LEXALIA PRIVACY NEWSLETTER

309


IL DATA PROTECTION OFFICER

NUOVO SOGGETTO PRIVACY SOTTO LA LENTE DEL WP29

All’interno del nuovo Regolamento Generale sulla Protezione dei Dati (“GDPR”, il “Regolamento”), già vigente e di futura applicazione a partire dal 25 maggio 2018, spicca l’introduzione di una nuova e articolata figura corporate, quella del Data Protection Officer (DPO).
Si tratta del “Responsabile della protezione dei dati”, come definito nella versione italiana del Regolamento, la cui istituzione diventerà obbligatoria in presenza di talune circostanze, più avanti analizzate e che verrà scelto e nominato dal Titolare del trattamento, che ne resterà co-responsabile per le attività svolte.
In precedenza, tale figura esisteva solo nella prassi aziendale e non ricopriva funzioni riconosciute o rese obbligatorie per legge. Inoltre, il fatto che il Regolamento dedichi a tale figura l’intera Sezione IV del Capitolo IV, relativo alla responsabilità del Titolare e del Responsabile dei trattamenti, è già indicativo dell’importanza che il legislatore europeo ha inteso attribuire a tale figura.

FUNZIONE
Compito del DPO sarà quello di fornire ad un’azienda la propria consulenza e professionalità al fine di costruire un sistema organizzato di gestione dei dati personali, su cui vigilare, adottando un complesso di misure di sicurezza per la tutela dei dati. Il ruolo potrà essere ricoperto da professionisti che posseggano approfondite conoscenze in tema di Privacy.
Il DPO è una figura autonoma che agisce in piena indipendenza ed in assenza di conflitti di interesse, riferendo in merito al suo operato direttamente ai vertici aziendali. Questi ultimi sono tenuti a mettere a sua disposizione adeguato personale, locali, attrezzature ed ogni altra risorsa necessaria.

OBBLIGO DI NOMINA
È necessario che il Titolare del trattamento nomini sistematicamente un DPO quando:
•    il trattamento sarà effettuato da un’autorità o un ente pubblico, ad eccezione dei Tribunali nell’esercizio dell’attività giudiziaria;
•    le attività principali del Titolare del trattamento consisteranno in operazioni che, in ragione della loro natura, scopo e/o finalità, richiederanno un monitoraggio regolare e sistematico delle persone interessate su larga scala;
•    le attività principali del Titolare consisteranno nel trattamento su larga scala di categorie speciali di dati, ovvero dati sensibili (che rivelino l’origine razziale o etnica, opinioni politiche, convinzioni religiose, appartenenza sindacale, dati sanitari, ecc…) e dati personali relativi a condanne penali e reati.

RUOLO E COMPITI
Il DPO si vedrà attribuire i seguenti compiti:
•    sorveglianza sulla corretta applicazione della normativa privacy;
•    effettuazione di valutazioni d’impatto del trattamento dei dati posto in essere, qualora l’attività di specifici progetti possa presentare un rischio elevato per i diritti e le libertà delle persone fisiche;
•    verifica della corretta applicazione della protezione dei dati sin dalla progettazione di applicativi (c.d. privacy by default);
•    attività di audit interno;
•    collaborazione con le Autorità di controllo competenti (prima tra tutte l’Autorità Garante per la protezione dei dati personali);
•    controllo sulla corretta documentazione, notificazione e comunicazione delle violazioni dei dati personali (c.d. data breach notification).

LINEE GUIDA DEL WP29 SU DPO
Con le sue Linee Guida del 13 settembre 2016, il WP29 (Working Party Article 29), Organo indipendente dell’Unione Europea in tema di protezione dei dati, ha inteso fornire chiarimenti finalizzati alla concreta applicazione del Regolamento, offrendo esempi sia riguardo i requisiti professionali e di indipendenza del DPO, sia sui relativi obblighi di nomina.
A tal proposito, è possibile che il DPO possa svolgere anche altre funzioni all’interno di una società, tuttavia sarà compito dell’organizzazione aziendale garantire che l’attività non generi alcun conflitto di interessi. A titolo d’esempio, la scelta del DPO dovrà ricadere su un soggetto diverso dall’IT manager, dal responsabile delle risorse umane, del dipartimento legale o del marketing. Conseguentemente, sarà opportuno che Titolari e Responsabili del trattamento identifichino i diversi ruoli aziendali che possano essere incompatibili con tale funzione e, una volta designato il DPO, dichiarino espressamente che tale soggetto è privo di conflitti di interesse.
Indipendentemente dai casi di nomina obbligatoria, il WP29 incoraggia, in ogni caso, l’adozione su base volontaria di un DPO, ritenendo, infatti, che la nomina di tale figura possa facilitare sensibilmente gli oneri di compliance aziendali e rappresentare un vantaggio competitivo per l’esercizio dell’impresa.
In ogni caso, il DPO risponderà esclusivamente del mancato assolvimento dei propri specifici compiti, come in precedenza illustrati, non potendosi, tuttavia, attribuirgli personalmente eventuali situazioni di non-compliance delle policy della società presso cui lavora.
Il Regolamento, infatti, pone tali responsabilità in capo al Titolare ed al Responsabile del trattamento, i quali sono tenuti ad assicurare e dimostrare che il trattamento dei dati sia svolto in conformità alle prescrizioni normative, nonché a rendere possibile e favorire al DPO lo svolgimento delle proprie mansioni.

CONCLUSIONI
Grande è l’attesa nei confronti dell’impatto che potrà avere l’introduzione del DPO anche in Italia: Paese dove spesso gli obblighi in tema di protezione dei dati personali sono considerati un mero (e fastidioso) adempimento burocratico. Sarà possibile valutare gli eventuali vantaggi derivanti dall’introduzione della figura solo osservandone l’applicazione concreta.
Sono già numerose le voci autorevoli, tra cui spicca in primis quella del Garante della Protezione dei Dati, che prospettano conseguenze positive correlate all’introduzione della figura del DPO, che consentirebbe di vigilare sull’adozione e sul mantenimento nel tempo di un adeguato modello organizzativo in materia di data protection, da cui deriverebbe un beneficio complessivo per l’azienda (o l’ente pubblico), nonché per gli interessati al trattamento.

La presente Legal News ha il solo scopo di fornire informazioni di carattere generale. Di conseguenza, non costituisce un parere legale né può in alcun modo considerarsi come sostitutivo di una specifica consulenza legale.
Per qualsiasi richiesta di chiarimento, scrivere a:
Lexalia – Studio Legale e Tributario
Avv. Giovanna Ianni giovanna.ianni@lexalia.it