LEXALIA PRIVACY NEWSLETTER

432

Lexalia Privacy Newsletter

REGOLAMENTO PRIVACY: COME SCEGLIERE IL DPO

PRIME INDICAZIONI RILASCIATE DAL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

In vista dell’imminente applicazione del Regolamento generale sulla protezione dei dati, Reg. UE n. 679/2016 (“GDPR” o “il Regolamento”), il Garante della Privacy italiano si è ultimamente concentrato sul rilascio di chiarimenti ed indicazioni utili al fine di aiutare le imprese private e le pubbliche amministrazioni ad orientarsi nel processo di adeguamento ai nuovi requisiti di compliance prescritti dal GDPR, entro maggio 2018.

Il DPO (Data Protection Officer o Responsabile per la Protezione dei Dati, RPD) rappresenta un punto cruciale in proposito.

IL DPO ALLA LUCE DEL GDPR E DELLE LINEE GUIDA DEL WP29

Il DPO è tenuto a svolgere le seguenti attività:

  • sorveglianza della corretta applicazione del GDPR, con valutazione dei rischi di ciascun trattamento alla luce della natura, dell’ambito di applicazione, del contesto e delle finalità;
  • informazione e sensibilizzazione del Titolare/Responsabile del trattamento, nonché dei dipendenti, riguardo agli obblighi derivanti dal GDPR e da altre disposizioni in materia di protezione dei dati;
  • collaborazione con il Titolare/Responsabile in ogni attività connessa al trattamento di dati personali, anche con riguardo alla tenuta di un registro delle attività di trattamento ed alla realizzazione di valutazioni di impatto sulla protezione dei dati (DPIA).
  • cooperazione con il Garante, fungendo da punto di contatto ogni questione relativa al trattamento.

Alcuni Titolari del trattamento saranno obbligati a nominare tale nuova figura nell’ambito della propria struttura organizzativa, tramite individuazione di un dipendente dotato di tutti i requisiti necessari, oppure un collaboratore esterno con regolare contratto. È possibile prevedere la nomina di un DPO a livello di Gruppo, qualora sia garantito il pieno e corretto svolgimento delle sue funzioni su tutte le società dello stesso.

L’obbligo di nomina riguarda tutte le amministrazioni ed enti pubblici, indipendentemente dai dati oggetto di trattamento, e tutti i soggetti la cui attività principale consista nel monitoraggio regolare e su larga scala degli interessati ovvero trattino su larga scala particolari categorie di dati sensibili, relativi alla salute o alla vita sessuale, genetici, giudiziari e biometrici. Anche per i casi in cui il GDPR non impone in modo specifico la designazione di un DPO, tale nomina è fortemente consigliata dal WP29 (Gruppo di Lavoro ex art. 29, composto dai rappresentanti dei Garanti europei), come ha avuto modo di sottolineare all’interno delle Linee Guida pubblicate in tema a dicembre 2016 e successivamente emendata nel mese di aprile 2017. La nomina facoltativa di un DPO rappresenterà un’ulteriore misura di sicurezza che il Titolare del trattamento potrà applicare, al fine di servirsi della collaborazione di una figura dotata di specifica formazione ed esperienza in materia, al fine di attuare correttamente quanto prescritto della normativa privacy nazionale e del GDPR.

IL DPO SOTTO LA LENTE DEL GARANTE

È necessario che i Titolari del trattamento selezionino il proprio DPO con particolare attenzione, verificando in concreto le sue esperienze professionali e le competenze in materia di privacy.

Non sono necessarie attestazioni formali o l’iscrizione in albi professionali ad hoc.

Gli attestati conseguiti in seguito a master e corsi di formazione in materia possono rappresentare elementi utili ai fini valutativi, ma non costituiscono una “abilitazione” di per sé sufficiente a comprovare l’idoneità, la professionalità e le competenze.

L’ufficio del Garante ha formulato tali precisazioni rispondendo alle prime richieste ricevute in una nota indirizzata ad un’azienda ospedaliera, incerta sulle scelte più opportune per la nomina del proprio DPO.

Gli esperti individuati dalle aziende che operano in settori sensibili dovranno tenere in considerazione la particolarità del trattamento e saranno tenuti a dimostrare l’esperienza pregressa nel settore, nonché a garantire l’occupazione sostanzialmente esclusiva nella gestione di tali compiti.

Ciascuna società ed ente pubblico dovrà selezionare il proprio DPO valutando in piena autonomia e responsabilità i candidati al ruolo e verificando che questi siano in possesso di tutti i requisiti essenziali per ricoprire tale posizione.

Come annunciato dal Garante, saranno forniti ulteriori orientamenti utili per la scelta del DPO, che potranno emergere anche dagli specifici incontri che l’Authority si appresta a svolgere con imprese e Pubblica Amministrazione.

La presente Legal News ha il solo scopo di fornire informazioni di carattere generale. Di conseguenza, non costituisce un parere legale né può in alcun modo considerarsi come sostitutivo di una specifica consulenza legale.

Per qualsiasi richiesta di chiarimento, scrivere a:

Lexalia – Studio Legale e Tributario

Avv. Giovanna Ianni giovanna.ianni@lexalia.it