Chi è il DPO e di cosa si occupa? Le principali FAKE NEWS sul Data Protection Officer
Oggigiorno con la diffusione di internet in tutte le case è sempre più semplice ricevere informazioni su qualsiasi tema. Tuttavia, non sempre ciò che arriva risulta chiaro e preciso e le fake news sono sempre più diffuse anche attorno al ruolo del DPO.
Vogliamo quindi chiarire dei concetti base su questa figura e sulle attività che è deputata a svolgere.
L’acronimo DPO sta per Data Protection Officer – Responsabile della protezione dei dati – ed è una figura introdotta dal Regolamento generale sulla protezione dei dati, ossia il Regolamento europeo 679/2016 che disciplina il trattamento dei dati personali da parte di aziende e organizzazioni.
Chiariamo dunque alcune delle fake news più diffuse sul DPO:
• Il DPO è obbligatorio in tutte le aziende. Falso
Il GDPR individua i casi specifici in cui la designazione del RPD è obbligatoria: tutte le pubbliche amministrazioni ed enti pubblici, eccetto le autorità giudiziarie quando esercitano le loro funzioni giurisdizionali (art. 37); nel caso di trattamenti che richiedono il monitoraggio regolare e sistematico di dati su larga scala; quando i trattamenti riguardano categorie particolari di dati personali (dati sensibili) ex art. 9 o dati relativi a condanne penali e a reati di cui all’art. 10 trattati su larga scala. Per stabilire se un trattamento è su larga scala il Comitato europeo per la protezione dei dati suggerisce di tenere in considerazione alcuni elementi:
– il numero degli interessati coinvolti (in termini assoluti o in percentuale rispetto alla popolazione di riferimento);
– la quantità dei dati trattati;
– le diverse tipologie di dati trattati;
– la durata del trattamento;
– la portata geografica del trattamento.
La normativa a tal riguardo non è del tutto esaustiva e in ogni caso anche qualora non vi sia l’obbligatorietà il titolare può ritenere opportuno procedere alla nomina del DPO come ulteriore misura idonea a dimostrare la conformità dei trattamenti al regolamento.
• Il DPO non svolge attività di consulenza. Falso.
La funzione del Data Protection Officer è principalmente quella di informare, sorvegliare, fornire consulenza al titolare del trattamento o al responsabile del trattamento nonché ai dipendenti che eseguono il trattamento in merito agli obblighi derivanti dal presente regolamento; dunque, i suoi compiti rientrano perfettamente tra quelli di una consulenza specialistica.
• Il DPO deve iscriversi ad uno specifico albo professionale. Falso
Attualmente non esiste alcun albo professionale dei Responsabili della protezione dati, né un iter unico formativo e un’abilitazione per diventare DPO. Non esistono quindi titoli abilitanti o attestati formali che determinano l’idoneità di un Responsabile della Protezione dei Dati. Tuttavia, eventuali certificazioni delle competenze professionali, soprattutto se rilasciate da enti indipendenti di terza parte, costituiscono un valido strumento ai fini della verifica del possesso di un certo livello di conoscenza della materia. Come ha chiarito il Garante, tali certificazioni sono sempre volontarie, e non sono mai obbligatorie per svolgere il ruolo di Data Protection Officer, sia che siano basate su schemi proprietari che su norme tecniche pubbliche.
Il GDPR consiglia comunque di avere una formazione specifica nel settore per poter ricoprire tale ruolo.
• Il DPO ha il dovere di compilare il Registro dei trattamenti. Falso.
Il registro è un documento interno, deve essere tenuto in forma scritta, anche in formato elettronico, e va esibito all’autorità di controllo (Garante) in caso di verifiche.
La tenuta del registro dei trattamenti è prevista dall’articolo 30 del Regolamento generale europeo.
L’onere della tenuta del registro è a carico del titolare e, se nominato, del responsabile del trattamento.
Il Data Protection Officer deve informare il Titolare della necessità di redigere un registro dei trattamenti e controllare l’idoneità del documento, ovviamente nel caso in cui questo gli venga richiesto. Il titolare (data controller) è costituito dalla persona fisica, l’autorità pubblica, l’impresa, l’ente pubblico o privato, l’associazione che determina, singolarmente o insieme ad altri, le finalità e i mezzi del trattamento dei dati personali.
Fra i compiti attribuito dal GDPR al Titolare infatti vi sono:
– adozione delle misure tecniche e organizzative atte a garantire la tutela dei diritti dell’interessato (privacy) e per garantire che i dati non siano persi, alterati, distrutti o comunque trattati illecitamente, riducendo al minimo il trattamento dei dati personali, mediante misure tecniche/organizzative al fine di dimostrare la conformità con il Regolamento;
– vincolo al dovere di riservatezza dei dati, inteso come dovere di non usare, comunicare o diffondere i dati al di fuori del trattamento;
– designazione del Responsabile del trattamento a cui affidare mansioni importanti e di elevata
professionalità, in fase di gestione dei dati personali;
– redazione del registro di trattamenti;
– formazione del personale;
• Il DPO ha i tra i suoi compiti quello di effettuare le valutazioni d’impatto sulla protezione dei dati. Falso.
L’art. 35 del Regolamento parla di valutazione d’impatto sulla protezione dei dati che deve essere effettuata dal titolare del trattamento quando un tipo di trattamento, allorché prevede in particolare l’uso di nuove tecnologie, considerati la natura, l’oggetto, il contesto e le finalità del trattamento, può presentare un rischio elevato per i diritti e le libertà delle persone fisiche.
In base sempre all’art. 35, nel paragrafo 1, si specifica che spetta al titolare del trattamento, e non al DPO, condurre, ove necessario, una valutazione di impatto sulla protezione dei dati (DPIA, nell’acronimo inglese).
Il DPO ha, tuttavia, un ruolo fondamentale e di grande utilità in quanto assiste il titolare nello svolgimento di tale DPIA; il Titolare del trattamento si consulta con il DPO e quest’ultimo ha il compito di fornire, se richiesto, un parere in merito alla valutazione di impatto e sorvegliarne lo svolgimento. Nel caso in cui il titolare non concordi con le indicazioni del DPO dovrà motivare e documentare il suo dissenso.
• Il DPO deve formare il personale e i dipendenti. Falso.
È l’azienda che a sue spese deve provvedere alla realizzazione di un idoneo sistema di conformità GDPR ma anche alla formazione del personale. Il Data Protection Officer deve principalmente assicurarsi che l’azienda si organizzi attraverso percorsi di formazione adeguati alle tipologie di dati trattati.
• Il DPO costituisce il riferimento normativo dell’azienda in tema di privacy. Falso.
Tale ruolo spetta al Privacy Officer o comunque all’ufficio che si occupa della conformità aziendale. Il DPO è principalmente un consulente nell’ambito della privacy, una guida utile all’adeguamento delle procedure esistenti rispetto a quanto previsto dal General Data Protection Regulation.
• Il DPO è responsabile delle operazioni e attività in ambito di privacy dell’azienda. Falso.
La responsabilità delle attività aziendali è sempre del Titolare del trattamento ed eventualmente dei Responsabili da lui nominati. Il DPO risponde soltanto per lo svolgimento dei suoi obblighi di consulenza ed assistenza nei confronti del titolare, il quale rimane (eventualmente in solido col responsabile) l’unico soggetto responsabile del rispetto della normativa nei confronti dei terzi.