della menzionata Legge 633/1941. È consentito scaricare, prendere visione, estrarre copia o stampare i documenti pubblicati su Filodiritto nella sezione Dottrina per ragioni esclusivamente personali, a scopo informativo-culturale e non commerciale, esclusa ogni modifica o alterazione. Sono parimenti consentite le citazioni a titolo di cronaca, studio, critica o recensione, purché accompagnate dal nome dell'autore dell'articolo e dall'indicazione della fonte, ad esempio: Luca Martini, La discrezionalità del sanitario nella qualificazione di reato perseguibile d'ufficio ai fini dell'obbligo di referto ex. art 365 cod. pen., in "Filodiritto" (https://www.filodiritto.com), con relativo collegamento ipertestuale. Se l'autore non è altrimenti indicato i diritti sono di Inforomatica S.r.l. e la riproduzione è vietata senza il consenso esplicito della stessa. È sempre gradita la comunicazione del testo, telematico o cartaceo, ove è avvenuta la citazione.

Record di nomine DPO in Italia, ma quanti ne hanno realmente bisogno?

12 ottobre 2018 -
Record di nomine DPO in Italia, ma quanti ne hanno realmente bisogno?

Il Garante per la protezione dei dati personali ha recentemente pubblicato un’infografica che riassume in cifre e per categorie generali il bilancio dei primi 4 mesi di applicazione del GDPR.

Tra gli altri, l’adempimento che ha maggiormente interessato i soggetti attivi del trattamento (titolare, contitolare e responsabile), dal 25 maggio a settembre 2018, riguarda senza dubbio la comunicazione al Garante dei dati di contatto dei DPO nominati nel territorio nazionale, secondo quanto previsto dall’articolo 37, paragrafo 7 del GDPR.

I numeri sono impressionanti! Infatti, sono pervenute al Garante 40.738 comunicazioni.

È indubbio che una buona parte delle comunicazioni sia attribuibile alle autorità pubbliche (ad esempio Pubbliche Amministrazioni, Comuni e Regioni) che sono obbligate a nominare tale figura indipendentemente dal tipo di trattamento di dati personali che effettuano.

Tuttavia, per quanto riguarda i soggetti privati, un numero così elevato di comunicazioni lascia spazio a interrogativi in merito all’effettiva necessità per i soggetti  dichiaranti di dotarsi di un DPO.

Nonostante il Gruppo di Lavoro ex Articolo 29 – nelle proprie Linee Guida sul DPO, scaricabili al seguente link: http://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=612048 – abbia caldeggiato la nomina di tale figura su base volontaria, quindi anche da parte di soggetti che non rientrano nell’obbligo, i numeri nazionali risultano elevatissimi se si considera, ad esempio, che in Francia i soggetti che hanno provveduto alla nomina di un DPO sono 24.500 (dati risultanti dal sito del CNIL, link: https://www.cnil.fr/fr/rgpd-quel-premier-bilan-4-mois-apres-son-entree-en-application).

Pertanto, senza entrare nel merito dei casi di obbligatorietà previsti dal GDPR – ampiamente affrontati nelle citate Linee Guida – e tralasciando l’analisi dei criteri funzionali e dei requisiti di indipendenza che tale figura deve rispettare e possedere, vale la pena ribadire il principio sostanziale che regge l’intero impianto del GDPR – e che lo differenzia dal punto di vista applicativo dalla vecchia normativa – ovvero l’“accountability” (la responsabilizzazione). Rappresenta il principio-guida che richiede una presa di coscienza effettiva, da parte dei soggetti attivi del trattamento, i quali devono orientare la propria condotta verso una consapevole applicazione della disciplina di data protection, in modo sostanziale e diverso dai formalismi del vecchio Codice Privacy.

In conclusione, ci domandiamo quanti, tra i 40.738 dichiaranti italiani, abbiamo effettivamente applicato il principio di accountability, fondando l’esigenza di designazione del DPO su un’analisi approfondita e sostanziale della propria attività in rapporto con l’esigenza di protezione dei dati, e quanti, invece, lo abbiano considerato un mero adempimento formale – per non dire un capro espiatorio – che li mettesse al sicuro da ogni possibile contestazione, come avveniva, di fatto, con l’ormai abrogato adempimento della notificazione prevista dal vecchio Codice Privacy.

È palese, per chi conosce – o si è solo adeguatamente informato sulla – disciplina del DPO, che la designazione comporta obbligazioni contrattuali, impegni di tempo ed economici, non sempre trascurabili, in capo al titolare o al responsabile, pertanto la nomina non necessaria ovvero la scelta su soggetti privi delle necessarie competenze, potrebbe avere un effetto controproducente a rischio di sanzione o, nel peggiore dei casi, cagionare danni al titolare o al responsabile.     

D’altro canto, merita considerazione l’elenco – contenuto nelle FAQ sul Responsabile della Protezione dei Dati in ambito privato, pubblicate dal nostro Garante Privacy – dei soggetti tenuti alla nomina del DPO e, in particolare, tra questi, il riferimento alle “società che forniscono servizi informatici”, che, a nostro parere, può dare luogo ad alcune criticità, se applicato incondizionatamente a tutte le società del settore, indipendentemente dall’oggetto specifico dell’attività o del servizio fornito.

Non si può pertanto negare che, proprio per le difficoltà interpretative che possono insorgere nell’applicazione delle disposizioni contenute nel GDPR – non sempre risolte dalle indicazioni fornite delle Autorità – le imprese affrontano situazioni di incertezza e difficoltà nella corretta attuazione del GDPR, nel tentativo di porre in essere gli adempimenti ed attività in ambito data protection.

Articolo pubblicato in: Diritto della privacy


About

  • Contatti
  • Redazione
  • Pubblicità
  • Avvertenze
  • Privacy
  • Cookie

Newsletter

Rimani aggiornato sulle novità e gli articoli più interessanti della redazione di Filodiritto, inserisci la tua mail:

Iscriviti alla newsletter

© Filodiritto 2001-2018

Filodiritto è un marchio di InFOROmatica S.r.l.
P.Iva 02575961202
Capitale sociale: 10.000,00 i.v.
Direttore responsabile: Antonio Zama
Tribunale Bologna 24.07.2007,
n.7770 - ISSN 2239-7752

Sempre aggiornato

Scrivi la tua mail per ricevere le ultime novità, gli articoli e le informazioni su eventi e iniziative selezionati dalla redazione di Filodiritto.

*  Email:

Leggi l'informativa sulla privacy

Sede legale e amministrativa InFOROmatica S.r.l. - Via Castiglione 81, 40124 - Bologna
Tel. 051.98.43.125 - Fax 051.98.43.529

Credits webit.it