+39 340 8184807 giulio.fontana@itconsbs.it
[et_pb_section][et_pb_row][et_pb_column type=”2_3″][et_pb_text admin_label=”Text” background_layout=”light” text_orientation=”left”]

A partire dalla data dal 25 maggio 2018 la figura del DPO, “Data Protection Officer” o “Responsabile del Trattamento”, sarà obbligatoria per tutti i 28 Stati dell’Unione Europea, venendo così a rappresentare, anche in Italia, un elemento imprescindibile per la tutela dei dati personali.

Il Data Protection Order rappresenta una figura professionale con particolari competenze in campo informatico, giuridico, di valutazione del rischio e di analisi dei processi.

Il compito principale del DPO è l’osservazione, la valutazione, la prevenzione, l’organizzazione e la gestione del trattamento dei dati personali allo scopo di far rispettare le normative europee e nazionali in materia di privacy.

Tuttavia ad oggi le indicazioni riferite alla figura del DPO sono frutto di interpretazioni del gruppo degli esperti e dei garanti nazionali (WP29). Infatti l’articolo 37 del Nuovo Regolamento Europeo 2016/679 non specifica quali debbano essere le competenze professionali necessarie a rivestire la figura del DPO.

Il Gruppo di Lavoro ha definito meglio il termine di “larga scala” come segue:

2.1.3. “Larga scala”

In base all’articolo 37, paragrafo 1, lettere b) e c) del RGPD, occorre che il trattamento di dati personali avvenga su larga scala per far scattare l’obbligo di nomina di un RPD. Nel regolamento  non  si  dà  alcuna  definizione  di  trattamento  su  larga  scala,  anche  se  il considerando 91 fornisce indicazioni in proposito.14

In realtà è impossibile precisare la quantità di dati oggetto di trattamento o il numero di interessati in modo da coprire tutte le eventualità; d’altra parte, ciò non significa che sia impossibile, col tempo, individuare alcuni standard utili a specificare in termini più specifici e/o quantitativi cosa debba intendersi per “larga scala” con riguardo ad alcune tipologie di trattamento maggiormente comuni. Anche il WP29 intende contribuire alla definizione di questi standard pubblicando e mettendo a fattor comune esempi delle soglie applicabili per la nomina di un RPD.

A ogni modo, il WP29 raccomanda di tenere conto, in particolare, dei fattori elencati nel prosieguo al fine di stabilire se un trattamento sia effettuato su larga scala:

14 Il considerando in questione vi ricomprende, in particolare, “trattamenti su larga scala, che mirano al trattamento di una notevole quantità di dati personali a livello regionale, nazionale o sovranazionale e che potrebbero incidere su un vasto numero di interessati e che potenzialmente presentano un rischio elevato”. D’altro canto, lo stesso considerando prevede in modo specifico che “Il trattamento di dati personali non dovrebbe essere considerato un trattamento su larga scala qualora riguardi dati personali di pazienti o clienti da parte di un singolo medico, operatore sanitario o avvocato”. Si deve tener conto del fatto che il considerando offre alcune esemplificazioni ai due estremi della scala (trattamento svolto dal singolo medico / trattamento di

dati relativi a un’intera nazione o a livello europeo) e che fra tali estremi si colloca un’ampia zona grigia. Inoltre, va sottolineato che il considerando citato si riferisce alle valutazioni di impatto sulla protezione dei dati; ciò significa che non tutti gli elementi citati sono necessariamente pertinenti alla nomina di un RPD negli stessi identici termini.

–    il numero di soggetti interessati dal trattamento, in termini assoluti ovvero espressi in percentuale della popolazione di riferimento;

–    il volume dei dati e/o le diverse tipologie di dati oggetto di trattamento;

–    la durata, ovvero la persistenza, dell’attività di trattamento;

–    la portata geografica dell’attività di trattamento. Alcuni esempi di trattamento su larga scala sono i seguenti:

–    trattamento di dati relativi a pazienti svolto da un ospedale nell’ambito delle ordinarie attività;

–    trattamento  di  dati  relativi  agli  spostamenti  di  utenti  di  un  servizio  di  trasporto pubblico cittadino (per esempio, il loro tracciamento attraverso titoli di viaggio);

–    trattamento di dati di geolocalizzazione raccolti in tempo reale  per finalità statistiche da un responsabile specializzato nella prestazione di servizi di questo tipo rispetto ai clienti di una catena internazionale di fast food;

–    trattamento di dati relativi alla clientela da parte di una compagnia assicurativa o di una banca nell’ambito delle ordinarie attività;

–    trattamento di dati personali da parte di un motore di ricerca per finalità di pubblicità comportamentale;

–    trattamento di dati (metadati, contenuti, ubicazione) da parte di fornitori di servizi telefonici o telematici.

Alcuni esempi di trattamento non su larga scala sono i seguenti:

–    trattamento di dati relativi a pazienti svolto da un singolo professionista sanitario;

–    trattamento di dati personali relativi a condanne penali e reati svolto da un singolo avvocato.

Si evince chiaramente, però, che il soggetto prescelto debba possedere comprovata esperienza sulla legislazione relativa alla protezione dei dati personali sia nazionale che europea, sulle prassi oltre che una approfondita conoscenza del Regolamento.  Nel caso, poi, di un ente pubblico o di un organismo pubblico, il DPO dovrebbe anche avere una buona conoscenza delle regole e delle procedure dell’organizzazione amministrativa.

Tale mansione può essere assegnata, oltre che a un libero professionista, anche a un dipendente del titolare del trattamento (o al responsabile del trattamento). Si rende necessario condividere una valutazione che alimenta le polemiche sulla incerta attuazione del Regolamento. Esiste infatti una evidente discrasia tra la figura del dipendente, che è assoggettato a tutti gli oneri e gli obblighi di subordinazione previsti dalla legge, e inoltre l’articolo 38 del Regolamento sancisce la posizione di assoluta indipendenza del DPO. E’ chiaro che, con questi presupposti, la funzione garanzia richiesta al DPO parte già in evidente difficoltà applicativa. L’articolo 38 poi specifica ancora: il DPO non deve trovarsi in alcuna situazione di conflitto di interessi. E’ auspicabile una interpretazione più funzionale che “politica”. Intenzione del legislatore europeo è di cercare di evitare facili nomine effettuate per affinità (o sovrapposizione) di mansioni pratiche: non risulterà conforme alla legge l’eventuale nomina a DPO del responsabile che si occupa di ICT. Ugualmente, facendo riferimento ad un possibile conflitto di interessi, non potrà essere nominato DPO l’amministratore delegato, il responsabile operativo, il responsabile finanziario o sanitario, il direttore marketing e quello delle risorse umane. Quando è obbligatorio attivare la figura del DPO? La normativa nell’art. 37 identifica quali soggetti obbligati ad adottare tale figura. Il DPO è obbligatorio in qualsiasi caso in cui il trattamento sia effettuato:

  • Da una pubblica amministrazione o da un suo organismo,
  • Da società con più di 250 dipendenti,
  • Da aziende, le cui attività principali siano costituite, per loro natura, scopo o finalità, da sistematico e regolare monitoraggio delle persone interessate, oppure se l’attività principale del titolare implicherà un trattamento su larga scala di dati sensibili, relativi alla salute o alla vita sessuale, genetici, oppure giudiziari e biometrici. (Rimangono escluse le autorità giurisdizionali)

Al fine di stabilire se si tratta di un trattamento su larga scala le linee guida del Regolamento consigliano di prendere in considerazione i seguenti elementi: – il numero di persone interessate ed il volume di dati; – la durata dell’attività di elaborazione dei dati; – l’estensione geografica dell’attività di trasformazione degli stessi. Il titolare o il responsabile del trattamento dovranno mettere a disposizione del Responsabile della protezione dei dati personali le risorse umane e finanziarie necessarie all’adempimento dei suoi compiti. I compiti del DPO sono:

  1. Informare il titolare e gli incaricati, circa gli obblighi derivanti dai dati trattati;
  2. Monitorare l’implementazione ed applicazione delle politiche adottate dal titolare in materia di protezione dei dati, assegnazione delle responsabilità, formazione delle risorse umane (in materia di protezione dei dati) ed in materia di verifiche derivanti da quanto sopra;
  3. Assicurare che la “documentazione” di cui ai precedenti punti (l’equivalente del nostro DPS) sia redatta ed efficacemente aggiornata. Vengono riconosciuti importanti principi come l’accountability, ovvero un obbligo del rendiconto delle attività che incidono sulla protezione dei dati personali ma in un’ottica proattiva, per esempio il considerando n. 74 asserisce che “il titolare del trattamento dovrebbe essere tenuto a mettere in atto misure adeguate ed efficaci ed essere in grado di dimostrare la conformità delle attività di trattamento con il presente regolamento, compresa l’efficacia delle misure”, inoltre, è previsto che “Per dimostrare che si conforma al presente regolamento, il titolare del trattamento o il responsabile del trattamento dovrebbe tenere un registro delle attività di trattamento effettuate sotto la sua responsabilità” (considerando n. 82 e art. 30). In questo contesto viene quindi previsto un obbligo di tenere un registro delle attività del trattamento dei dati personali, adempimento solo per alcuni limitati profili simile al Documento Programmatico per la Sicurezza (c.d. D.P.S.) previsto fino al 2012 nel Codice della Privacy (disposizioni abrogate all’art. 34 lett. g e punto 19 dell’Allegato B del Codice della Privacy).
  4. Monitorare che accessi illeciti ai dati siano notificati (ricordiamo che le violazioni di dati personali o data breach devono essere notificate dal controller, senza ritardo, alle autorità competenti), nel rispetto della norma, all’autorità Garante. Il Garante per la protezione dei dati personali ha adottato una serie di provvedimenti che fissano per amministrazioni pubbliche e aziende l’obbligo di comunicazione nei casi in cui a seguito di attacchi informatici, accessi abusivi, incidenti o eventi avversi, come incendi o altre calamità si dovesse verificare la perdita, la distruzione o la diffusione indebita di dati personali conservati, trasmessi o comunque trattati. In riferimento agli incidenti informatici, la procedura di garanzia degli interessati (contraenti) coinvolti nella violazione dei dati personali (c.d. Data Breach Notification) non sarà più solo limitata ai soli fornitori di servizi di comunicazioni elettroniche, ma avrà una portata estesa che potrà riguardare sia i diversi operatori dalla sanità che tutti gli operatori di internet e altri.
  5. Monitorare l’efficacia, l’adeguatezza e l’applicazione del DPIA (Data protection impact assessment ovvero l’obbligo di effettuare una valutazione d’impatto sulla protezione dei dati personali) nonché la sistematica autorizzazione e consultazione del titolare al trattamento verso il DPO prima di adottare una decisione che coinvolga il trattamento dati e la privacy;
  6. Rispondere e cooperare con le richieste dell’autorità Garante per la Privacy;
  7. Agire come punto di contatto per le questioni, sollevate dal Garante, correlate ai trattamenti svolti in azienda.
[/et_pb_text][/et_pb_column][et_pb_column type=”1_3″][et_pb_image admin_label=”Image” src=”https://www.itconsbs.it/wp/wp-content/uploads/2015/05/advanced.jpg” show_in_lightbox=”off” url_new_window=”off” animation=”left” /][et_pb_image admin_label=”Image” src=”https://www.itconsbs.it/wp/wp-content/uploads/2015/05/FEDERPRIVACY001.jpg” show_in_lightbox=”off” url_new_window=”off” animation=”left” /][et_pb_image admin_label=”Image” src=”https://www.itconsbs.it/wp/wp-content/uploads/2015/05/privacyItalia.jpg” show_in_lightbox=”off” url_new_window=”off” animation=”left” /][/et_pb_column][/et_pb_row][/et_pb_section]
Back To Top