In questo articolo cercherò di fare un pò di chiarezza sul ruolo del DPO (Data Protection Officer)
La figura del DPO è stata istituita dal Regolamento UE 679/2016 in materia di Privacy. A partire dal 28/5/2018 le normative nazionali dei paesi dell’Unione Europea saranno sostituite dal nuovo Regolamento Europeo Privacy.
La prima domanda che ci dobbiamo fare è : Chi deve nominare un DPO ?
L’articolo 37 del Regolamento UE 679/2016 spiega che
- Il titolare del trattamento e il responsabile del trattamento designano sistematicamente un responsabile della protezione dei dati ogniqualvolta:
a) il trattamento è effettuato da un’autorità pubblica o da un organismo pubblico, eccettuate le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali;
b) le attività principali del titolare del trattamento o del responsabile del trattamento consistono in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala; oppure
c) le attività principali del titolare del trattamento o del responsabile del trattamento consistono nel trattamento, su larga scala, di categorie particolari di dati personali di cui all’articolo 9 o di dati relativi a condanne penali e a reati di cui all’articolo 10.
Il punto a) è chiaro, sui punti b) e c) stiamo ancora aspettando spiegazioni.
Non possiamo però fermarci e quindi passiamo ad una nuova domanda : Come scegliere il DPO ?
L’art. 37 del Regolamento UE 679/2016 stabilisce che :
- Il responsabile della protezione dei dati è designato in funzione delle qualità professionali, in particolare della conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati, e della capacità di assolvere i compiti di cui all’articolo 39.
- Il responsabile della protezione dei dati può essere un dipendente del titolare del trattamento o del responsabile del trattamento oppure assolvere i suoi compiti in base a un contratto di servizi.
Quindi sappiamo che deve essere scelto in funzione delle competenze e può essere un dipendente o un collaboratore esterno.
Se dovesse essere un dipendente, verrebbe da pensare che la scelta più corretta possa essere il Responsabile Informatico (IT Manager), lo aveva pensato anche un’azienda tedesca ma questa scelta è in contrasto con il punto 6 dell’art. 38
6.Il responsabile della protezione dei dati può svolgere altri compiti e funzioni. Il titolare del trattamento o il responsabile del trattamento si assicura che tali compiti e funzioni non diano adito a un conflitto di interessi.
Secondo il Garante tedesco esiste un conflitto di interessi, il DPO non può valutare il lavoro del Responsabile Informatico (con ogni probabilità nominato Amministratore di Sistema) essendo la stessa persona.
Ovviamente nominare DPO un’altra persona che lavora alle dipendenze del Responsabile Informatico farebbe pensare ad un ulteriore conflitto di interessi, come può il DPO essere autonomo e libero nelle scelte quando il suo ruolo all’interno dell’ufficio è sottoposto alla valutazione del Responsabile Informatico?
Scartando l’ipotesi di nominare una persona “libera” da conflitti ma priva di competenze, rimane un’unica scelta : il DPO deve essere una figura esterna che, avendo anche altri incarichi, non dipende dal Titolare o da altre figure aziendali ed è quindi libero di esprimere il proprio giudizio in merito alla Sicurezza dei Dati.
Il DPO non è un semplice Consulente Privacy che può visitare l’azienda una volta l’anno per aiutare il Titolare a valutare eventuali modifiche.
L’art. 39 del Regolamento stabilisce le funzioni minime del DPO :
- a) informare e fornire consulenza al titolare del trattamento o al responsabile del trattamento nonché ai dipendenti che eseguono il trattamento in merito agli obblighi derivanti dal presente regolamento nonché da altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati;
- b) sorvegliare l’osservanza del presente regolamento, di altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati nonché delle politiche del titolare del trattamento o del responsabile del trattamento in materia di protezione dei dati personali, compresi l’attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo;
- c) fornire, se richiesto, un parere in merito alla valutazione d’impatto sulla protezione dei dati e sorvegliarne lo svolgimento ai sensi dell’articolo 35;
- d) cooperare con l’autorità di controllo; e
- e) fungere da punto di contatto per l’autorità di controllo per questioni connesse al trattamento, tra cui la consultazione preventiva di cui all’articolo 36, ed effettuare, se del caso, consultazioni relativamente a qualunque altra questione.
E’ chiaro che il DPO sarà coinvolto costantemente nelle attività del Titolare proprio per adempiere ai compiti previsti dalla normativa europea.