Guida IV al Regolamento Privacy UE 2016/679: il responsabile della protezione dati (DPO)

21 Giugno 2017

Guida IV al Regolamento Privacy UE 2016/679: il responsabile della protezione dati (DPO)

1. Disciplina generale

Segue alla precedente guida l’analisi di un’altra figura interessata al trattamento dei dati, introdotta dall’articolo 37, Sezione 4 del Regolamento, vale a dire il Data Protection Officer o DPO, soggetto manageriale con rinnovo periodico.

Il DPO dovrà essere designato dal titolare e dal responsabile del trattamento, quale persona con una conoscenza specialistica della normativa e delle pratiche in materia di protezione dei dati nel controllo del rispetto a livello interno del Regolamento. Il DPO dovrà adempiere le sue funzioni in piena indipendenza e in assenza di conflitti di interesse e deve operare alle dipendenze del titolare o del responsabile del trattamento oppure sulla base di un contratto di servizio.

Sempre l’articolo 37 del Regolamento, paragrafo 2, prevede che un gruppo imprenditoriale può nominare un unico DPO, a condizione che un responsabile della protezione dati sia facilmente raggiungibile da ciascuno stabilimento. Si tratta di disposizione che per imprecisione si presta a diverse interpretazioni.

La designazione del DPO è facoltativa, ma vi sono tre casi in cui il Regolamento prevede la designazione obbligatoria del DPO, ossia:

1) se il trattamento è effettuato da un’autorità pubblica o da un organismo pubblico;

2) se le attività principali del titolare o del responsabile del trattamento consistono in trattamenti che richiedono il monitoraggio regolare e sistematico degli interessati su larga scala;

3) se le attività principali del titolare o del responsabile del trattamento consistono nel trattamento su larga scala di categorie particolari di dati personali relativi a condanne penali e a reati.

Il titolare o responsabile del trattamento possono comunque nominare un responsabile della protezione dati anche in casi diversi da quelli sopra citati.

A titolo esemplificativo si può ritenere che il “monitoraggio regolare e sistematico degli interessati” comprenda tutte le forme di tracciamento e profilazione su internet anche per finalità di pubblicità comportamentale. Tale concetto, però, non si riferisce esclusivamente all’ambiente online.

Anche l’espressione “su larga scala” non è altrimenti spiegata dal Regolamento. Si può ipotizzare che con tale espressione si intendano, ad esempio, il trattamento di dati relativi a pazienti svolto da una clinica privata; il trattamento di dati personali da parte di un motore di ricerca per finalità di pubblicità comportamentale; il trattamento di dati da parte di fornitori di servizi telefonici, trattamenti di geolocalizzazione ecc..

2. I compiti del DPO

È l’articolo 39 del nuovo Regolamento che analizza passo per passo i compiti del responsabile della protezione dei dati, stabilendo che quest’ultimo dovrà:

1) informare e dare consulenza al titolare o al responsabile del trattamento, nonché ai dipendenti che eseguono il trattamento in merito agli obblighi derivanti dal Regolamento europeo e da altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati;

2) verificare l’osservanza del Regolamento, di altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati nonché delle politiche del titolare del trattamento o del responsabile del trattamento in materia di protezione dei dati personali, compresi l’attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo;

c) fornire, se richiesto, un parere in merito alla valutazione d’impatto sulla protezione dei dati e sorvegliarne i relativi adempimenti;

d) cooperare con l’autorità di controllo (Garante per la protezione dei dati personali);

e) fungere da punto di contatto per l’autorità di controllo per questioni connesse al trattamento, tra cui la consultazione preventiva ed effettuare, se del caso, consultazioni relativamente a qualunque altra questione.

Il DPO non è personalmente responsabile in caso di inosservanza del Regolamento. La responsabilità di garantire l’osservanza della normativa in materia di protezione dei dati ricade sul titolare/responsabile del trattamento.

3. Conclusioni

A conclusione di questa analisi delle figure interessate al trattamento dei dati, emerge la vera importante novità introdotta dal nuovo Regolamento, l’ingresso appunto del DPO, soggetto che sarà al centro di questa nuova normativa, a partire dal 25 maggio 2018, in diversi ambiti, e la cui funzione prevalente sarà quella di garantire la conformità al Regolamento e facilitare l’osservanza delle disposizioni attraverso strumenti di accountability.

Guida IV al Regolamento Privacy UE 2016/679: il responsabile della protezione dati (DPO)

Attacco hacker ai sistemi informatici della regione Lazio: arrivano le sanzioni del Garante Privacy

Videosorveglianza e servitù: legittima anche senza il permesso di chi ha la servitù di passaggio

Carcere e sessualità: illegittimo il divieto dell' inderogabilità del controllo a vista

Incroci e interrelazioni tra 231 e privacy

Le indagini aziendali, il diritto di accesso difensivo ed il rispetto della privacy

Shopping low cost: quali sono i veri rischi

Dati neurali: il Cile sancisce la loro tutela e li equipara ai dati sensibili

Nuovi codici di condotta: migliorare la dignità online tramite l’educazione digitale

La nuova legge sul whistleblowing e i suoi riflessi in ambito aziendale sul MOG 231 e sulla Privacy

Intelligenza artificiale: ChatGPT sostituirà i giornalisti? Il giornale del 2030

Altri articoli dell'autore

Articoli più letti su questo argomento