protezione dati

Gdpr, come dev’essere il DPO (Data Protection Officer): lo spiega il Garante Privacy

Le FAQ del Garante Privacy sono utili a rispondere ad alcuni dubbi su caratteristiche e requisiti del DPO alla luce del GDPR. Molte conferme, ma anche chiarimenti, utili per esempio per designare un DPO interno alla struttura

Pubblicato il 29 Mar 2018

Fabio Di Resta

Avvocato – DPO in ambito ospedaliero e settore pubblico, presidente EPCE, titolare dello studio legale Di Resta Lawyers

privacy_573549067

Per rispondere ai numerosi dubbi sollevati dai titolari e dai responsabili del trattamento sul DPO (Data protection officer) alla luce del GDPR sono state pubblicate in questi giorni le Faq del Garante.

LEGGI TUTTO SUL GDPR

Chiarimenti e conferme dal Garante Privacy sul DPO

In riferimento ai requisiti soggettivi e al profilo dello status, si conferma che non sono richieste attestazioni formali o iscrizioni ad albi per adempiere ai compiti del DPO, ma deve possedere un’approfondita conoscenza della normativa e delle prassi in materia di protezione dei dati personali, oltre ad una conoscenza specifica delle procedure che caratterizzano il settore in cui dovrà operare.

Si conferma, inoltre, che nella disciplina estremamente succinta prevista dal legislatore europeo il DPO è un supervisore indipendente, che avrà funzioni di supporto, consultive, formative e informative, coopererà con il Garante e costituirà il punto di contatto anche rispetto agli interessati, i dati di contatti dovranno essere pubblicati, mentre il nominativo dovrà essere comunicato in ogni caso al Garante.

Un aspetto ancora non affrontato è quello che la cooperazione con l’Autorità di controllo trova il limite nella riservatezza e negli obblighi di segreto professionale cui è tenuto il DPO, a tal riguardo l’art. 38 co. 5 prescrive chiaramente che tali obblighi sussistono in conformità al diritto dell’Unione europeo e del diritto interno.

Per altri versi, le faq confermano quanto già asserito dal Gruppo Articolo 29, per esempio il DPO in ambito privato è obbligatorio anche per tutte le organizzazioni che trattano come attività principale categorie particolari di dati personali (prima indicati come dati sensibili) oppure dati relativi a condanne penali e reati (prima indicati come dati giudiziari) su larga scala.

L’esemplificazione del Garante è di un certo interesse, stante i criteri di cui sopra; il DPO potrà essere obbligatorio nei più disparati settori privati, dagli istituti di credito alle assicurazioni, alle società finanziarie, alle società di informazione commerciale (che sono proliferate in questi anni), alle società di revisione contabile, alle società di recupero crediti, ai sindacati, ai caf, ai patronati, per quanto concerne il settore sanitario, vi rientrano sia gli ospedali privati, sia le terme che i laboratori di analisi cliniche e i centri di riabilitazione.

È bene ricordare che dovrà sempre ricorrere la compresenza dei due criteri delle “attività principali” (c.d. di “core business”) e del “trattamento su larga scala” di dati particolari o attinenti ai reati oppure che implichi un monitoraggio regolare e sistematico degli interessati su “larga scala”.

Inoltre, da una parte si conferma che il titolare ed il respo8nsabile devono fornire al DPO supporto adeguato in termini di risorse finanziarie, infrastrutture, personale, ecc.; dall’altra parte si conferma anche che sono solo il titolare ed il responsabile del trattamento a dover garantire e dimostrare la conformità al Gdpr rispondendo pertanto in via esclusiva anche ad eventuali sanzioni amministrative.

Il DPO potrà anche essere un dipendente dell’organizzazione oppure esterno in forza di un contratto di servizi, in quest’ultimo caso mentre l’indipendenza intesa come non ingerenza nelle proprie attività è un elemento più facile da soddisfare rispetto al DPO interno, il conflitto di interessi dovrà comunque essere disciplinato tenuto conto di alcune specificità del DPO esterno.

Caratteristiche del DPO interno

In ordine a quest’ultimo requisito soggettivo, il DPO interno potrà svolgere altre funzioni, ma dovrà avere sufficiente tempo per svolgere i propri compiti; a tal riguardo, sotto un profilo organizzativo si dovranno evitare situazioni di conflitto del DPO rispetto a chi gestisce processi decisionali che comportano la determinazione delle finalità e le modalità del trattamento.

Più nello specifico, le faq chiariscono che mentre gli incarichi di alta direzione (p.e. amministratore delegato, membro del Consiglio di amministrazione, direttore generale, ecc., ecc.) e ruoli che determinano le finalità e le modalità del trattamento (direzione risorse umane, direzione marketing, direzione finanziaria, responsabile IT, ecc., ecc.) possono presentare conflitti di interessi, l’assegnazione dell’incarico del Data Protection Officer potrebbe anche riguardare le “funzioni di staff” come per esempio i responsabili delle funzioni legali, stando alla definizione mutuata da altri ambiti il criterio delle “funzioni di staff” sarebbe da intendersi come funzione di supporto ai processi decisionali e che forniscono quindi consigli e suggerimenti ad altre unità organizzative.

Tale criterio indicato dal Garante sembra essere molto interessante e sarà certamente impiegato prontamente da parte dei soggetti pubblici e privati che intendano designare internamente la figura dal Data Protection Officer, stante i numerosi dubbi emersi con riguardo al conflitto di interessi che caratterizza tale figura e che limita la designazione all’interno dell’organizzazione.

Infine, le faq chiariscono che il Data Protection Officer potrà anche essere una persona giuridica (p.e. le società di capitali), in tal caso come già indicato nelle Linee guida del Gruppo Articolo 29 pubblicate ad aprile 2017 con riferimento al più generico criterio di “organizzazione”, che come è noto ricomprende non solo le persone giuridiche ma anche gli enti ad esso assimilabili, occorre che sia specificata la persona incaricata che svolgerà tale funzione per conto del cliente.

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

EU Stories - La coesione innova l'Italia

Tutti
Analisi
Video
Iniziative
Social
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia

Articoli correlati