PRIVACY E IMPRESA: LA NUOVA FIGURA DEL DATA PROTECTION OFFICER / by Giampietro Malusa

Ormai noto il testo del nuovo Regolamento Europeo in materia di privacy (vedi qui), che dovrà essere applicato interamente entro 24 mesi dalla sua entrata in vigore, è tempo di iniziare ad analizzarne i contenuti. Se da una parte si è in attesa della formale approvazione del provvedimento da parte del Parlamento Europeo e della conseguente pubblicazione nella Gazzetta Ufficiale dell’Unione Europea, dall’altra ci si è già cominciati ad interrogare sulla portata della nuova normativa e sulle ricadute pratiche sulla gestione aziendale.

Una delle novità delle quali maggiormente si parla è l’introduzione della nuova figura del Data Protection Officer (DPO), disciplinata dagli articoli 35, 36 e 37 del Regolamento (il numero degli articoli potrebbe cambiare con la pubblicazione in Gazzetta).

Vediamone in sintesi i tratti principali, ripercorrendo la normativa.

Il DPO deve essere designato quando:

(a) il trattamento è effettuato da un’autorità o un ente pubblico (fatta eccezione per i tribunali); o

(b) le attività principali del Titolare o del Responsabile consistono in operazioni di trattamento che, in virtù della loro natura, del loro scopo e/o della loro finalità, richiedono un monitoraggio regolare e sistematico delle persone interessate su larga scala; o

(c) le attività principali del Titolare o del Responsabile consistono nel trattamento su larga scala di categorie speciali di dati (sostanzialmente quelli sensibili e quelli giudiziari).

Oltre che in tali casi, un Titolare può comunque designare un Data Protection Officer. Il DPO deve essere designato anche qualora lo preveda la normativa nazionale (attualmente quella italiana non lo prevede).

Un gruppo di imprese può designare un unico Data Protection Officer, a condizione che il DPO sia facilmente raggiungibile da parte di ciascun stabilimento.

Se il Titolare o il Responsabile è un’autorità o un ente pubblico, un unico Data Protection Officer può essere designato da più di tali soggetti pubblici, tenendo conto della loro struttura e dimensione organizzativa.

Il DPO può essere un membro dello staff del Titolare o del Responsabile, oppure un soggetto esterno, che assolve i propri compiti sulla base di un contratto di servizi.

In ogni caso, il Titolare o il Responsabile deve:

  • pubblicare i recapiti di contatto del Data Protection Officer e deve comunicarli all’autorità di vigilanza;
  • assicurare che il Data Protection Officer sia correttamente e tempestivamente coinvolto in tutte le tematiche che riguardano la protezione dei dati personali;
  • fornire supporto al DPO nello svolgimento dei suoi compiti, garantendogli le risorse che sono necessarie per svolgerli, nonché l’accesso ai dati personali e alle operazioni di trattamento, e le risorse perché mantenga le proprie competenze professionali.

Gli interessati possono contattare il DPO in merito a tutte le questioni relative al trattamento dei loro dati personali, nonché per l’esercizio dei propri diritti.

Il Titolare o il Responsabile deve garantire che il Data Protection Officer non riceva alcuna istruzione per quanto riguarda l’esercizio dei suoi compiti. Il DPO non deve essere licenziato o penalizzato dal Titolare in ragione dell’esecuzione delle proprie funzioni. Il DPO riferisce direttamente al più alto livello manageriale del Titolare. Ulteriori previsioni riguardano il segreto professionale cui il Data Protection Officer è tenuto, nonché la necessità di evitare conflitti di interesse con altri eventuali compiti e mansioni.

I compiti del Data Protection Officer:

  1.  informare e consigliare il Titolare o il Responsabile e gli incaricati del trattamento circa i loro obblighi ai sensi del Regolamento e delle altre disposizioni, europee e statali, in materia di protezione dei dati;
  2. controllare il rispetto del Regolamento, delle altre disposizioni relative alla protezione dei dati, e delle regole interne del Titolare o del Responsabile in materia di protezione dei dati personali, inclusi l’assegnazione delle responsabilità, la formazione del personale coinvolto nelle operazioni di trattamento, e i relativi audit;
  3. fornire consulenza ove richiesto per quanto riguarda la valutazione d’impatto sulla protezione dei dati (P.I.A.: Privacy Impact Assessment) e monitorare i relativi adempimenti;
  4. cooperare con l’autorità di vigilanza;
  5. agire come punto di contatto per l’autorità di vigilanza su tutte le questioni relative al trattamento dei dati personali.

Il DPO deve essere designato sulla base delle proprie qualità professionali e, in particolare, dell’approfondita conoscenza della normativa sulla protezione dei dati e sulla capacità di svolgere i compiti che gli sono attribuiti dalle norme e dal Titolare.

Prossimamente commenteremo i punti più salienti di tale disciplina.

Posted in ,   Tags: ,