DPO

Il Titolare del trattamento, in relazione all’attività svolta, può /deve individuare, nominare e incaricare per iscritto, un Responsabile per la protezione dei dati ovvero Data Protection Officer (DPO).

Questa figura rappresenta un elemento fondante ai fini della responsabilizzazione; la nomina del DPO facilita l’osservanza della normativa e aumenta il margine competitivo delle imprese. Oltre a favorire l’osservanza attraverso strumenti di accountability (per esempio, supportando valutazioni di impatto e conducendo o supportando audit in materia di protezione dei dati), il DPO funge da interfaccia fra i soggetti coinvolti: autorità di controllo, interessati, divisioni operative all’interno di un’azienda o di un ente.

In base all’articolo 37, paragrafo 5, il DPO “è designato in funzione delle qualità professionali, in particolare della conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati, e della capacità di assolvere i compiti di cui all’articolo 39”. Nel considerando 97 del GDPR si prevede che il livello necessario di conoscenza specialistica dovrebbe essere determinato in base ai trattamenti di dati effettuati e alla protezione richiesta per i dati personali oggetto di trattamento.

Il WP29 ed il Garante stesso, incoraggia comunque la nomina del DPO, anche quando il GDPR non la richiede espressamente.
Bisogna tener conto che, in caso di designazione di un DPO su base volontaria, si applicheranno comunque gli stessi requisiti previsti dal GDPR sulla sua designazione, ruolo e compiti, come se la nomina fosse stata obbligatoria.

Il GDPR prevede entrambe le ipotesi, il DPO può far parte del personale del titolare o del responsabile del trattamento dei dati personali, quindi si avrà l’ipotesi del DPO interno, oppure può essere nominato sulla base di un contratto di servizi (DPO esterno), potendo essere individuato sia in una persona fisica che giuridica.

I requisiti richiesti al DPO, caldeggiano la nomina di un soggetto esterno: infatti, solo una persona esterna alla struttura del Titolare può effettivamente essere in grado di agire in assenza di conflitti di interessi.

Per svolgere correttamente le mansioni suddette si richiede la sussistenza dei classici requisiti di autonomia e indipendenza in capo al Responsabile.

Qualora il DPO fosse interno, il titolare del trattamento e il responsabile dovranno assicurarsi che i compiti e le funzioni svolte non siano in conflitto di interessi, richiedendogli di non esercitare ruoli che comportino la definizione delle finalità o modalità di trattamento di dati personali.

Non è ammessa la possibilità di rivestire il ruolo di Responsabile per l’amministratore delegato, il responsabile operativo, il responsabile sanitario, il responsabile IT e soprattutto per tutti i soggetti apicali dell’Organizzazione.

Si deve, in ogni caso, tener conto dei seguenti fattori al fine di stabilire se un trattamento sia effettuato su larga scala: il numero di soggetti interessati dal trattamento, in termini assoluti ovvero espressi in percentuale della popolazione di riferimento; il volume dei dati e/o le diverse tipologie di dati oggetto di trattamento; la durata, ovvero la persistenza, dell’attività di trattamento; la portata geografica dell’attività di trattamento.

In tal senso il Titolare dovrà sottoporre i propri trattamenti e le proprie misure di sicurezza ad una valutazione dei rischi volta a ricondurre il rischio residuo a livelli di accettabilità.

La norma UNI 11697:2017 definisce quattro profili professionali relativi al trattamento e alla protezione dei dati personali.

• Responsabile della protezione dei dati personali (DPO): figura disciplinata dall’art. 39 del Regolamento UE 2016/679 che supporta il Titolare o Responsabile dell’applicazione del regolamento e ne assicura l’osservanza.
• Manager privacy: figura che coordina trasversalmente i soggetti coinvolti nel trattamento dei dati personali, al fine di garantire il rispetto delle norme di legge applicabili e il raggiungimento nonché il mantenimento del livello di protezione adeguato in base allo specifico trattamento di dati personali effettuato.

• Valutatore o Lead Auditor Privacy: figura indipendente con conoscenze e competenze nel settore informatico/tecnologico e di natura giuridica/organizzativa che conduce attività di audit sulla conformità dei trattamenti di dati personali avvalendosi, se necessario, di specialistici in entrambi gli ambiti.
• Specialista Privacy: figura “operativa” che supporta il DPO e/o il Manager Privacy nel mettere a punto idonee misure tecniche e organizzative ai fini del trattamento di dati personali e cura la corretta attuazione del trattamento di dati personali.

PL CONSULTING ha certificato tutti e 4 i profili professionali previsti dalla norma UNI 11697 oltre alla qualifica di Lead Auditor ISO 27001 (sistemi di gestione per la protezione delle informazioni) presso l’ente di certificazione CSQA (uno dei più accreditati in Italia) oltre ad avere, come previsto dal Regolamento europeo, importanti competenze organizzative ed informatiche ed è quindi il partner ideale per affiancare la tua organizzazione in tutte le decisioni in materia di protezione dei dati personali.