Il GDPR cerca DPO | Delaini & Partners
La scadenza è molto ma molto più vicina di quanto sembri: il 25 maggio, termine ultimo per adeguarsi alle disposizioni dell’ormai famoso GDPR che regolerà la Privacy, è proprio dietro l’angolo. Considerando soprattutto che non si tratta di una normativa semplice da recepire in termini di riorganizzazione aziendale del modo di trattare i dati sensibili e nemmeno agevole da far recepire ai collaboratori coinvolti. Eppure, parlandone in giro, non si avverte una particolare preoccupazione e nemmeno si capta un senso di urgenza.
Al centro di questo processo si posiziona una figura chiave: il “Data Protection Officer”. Abbiamo chiesto indicazioni all’Ing. Roberto Giovanni Loche, collaboratore della Dancan, società che si occupa in modo specifico di GDPR.
X
X
x
x
x


x
x


x
x
X




Roberto Giovanni Loche
DPO & Privacy Specialist
r.loche@dancan.it
Mobile 331 2917 785
X
X
Una figura professionale nuova di zecca:
il DPO


Qualche doverosa premessa
Cominciamo dall’ABC, chiedendo scusa ai tanti che si sono già ben documentati.
Il Data Protection Officer è una figura professionale introdotta daL Regolamento Generale sulla Protezione dei Dati 2016/679 GDPR, pubblicato sulla Gazzetta Ufficiale Europea L. 119 il 14 maggio 2016, ovvero un professionista in grado di avere competenze informatiche, giuridiche, di risk management e di analisi dei processi. Non è poco e questo dice già che si tratta di competenze non così diffuse come servirebbe.
La sua responsabilità principale è quella di osservare, valutare e organizzare la gestione del trattamento dei dati personali all'interno di un'azienda pubblica o privata con la finalità che i dati vengano trattati nel pieno rispetto della normativa privacy in vigore.

L'art. 39 del Regolamento Europeo elenca i principali compiti del Data Protection Officer che sono dare consulenza e informare il Titolare o il Responsabile del Trattamento e tutti coloro che effettuano il trattamento in merito agli obblighi derivanti dal Regolamento, sorvegliare che le disposizioni in merito alle attività di controllo vengano rispettate, fornire pareri sulla valutazione d'impatto sulla protezione dei dati sorvegliandone il corretto svolgimento (di cui l'art. 35), collaborare con le autorità di controllo e fungere da punto di contatto per questioni connesse al trattamento, tra cui la consultazione preventiva (di cui l'art. 36).


Dovranno obbligatoriamente dotarsi di un Responsabile della Protezione dei Dati personali
tutte le pubbliche amministrazioni ed enti pubblici (eccetto le autorità giudiziarie), e tutti i soggetti (enti e imprese piccole, medio e grandi) che trattano su larga scala dati sensibili, relativi alla salute o alla vita sessuale, genetici, giudiziari e biometrici, oppure che svolgono attività in cui I trattamenti richiedono il monitoraggio regolare e sistematico degli interessati.
Le imprese, che non ricadono nell'obbligo di legge, potranno dotarsi ugualmente di un Data Protection Officer di supporto al titolare del trattamento per garantire le misure prescritte dal Regolamento Europeo.

Il GDPR in due parole o poco più
GDPR, ovvero General Data Protection Regulation è il nuovo Regolamento Europeo sulla protezione dei dati personali.
È importante ricordare che non decadono i Provvedimenti del Garante, gli accordi internazionali e le Decisioni della Commissione UE. Fra le novità introdotte dal GDPR (registro dei trattamenti, DPIA, misure adeguate, entità delle sanzioni, DPO, accountability) assumono particolare rilevanza la figura del DPO – Data Protection Officer e le Certificazioni.

Per approfondire, un link ad un interessante articolo pubblicato da TOM’S HARDWARE https://www.tomshw.it/dati-personali-dice-nuovo-regolamento-europeo-90944?view=amp

La designazione del DPO è obbligatoria per:
- enti pubblici;
- Titolari di trattamento le cui attività principali consistono in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala;
- Titolari di trattamento le cui attività principali consistono nel trattamento, su larga scala, di categorie particolari di dati personali (dati sensibili e dati relativi a condanne penali).
Le “attività principali” vanno intese in senso lato: per un ospedale è la sanità, che non può essere erogata senza un massiccio trattamento dati, quindi scatta obbligo DPO.
Il “trattamento su larga scala” non è definito ma occorre tenere in considerazione alcuni aspetti quantitativi: numero degli interessati, percentuale della popolazione, durata/permanenza, estensione geografica.
Il “monitoraggio regolare e sistematico” non è definito, include essenzialmente la profilazione online, ma non solo.

Il DPO: ma dove andiamo a trovarlo ?
Maggiore è la complessità del trattamento, maggiori dovranno essere le competenze e l’esperienza del DPO, il quale dovrà comunque possedere qualità professionali, conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati, e capacità di assolvere i compiti previsti.
Di conseguenza è molto importante il percorso formativo, e a tal riguardo un link per approfondire
www.certificazionedataprotectionofficer.it.

DPO in outsourcing
È prevista la possibilità di designare in qualità di DPO sia una persona fisica (interna o esterna) che un’entità esterna. Pertanto, la funzione del DPO può essere esercitata anche sulla base di un contratto di servizio stipulato con un individuo o con una organizzazione esterna all’organizzazione del Titolare.

Posizione aziendale e compiti
Il DPO deve essere coinvolto in tutte le questioni che si riferiscono alla protezione dei dati.
Il GDPR prevede esplicitamente il
coinvolgimento del DPO in alcune attività specifiche, come ad esempio nello svolgimento delle Valutazioni di Impatto sulla Protezione dei Dati, specificando inoltre che il Titolare deve chiedere il parere del DPO su questi temi.
Il Titolare e il Responsabile del trattamento restano tuttavia responsabili del rispetto della normativa sulla protezione dei dati e devono essere in grado di dimostrare la conformità al GDPR.
Il DPO può svolgere altri compiti e funzioni. Il titolare del trattamento o il responsabile del trattamento si assicura che tali compiti e funzioni non diano adito a un conflitto di interessi.

Il principale compito del DPO è il
"controllo del rispetto del GDPR”, azione nel corso della quale il DPO può raccogliere dati, analizzare la compliance e infine “informare, consigliare e formulare raccomandazioni al Titolare o al Responsabile”. Il WP29 chiarisce: “Il controllo della conformità non significa che sia il DPO ad essere personalmente responsabile nel caso in cui vi sia una non conformità. Il GDPR rende chiaro che è il Titolare, non il DPO, ad essere tenuto all’attuazione di misure tecniche e organizzative che garantiscano e che dimostrino che il trattamento viene eseguito in conformità al GDPR”.
In conclusione, il rispetto della protezione dei dati è una responsabilità aziendale del Titolare del trattamento, non del DPO“.







Alberto