Libera traduzione ed interpretazione delle Linee Guida sul DPO

Linee Guida DPO, “Responsabile della protezione dei dati”

Questa è una libera traduzione ed interpretazione delle Linee Guida sul DPO.

Non essendo prodotta da una fonte ufficiale, si consiglia di consultare anche il documento originale in inglese che al momento in cui scriviamo è reperibile sul sito del Garante Privacy. www.garanteprivacy.it

Buona lettura.

________________________________________

Gruppo dei Garanti UE (WP 29)

16/IT WP 243

Linee guida sul Responsabile della Protezione dei Dati (‘DPO’)

Adottato il 13 Dicembre 2016

Questo Gruppo di Lavoro è un ente europeo di consultazione indipendente sulla protezione dei dati. I suoi compiti sono descritti all’Articolo 30 della Direttiva 95/46/EC e all’Articolo 15 della Direttiva 2002/58/EC.

Indice

1 INTRODUZIONE

2 NOMINA DEL DPO

  • NOMINA OBBLIGATORIA

2.1.1 ENTE O PUBBLICA AMMINISTAZIONE

2.1.2  CORE BUSINESS

2.1.3  LARGA SCALA

2.1.4  MONITORAGGIO REGOLARE E SISTEMATICO

2.1.5  SPECIALI CATEGORIE DI DATI E DATI GIUDIZIARI

  • DPO DEL RESPONSABILE DEL TRATTAMENTO
  • FACILMENTE RAGGIUNGIBILE DA OGNI SEDE
  • CONOSCENZA E COMPITI DEL DPO
  • PUBBLICAZIONE E COMUNICAZIONE DEI DATI DI CONTATTO DEL DPO

3 POSIZIONE DEL DPO

  • COINVOLGIMENTO DEL DPO IN OGNI AMBITO RIGUARDANTE LA PROTEZIONE DEI DATI PERSONALI
  • RISORSE NECESSARIE
  • ISTRUZIONI E “OPERARE IN MANIERA INDIPENDENTE”
  • LICENZIAMENTO O PENALITÀ PER CHI SVOLGE IL RUOLO DI DPO
  • CONFLITTO DI INTERESSI

4 COMPITI DEL DPO

  • SORVEGLIARE L’OSSERVANZA DEL REGOLAMENTO
  • IL RUOLO DEL DPO NELLA VALUTAZIONE D’IMPATTO SULLA PROTEZIONE DEI DATI
  • APPROCCIO BASATO SUL RISCHIO
  • IL RUOLO DEL DPO NELLA TENUTA DEI REGISTRI

 

1 INTRODUZIONE

Il Regolamento Europeo sulla protezione dei dati personali (GDPR) che diventerà effettivo il 25 Maggio 2018, fornirà alla protezione dei dati in Europa una cornice più moderna, basata sul concetto della responsabilità. Il Responsabile della Protezione dei Dati (DPO) sarà al centro di questa nuova normativa per molte organizzazioni, con il compito di facilitare e mantenere l’adeguamento a quanto previsto dal Regolamento.

Il Regolamento prevede che alcuni Titolari e Responsabili del Trattamento designino un DPO. In particolare dovranno designarlo tutti gli Enti e le Pubbliche Amministrazioni (a prescindere dai dati trattati), e tutte le organizzazioni che, come attività principale, monitorino persone fisiche in modo sistematico e su larga scala, oppure che trattino speciali categorie di dati personali su larga scala.

Anche quando il Regolamento non richiede specificamente la nomina del DPO, le organizzazioni possono trovare utilità dalla designazione del DPO su base volontaria. Il Gruppo dei Garanti Europei (WP29) incoraggia queste scelte volontarie. Il concetto di DPO non è nuovo. Nonostante la Direttiva 95/46/EC3 non richiedesse la nomina del DPO per nessuna organizzazione, questa pratica negli anni si è comunque sviluppata in diversi Paesi Membri. Già prima dell’adozione del Regolamento, il WP29 aveva sostenuto che il DPO sarebbe stato una figura portante per il principio di responsabilità e che la sua nomina avrebbe facilitato l’adeguamento ed avrebbe costituito un vantaggio competitivo negli affari. Oltre a favorire la conformità attraverso la valutazione di impatto e l’analisi dei rischi, il DPO agisce da intermediario tra le parti interessate (es. Autorità Garante, interessati, aree aziendali, ecc.). Il DPO non è personalmente responsabile in caso di non aderenza al Regolamento. Il GDPR chiarisce infatti che siano il Titolare o il Responsabile del trattamento ad essere chiamati ad assicurare ed a poter dimostrare la liceità e la correttezza del trattamento (art. 24). La protezione dei dati è quindi responsabilità del Titolare o del Responsabile. Questi hanno anche un ruolo cruciale nel far sì che il DPO sia in grado di svolgere efficacemente i propri compiti. Il Regolamento riconosce al DPO un ruolo chiave nel nuovo sistema di gestione dei dati e stabilisce le condizioni per la sua nomina, la sua posizione ed i suoi compiti. Lo scopo di queste linee guida è di chiarire le relative disposizioni del Regolamento in modo da supportare Titolari e Responsabili nel conformarsi alla Legge, ma anche di assistere i DPO nel loro ruolo. Queste linee guida forniscono inoltre raccomandazioni di best practice, già costituite con l’esperienza di alcuni Stati membri. Il WP29 monitorerà lo sviluppo di queste linee guida e potrà, se opportuno, integrarle con ulteriori dettagli.

 

2 NOMINA DEL DPO

2.1. Nomina obbligatoria

L’articolo 37 punto 1 del Regolamento stabilisce la designazione del DPO in 3 casi specifici:

  1. quando il trattamento è effettuato da una autorità/ente pubblico;
  2. quando il core business del Titolare o del Responsabile consiste in operazioni di trattamento che richiedono il monitoraggio regolare e sistematico di interessati su larga scala;
  3. quando il core business del Titolare o del Responsabile consiste nel trattamento su larga scala di particolari categorie di dati personali o giudiziari.

Nei prossimi paragrafi il WP29 fornisce una guida con riguardo ai criteri e alla terminologia usata nell’articolo 37. A meno che non sia ovvio che per un’organizzazione non sia richiesta la nomina del DPO, il WP29 raccomanda che Titolari e Responsabili documentino l’analisi interna condotta per determinare se il DPO sia effettivamente da nominare o meno, al fine di dimostrare che i fattori rilevanti siano stati accuratamente considerati. In caso di nomina del DPO su base volontaria, saranno validi gli stessi requisiti previsti agli articoli da 37 a 39 per la sua nomina, posizione e compiti, come nei casi in cui la nomina fosse stata obbligatoria. Questo non impedisce ad un’organizzazione, che non desideri nominare il DPO su base volontaria e che non sia  tenuta a farlo per Legge, di affidare a personale interno od a consulenti esterni le mansioni relative alla protezione dei dati personali. In questi casi è importante assicurarsi che ci sia chiarezza in merito al loro titolo, status, posizione e compiti. Quindi, dovrebbe essere chiaro in ogni comunicazione interna all’azienda così come all’Autorità Garante, agli interessati ed al grande pubblico, che il titolo dell’incaricato o del consulente non è quello di DPO.

2.1.1 ENTE O PUBBLICA AMMINISTRAZIONE

Il GDPR non definisce cosa costituisce un “ente o pubblica amministrazione”. Il Gruppo dei Garanti Europei ritiene che tale nozione sia da definire dalle normative e dalle leggi nazionali. Dunque, enti e pubbliche amministrazione includono autorità nazionali, regionali e locali, ma il concetto, nell’applicazione della legge nazionale, può tipicamente includere una serie di altri organi governanti istituiti da diritto pubblico. In questi casi, la designazione del DPO è obbligatoria. Una pubblica funzione può essere gestita non solo da un’autorità pubblica, ma anche da altre persone fisiche o giuridiche interessate da diritto pubblico o privato, in settori come, a seconda dei regolamenti di ogni Stato Membro, servizi di trasporto pubblico, fornitura d’acqua e energetiche, infrastrutture stradali, servizio pubblico di radiodiffusione, case popolari o organi disciplinari per le professioni regolamentate. In questi casi gli interessati potrebbero trovarsi in situazioni molto simili a quando i dati sono trattati da un’autorità o ente pubblico. In particolare, i dati possono essere trattati per finalità simili e gli individui spesso hanno, nello stesso modo, poca o nessuna possibilità di scelta in merito al se ed al come i loro dati saranno trattati, e possono quindi necessitare dell’aggiuntiva protezione operata dalla figura del DPO. Anche se non c’è nessun obbligo in questi casi, i Garanti Europei raccomandano, come buona pratica, che:

  • organizzazioni private che esercitino compiti pubblici designino un DPO

e che

  • le attività di tali DPO coprano tutte le operazioni di trattamento effettuate, incluse quelle non relative al compito pubblico (per es. la gestione dell’archivio dipendenti).

2.1.2 CORE BUSINESS

Nell’articolo 37 punto 1 comma b e c del Regolamento si fa riferimento al “Core Business del Titolare o del Responsabile”. Recital 97 specifica che il core business del Titolare si riferisce all’attività primaria e non a trattamenti di dati personali come attività accessorie. Core business può essere considerato come un’operazione chiave necessaria per raggiungere lo scopo del Titolare o del Responsabile. Tuttavia Core business non deve essere interpretato escludendo attività in cui il trattamento di dati sia sicuramente parte dell’attività principale. Per esempio, il core business di un ospedale è di provvedere alla cura delle persone. Nonostante ciò, un ospedale non può provvedere efficacemente alla cura delle persone senza trattare dati relativa alla salute dei propri pazienti. Di conseguenza il trattamento di tali dati dovrebbe essere considerato uno dei core business per tutti gli ospedali ed ogni ospedale dovrebbe quindi designare il DPO. Come esempio ulteriore consideriamo una società privata di sicurezza che cura la sorveglianza di diversi centri commerciali ed aree pubbliche. La Sorveglianza è l’attività principale, a sua volta legata indissolubilmente al trattamento dei dati personali. Anche questa società dovrà designare un DPO.

D’altro canto, in ogni attività si finisce per svolge altre attività, per esempio pagare i propri dipendenti e ricevere assistenza informatica. Queste sono funzioni di supporto necessarie alla attività principale della società. Anche se queste attività sono necessarie o essenziali, sono comunemente considerate funzioni secondarie e certamente non “core business”.

2.1.3 LARGA SCALA

Nell’articolo 37 punto 1 comma b e c si richiede che il trattamento dei dati personali sia trattato su larga scala perché sia necessario designare il DPO. Il Regolamento non definisce larga scala, anche se il considerando 91 fornisce informazioni guida. E’ indubbio che non sia possibile dichiarare un numero esatto applicabile a tutte le situazioni sia con riguardo all’ammontare dei dati trattati che circa il numero di interessati. Questo non esclude che, con il tempo, si sviluppi uno standard che specifichi in maniera obiettiva e quantitativa cosa costituisce “larga scala” per certi tipi comuni di attività di trattamento. Il gruppo dei Garanti UE conta di contribuire a questo sviluppo, condividendo e pubblicizzando esempi di importanti soglie per la designazione del DPO. In ogni caso, il gruppo dei Garanti UE raccomanda i seguenti fattori da tenere in considerazione per definire se il trattamento è eseguito su larga scala:

  • il numero di interessati coinvolti – sia in termini numerici che in termini di proporzione alla popolazione
  • la quantità di dati e/o la varietà di banche dati trattati
  • l’estensione geografica del trattamento

Esempi di trattamenti su larga scala:

  • trattamento di dati dei pazienti nell’ambito delle normali attività di un ospedale
  • trattamento dei dati di viaggio degli utenti dei trasporti pubblici (es. tracciatura tramite tessera di abbonamento)
  • trattamento di geo-localizzazione in tempo reale di dati di clienti da parte di una catena multinazionale di fast food a scopo statistico e tramite un Responsabile specializzato in questo servizio
  • trattamento di clienti nel corso delle attività di un’assicurazione o di una banca
  • trattamento di dati personali da parte di un motore di ricerca ai fini di pubblicità comportamentale
  • trattamento di dati (come contenuti, traffico e localizzazione) tramite provider di servizi telefonici o internet.

Esempi che non costituiscono trattamenti su larga scala:

  • trattamenti di dati di pazienti da parte di un medico
  • trattamenti di dati giudiziari da parte di un avvocato

2.1.4 MONITORAGGIO REGOLARE E SISTEMATICO

La nozione di monitoraggio regolare e sistematico non è definita nel Regolamento, ma il concetto di “monitoraggio del comportamento dell’interessato” è menzionato nel considerando 24 e comprende chiaramente tutte le forme di tracciamento e profilazione in internet, incluse le finalità di pubblicità comportamentale. Tuttavia, la nozione del monitoraggio non è ristretta all’ambito internet ed il monitoraggio on-line dovrebbe essere considerato solo uno degli esempi di monitoraggio comportamentale dell’interessato.

Il Gruppo dei Garanti EU interpreta “regolare” con uno dei seguenti significati:

  • continuo o che si verifica a intervalli specifici per un determinato periodo
  • ricorrente o ripetuto ad intervalli fissi
  • costantemente o periodicamente messo in atto

Il Gruppo dei Garanti EU interpreta “sistematico” con uno dei seguenti significati:

  • che si verifica in modo sistematico
  • pianificato, organizzato o metodico
  • che prenda parte in un piano generale sulla raccolta dei dati
  • effettuato come parte di una strategia

Esempi: gestione di una rete di telecomunicazioni; fornitura di servizi di telecomunicazione; email retargeting; profilazione e valutazione a fini di analisi del rischio (ad esempio per la definizione di indici di solvibilità e premi assicurativi, per la prevenzione di frodi, per l’individuazione di riciclaggio di denaro); tracciabilità della posizione, per esempio, per applicazioni mobili; piani di fidelizzazione; pubblicità comportamentale; monitoraggio di dati di benessere, fitness e salute tramite dispositivi indossabili; televisione a circuito chiuso; dispositivi connessi ad esempio a contatori intelligenti, macchine intelligenti, domotica, ecc.

2.1.5  SPECIALI CATEGORIE DI DATI E DATI GIUDIZIARI

L’Art. 37, al punto 1 , comma c si rivolge ai trattamenti dei dati appartenenti a speciali categorie di dati secondo l’art. 9, e dei dati giudiziari secondo l’art.10. Nonostante sia utilizzato il termine “e”, non c’è motivo per cui i due criteri debbano essere applicati simultaneamente. Il testo dovrebbe essere quindi interpretato come “o”.

2.2  DPO DEL RESPONSABILE DEL TRTTAMENTO

L’articolo 37 è valido sia per i Titolari che per i Responsabili in merito alla designazione del DPO. A seconda di chi soddisfa il criterio della nomina obbligatoria, talvolta solo il Titolare o solo il Responsabile, in altri casi sia il Titolare che il proprio Responsabile, devono nominare un DPO (con cui dovranno poi cooperare reciprocamente). E’ importante sottolineare che anche se il Titolare risponde al criterio della nomina obbligatoria, il suo Responsabile non è necessariamente chiamato a nominare un DPO. Questo potrà, tuttavia, costituire una buona consuetudine pratica.

Esempi:

  • Una piccola attività familiare, operante nel campo della distribuzione di elettrodomestici in un solo Comune, utilizza i servizi di un Responsabile il cui core business è fornire servizi di Web Analitics e assistenza nel target-marketing. Le attività dell’impresa familiare ed i suoi clienti non costituiscono trattamento di dati su ‘larga scala’, considerato l’esiguo numero di clienti e attività. Tuttavia, le attività del Responsabile, avendo molti clienti simili a questa piccola azienda, nel complesso, costituiscono trattamenti su larga scala. Il Responsabile deve quindi designare un DPO secondo l’art 37 punto 1, comma b. Allo stesso tempo, l’impresa familiare non è sottoposta allo stesso obbligo.
  • Un’industria manifatturiera di medie dimensioni affida i servizi previdenziali ed assistenziali dei propri dipendenti ad un Responsabile esterno, che ha un gran numero di clienti simili. Il Responsabile è tenuto a nominare un DPO secondo l’art. 37 punto 1, comma c, visto che il trattamento avviene su larga scala. Tuttavia, l’azienda manifatturiera non ricade necessariamente sotto lo stesso obbligo.

In linea con le buone consuetudini, il WorkingParty29 raccomanda che il DPO designato da un Responsabile dovrebbe anche supervisionare le attività effettuate dal Responsabile in qualità di Titolare del trattamento (es. Gestione Personale, IT, logistica).

2.3  FACILMENTE RAGGIUNGIBILE DA OGNI SEDE

L’Articolo 37 punto 2 permette ad un gruppo di imprese di individuare un singolo DPO facendo in modo che questo sia “facilmente raggiungibile da ogni sede”. La nozione di raggiungibilità si riferisce al ruolo del DPO di punto di contatto per gli interessati e l’autorità garante, ma anche internamente all’organizzazione, in considerazione del fatto che uno dei compiti del DPO è quello di “informare e consigliare il Titolare, il Responsabile ed i lavoratori che effettuano trattamenti in merito ai loro doveri nel rispetto del presente Regolamento”. Al fine di assicurare che il DPO sia raggiungibile, sia esso interno che esterno, è importante assicurare che i suoi dati di contatto siano disponibili in accordo con quanto previsto dal GDPR. Egli deve essere nella posizione di poter efficacemente comunicare con gli interessati e cooperare con l’Autorità Garante interessata. Questo significa anche che le sue comunicazioni devono essere fatte nella lingua o nelle lingue usate dalle autorità garanti e dagli interessati implicati. In accordo con l’Articolo 37 punto 3, un singolo DPO può essere nominato per più strutture pubbliche in considerazione della loro struttura organizzativa e dimensione. La stessa considerazione è valida con riguardo alle risorse ed alla comunicazione. Essendo il DPO responsabile di una serie di compiti, il Titolare deve garantire che un singolo DPO possa ricoprirli efficacemente pur essendo responsabile di diversi enti o autorità pubbliche.

La disponibilità personale del DPO (sia esso fisicamente in struttura come dipendente, che tramite una linea diretta o altri sicuri canali comunicativi) è essenziale per assicurare che gli interessati siano in condizione di poter contattare il DPO. Egli è sottoposto al vincolo di segretezza circa lo svolgimento dei suoi compiti, in accordo con le leggi degli Stati membri (Articolo 38 punto 5). Tuttavia, il vincolo di segretezza non vieta al DPO di contattare e consultare l’Autorità Garante.

2.4  CONOSCENZA E COMPITI DEL DPO

L’Articolo 37 punto 5 prevede che il DPO “è designato in funzione delle qualità professionali, in particolare della conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati, e della capacità di assolvere i compiti di cui all’articolo 39”. Il considerando 97 esplicita che il livello necessario di conoscenza specialista dovrebbe essere determinato dai trattamenti di dati personali effettuati e dalla protezione richiesta per i dati personali trattati.

  • Livello di conoscenza specialistica

Il livello di conoscenza non è definito in modo preciso ma deve essere commisurato alla sensibilità, complessità e quantità di dati nei processi dell’organizzazione. Per esempio, laddove un’attività di trattamento di dati sia particolarmente complessa o coinvolga una grande quantità di dati sensibili, il DPO potrebbe necessitare di un più alto livello di conoscenza ed esperienza. Ci sarà inoltre differenza se l’organizzazione trasferisce sistematicamente dati personali fuori dall’Unione Europea o se tali trasferimenti sono occasionali. Il DPO dovrebbe quindi essere scelto attentamente, con riguardo ai temi di data protection che si presentano nell’organizzazione.

  • Qualità professionali

Nonostante l’Articolo 37 punto 5 non specifichi le qualità professionali da prendere in considerazione nella nomina del DPO, è un elemento importante che il DPO conosca pratiche e normativa nazionali ed Europee in merito alla protezione dei dati, oltre ad una approfondita conoscenza del Regolamento. E’ anche auspicabile che l’autorità garante promuova adeguata e regolare formazione per i DPO. La conoscenza del settore di appartenenza dell’organizzazione è favorevolmente considerata. Il DPO deve anche possedere un sufficiente grado di comprensione delle operazioni di trattamento effettuate, così come del sistema informativo e delle necessità di sicurezza e di protezione dei dati del Titolare del trattamento.

  • Capacità di svolgere i propri compiti

La capacità di svolgere i compiti affidati al DPO deve essere interpretata sia in riferimento alle sue qualità e conoscenze personali, che in relazione alla sua posizione all’interno dell’organizzazione. Le qualità professionali dovranno includere per esempio integrità ed etica professionale; la preoccupazione primaria del DPO dovrebbe essere garantire la conformità con il GDPR. Questa figura gioca un ruolo chiave nell’incoraggiare la cultura della protezione dei dati all’interno dell’organizzazione ed aiuta l’attuazione del Regolamento nei suoi elementi essenziali, come i principi applicabili ai trattamenti, i diritti degli interessati, la protezione dei dati nella progettazione e per impostazione predefinita, i registri delle attività di trattamento, la sicurezza dei trattamenti e la notifica e comunicazione di una violazione dei dati.

  • DPO sulla base di un contratto di servizio

La funzione del DPO può anche essere esercitata sulla base di un contratto di servizio sottoscritto con un professionista o con un’organizzazione esterna a quella del Titolare o del Responsabile. In quest’ultimo caso, è essenziale che ogni membro dell’organizzazione esercitante la funzione del DPO soddisfi tutti i relativi requisiti della Sezione 4 del Regolamento (es. è essenziale che nessuno si trovi in conflitto di interesse). E’ ugualmente importante che ognuna di tali figure sia protetta dalle previsioni del Regolamento (es. nessuna ingiusta cessazione del contratto di servizio per le attività del DPO ma anche nessun ingiustificato licenziamento di ogni singolo membro dell’organizzazione responsabile del ruolo di DPO).  Allo stesso tempo, singole competenze e punti di forza possono combinarsi in modo che, alcuni professionisti, riunitisi in un team, possa efficientemente seguire i propri clienti.

Per motivi di chiarezza giuridica e di buona organizzazione è raccomandabile avere una chiara distribuzione dei compiti all’interno del team DPO ed assegnare un singolo professionista come contatto principale e persona incaricata per ogni cliente. E’ generalmente utile specificare queste informazioni nel contratto di servizio.

2.5  PUBBLICAZIONE E COMUNICAZIONE DEI DATI DI CONTATTO DEL DPO

L’Articolo 37 punto 7 del Regolamento prescrive al Titolare o al Responsabile di

  • pubblicare i dati di contatto del DPO e
  • comunicare i dati di contatto all’Autorità Garante di riferimento.

Il fine di queste prescrizioni è quello di garantire che gli interessati (siano essi interni od esterni all’organizzazione) e le Autorità Garanti possano facilmente, direttamente ed in via confidenziale contattare il DPO senza dover contattare altri funzionari dell’organizzazione. I dati di contatto del DPO dovranno includere le informazioni che permettano agli interessati ed alle Autorità Garanti di raggiungere il DPO in modo facile (un indirizzo postale, un telefono diretto e un indirizzo email dedicato). Qualora appropriati, per finalità di comunicazione al pubblico, possono essere forniti altri mezzi di comunicazione, per esempio, una linea diretta dedicata, o uno specifico form di contatto indirizzato al DPO sul sito dell’organizzazione. L’Articolo 37 punto 7 non esplicita che i dati di contatto pubblicati includano il nome del DPO. Ciononostante può essere una buona pratica farlo, e spetta al Titolare ed al DPO decidere se sia necessario od utile nella specifica circostanza. Come buona consuetudine, il WP29 raccomanda che un’organizzazione informi l’Autorità Garante ed i dipendenti del nominativo e dei dati di contatto del DPO. Per esempio, queste informazioni potrebbero essere pubblicati all’interno dell’intranet aziendale, nell’elenco telefonico interno e nell’organigramma.

 

3 POSIZIONE DEL DPO

3.1  Coinvolgimento del DPO in ogni ambito riguardante la protezione dei dati personali.

L’Articolo 38 del Regolamento prevede che il Titolare ed il Responsabile debbano assicurare che il DPO sia “tempestivamente ed adeguatamente coinvolto in tutte le questioni riguardanti la protezione dei dati personali”. E’ quindi cruciale che il DPO sia coinvolto fin dal primo momento possibile in tutte le questioni riguardanti la protezione dei dati. In relazione alla valutazione d’impatto sulla protezione dei dati, il Regolamento richiede esplicitamente il coinvolgimento del DPO e specifica che il Titolare deve consultare il DPO al momento della valutazione d’impatto. Garantirsi che il DPO sia informato e consultato sin dal principio faciliterà la conformità al Regolamento, assicurerà un approccio di privacy by design e dovrà quindi essere una procedura standard nella gestione di un’organizzazione.

Di conseguenza, l’organizzazione deve garantire, per esempio, che:

  • Il DPO sia invitato a partecipare regolarmente alle riunioni dei più alti livelli manageriali.
  • La sua presenza è raccomandata laddove sono prese delle decisioni che abbiano implicazioni nella protezione dei dati. Tutte le relative informazioni devono tempestivamente essere comunicate al DPO, in modo da consentirgli di fornire un consiglio adeguato.
  • L’opinione del DPO deve sempre essere presa in considerazione. In caso di disaccordo, il WP29 raccomanda, come buona prassi, di documentare per iscritto le motivazioni per cui non sono stati accettati i consigli del DPO.
  • Il DPO deve essere prontamente consultato in caso di violazione dei dati o altri incidenti.

Laddove idoneo, il Titolare o il Responsabile possono redigere le linee guida per la protezione dei dati o procedure che definiscano quando il DPO debba essere consultato.

3.2  Risorse necessarie

L’Articolo 38 punto 2 del Regolamento specifica che l’organizzazione deve supportare il suo DPO “fornendogli le risorse necessarie per assolvere tali compiti, per accedere ai dati personali ed ai trattamenti, e quelle per mantenere la propria conoscenza specialistica”. Con particolare considerazione dei seguenti punti:

  • Supporto attivo delle funzioni del DPO da parte dei più alti livelli di gestione (come il livello del consiglio di amministrazione [CDA]).
  • Tempo sufficiente per il DPO per poter adempiere ai propri doveri. Questo è particolarmente importante quando il DPO svolge servizio part-time o in caso il dipendente si occupi della protezione dei dati in aggiunta ad altri compiti.

Diversamente, dal conflitto di priorità potrebbe risultare che i doveri del DPO vengano inattesi. Avere il tempo necessario da dedicare ai propri compiti di DPO è di massima importanza. E’ buona prassi definire in percentuale il tempo per svolgere la funzione di DPO se non la si effettua a tempo pieno. E’ inoltre raccomandato determinare il tempo necessario per svolgere la funzione, l’appropriato livello di priorità di tali doveri ed un piano di lavoro da parte del DPO (o dell’organizzazione).

  • Adeguato supporto in termini di risorse finanziarie, infrastrutturali (locali, strutture, attrezzature) e di staff quando necessario.
  • Dare comunicazione ufficiale della nomina del DPO a tutto lo staff così che la sua esistenza e le sue funzioni siano conosciute nell’organizzazione.
  • Il necessario accesso agli altri servizi, come la Gestione del Personale, affari legali, IT, sicurezza, ecc., in modo che il DPO riceva il supporto, il contributo e le informazioni dai responsabili delle altre funzioni dell’organizzazione.
  • Formazione continua. Al DPO deve essere data l’opportunità di aggiornarsi al riguardo degli sviluppi sulla protezione dei dati. Lo scopo è quello di incrementare costantemente il livello di conoscenza dei DPO ed incoraggiarli a partecipare a corsi di formazione sulla protezione dei dati ed altre iniziative di crescita professionale, come partecipare a convegni, workshop, ecc.
  • A seconda delle dimensioni e della struttura dell’organizzazione, può essere necessario formare il team del DPO (un DPO con il suo staff). In questi casi, la struttura interna del team e la distribuzione di compiti e responsabilità di ogni membro deve essere chiaramente definita. Similarmente, quando la funzione del DPO è esercitata da un fornitore di servizi esterno, il team di professionisti che lavorano per tale entità può di fatto operare come un team, ma sotto la responsabilità di un definito referente di contatto per il cliente.

In generale, più le operazioni sono complesse ed i dati sono sensibili, più risorse dovranno essere messe a disposizione del DPO. Ovvero la funzione deve essere effettiva e avere a disposizione sufficienti risorse in relazione ai trattamenti che sono effettuati.

3.3  Istruzioni e “operare in maniera indipendente”

L’Articolo 38 punto 3 stabilisce alcune garanzie basilari per assicurare che il DPO sia in condizioni di svolgere i propri compiti con un sufficiente grado di autonomia all’interno dell’organizzazione. In particolare, Titolari e/o Responsabili devono garantire che il DPO “non riceva alcuna istruzione per quanto riguarda l’esecuzione dei suoi compiti”. Il considerando 97 aggiunge che i DPO “dipendenti o meno del titolare del trattamento, dovrebbero poter adempiere alle funzioni ed ai compiti loro incombenti in maniera indipendente”. Questo significa che, nell’adempiere ai loro compiti secondo l’Articolo 39, i DPO non debbano essere istruiti su questioni tipo, per esempio, gli obiettivi da raggiungere, come approfondire un reclamo o se consultare o meno l’Autorità Garante. Non devono, inoltre, ricevere indicazioni circa un preciso punto di vista pertinente alla protezione dei dati come, ad esempio, una specifica interpretazione della legge. L’autonomia dei DPO non significa, tuttavia, che essi abbiano potere di decisione oltre i loro compiti definiti all’Articolo 39. Il Titolare od il Responsabile rimangono responsabili per la conformità alla normativa sulla privacy e devono essere in grado di dimostrarla. Se queste due figure prendono decisioni incompatibili con il Regolamento e con le indicazioni del DPO, il DPO deve avere la possibilità di rendere chiara la propria opinione discordante a coloro che prendono le decisioni.

3.4  Licenziamento o penalità per chi svolge il ruolo di DPO

L’Articolo 38 punto 3 prevede anche che il DPO “non è rimosso o penalizzato dal titolare del trattamento o dal responsabile del trattamento per l’adempimento dei propri compiti”. Questa raccomandazione rafforza ulteriormente l’autonomia dei DPO, assicura che essi agiscano indipendentemente ed auspica ad una sufficiente protezione nello svolgimento dei loro compiti nella protezione dei dati. Le penalità sono proibite dal Regolamento solo se derivano dallo svolgimento dei doveri in qualità di DPO. Per esempio, il DPO può ritenere che uno specifico trattamento possa avere un alto rischio e suggerisce al Titolare od al Responsabile di effettuare una valutazione dell’impatto privacy: ma il Titolare non concorda con la valutazione del DPO. In tale situazione, il DPO non può essere licenziato per aver fornito il suggerimento. Le penalità possono essere di vario tipo ed essere dirette od indirette. Possono consistere, per esempio, nell’assenza o ritardo di una promozione; nell’impedimento nell’avanzamento di carriera; nell’esclusione da benefit concessi ad altri dipendenti. Non è necessario che queste penalità siano concretamente messe in atto, la sola minaccia è sufficiente se legata alle attività proprie del DPO. Così come un qualsiasi altro lavoratore o professionista, sottoposto alla normativa nazionale del lavoro e penale, il DPO può essere licenziato per ragioni diverse dall’eseguire i propri compiti come DPO (per esempio, in caso di furto o molestia fisica, psicologica o sessuale, o simili condotte).

A questo proposito sottolineiamo che il Regolamento non specifica come e quando un DPO può essere licenziato o sostituito da un’altra persona. Comunque, più è stabile il contratto del DPO, più garanzie sussistono verso licenziamenti ingiusti, e più essi saranno in condizioni di operare in maniera indipendente. Di conseguenza, il WP29 accoglierà positivamente ogni sforzo delle organizzazioni in questa direzione.

3.5  Conflitto di interessi

L’Articolo 38 punto 6 consente ai DPO di “svolgere altri compiti e funzioni”. E’ necessario, tuttavia, che l’organizzazione assicuri che “tali compiti e funzioni non diano adito a un conflitto di interessi”. L’assenza del conflitto di interessi è strettamente connessa al requisito di agire in maniera indipendente. Nonostante i DPO possano avere altre responsabilità, queste possono essere loro affidate assodato che non diano adito a conflitti di interessi. Questo implica nello specifico che il DPO non può mantenere posizioni all’interno dell’organizzazione che lo portino a determinare finalità e mezzi dei trattamenti dei dati personali. In base alla relativa struttura organizzativa, questo dovrà essere considerato caso per caso. [nota del testo : Come regola di massima, le posizioni di conflitto di interessi possono includere posizioni di senior management (ad esempio Amministratore Delegato, Direttore Operativo, Direttore della Gestione Finanziaria, Direttore Sanitario, Direttore Marketing, Direttore delle Risorse Umane o Direttore IT) ma anche altri ruoli minori all’interno della struttura organizzativa, se tali posizioni o ruoli portano alla definizione di finalità e mezzi del trattamento.

A seconda dell’attività, dimensione e struttura dell’organizzazione, è buona prassi per Titolari o Responsabili:

  • identificare le posizioni incompatibili con la funzione del DPO
  • definire un regolamento interno per evitare il conflitto di interessi
  • allegare una generica spiegazione circa il conflitto di interessi
  • dichiarare che il proprio DPO non si trova in conflitto di interessi per accrescere la consapevolezza del requisito
  • includere le garanzie all’interno del regolamento interno ed assicurare che l’annuncio per la posizione di DPO o per il contratto di servizio sia sufficientemente preciso e dettagliato al fine di evitare il conflitto di interessi. In questo specifico contesto, bisogna anche ricordare che il conflitto di interesse può assumere varie forme a seconda che il DPO sia assunto internamente od esternamente.

 

4 Compiti del DPO

4.1  Sorvegliare l’osservanza del Regolamento

L’Articolo 39 punto 1 comma b affida ai DPO, tra gli altri compiti, il dovere di sorvegliare l’osservanza del Regolamento. Il considerando 97 specifica meglio che il DPO assista il Titolare od il Responsabile “nel controllo del rispetto a livello interno del presente Regolamento”. In quanto parte di questi compiti, per sorvegliare la conformità, i DPO possono, nello specifico:

  • raccogliere informazioni per identificare le attività di trattamento,
  • analizzare e verificare la conformità delle attività di trattamento, e
  • informare, consigliare e fornire raccomandazioni al Titolare o al Responsabile.

Sorvegliare la conformità non significa che il DPO sia personalmente responsabile in caso di presenza di una non-conformità. Il Regolamento chiarisce che è il Titolare, non il DPO, ad essere chiamato a mettere “in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al presente regolamento” (Articolo 24 punto 1). La protezione dei dati è una responsabilità del Titolare, non del DPO.

4.2  Il ruolo del DPO nella valutazione d’impatto sulla protezione dei dati

Secondo l’Articolo 35 punto 1, è compito del Titolare, non del DPO, effettuare, quando necessaria, la valutazione d’impatto sulla privacy (DPIA). Tuttavia, il DPO può giocare un ruolo molto importante ed utile nel supportare il Titolare. Seguendo il principio della privacy sin dalla progettazione, l’Articolo 35 punto 2 prevede nello specifico che il Titolare si “consulti” con il DPO allorquando svolge una valutazione d’impatto sulla privacy. L’Articolo 39 punto 1 comma c, a sua volta, assegna al DPO il compito di “fornire, se richiesto, un parere in merito alla DPIA e sorvegliarne lo svolgimento”.

Il WP29 raccomanda che il Titolare si consulti con il DPO, sulle seguenti questioni, tra le altre:

  • se effettuare o meno una DPIA
  • secondo quale metodologia effettuarla
  • quali garanzie (incluse misure tecniche e organizzative) implementare per limitare i rischi ai diritti degli interessati
  • se la valutazione d’impatto è stata correttamente condotta e se le sue conclusioni (se procedere con il trattamento e quali garanzie attuare) sono in accordo con il Regolamento.

Se il Titolare è in disaccordo con la posizione fornita dal DPO, il documento di DPIA deve specificare perché il suggerimento non è stato preso in considerazione. Il WP29 raccomanda ulteriormente al Titolare di definire chiaramente, per esempio nel contratto del DPO, ma anche in altre informative fornite a dipendenti, dirigenti (e altri parti, se pertinenti), i compiti precisi del DPO e il suo obiettivo, soprattutto con riguardo allo svolgimento della DPIA.

4.3  Approccio basato sul rischio

L’Articolo 39 punto 2 specifica che il DPO “considera debitamente i rischi inerenti al trattamento, tenuto conto della natura, dell’ambito di applicazione, del contesto e delle finalità del medesimo”. Questo articolo richiama un principio generale e di buon senso, che può essere importante sotto molti aspetti per il lavoro quotidiano del DPO. In sostanza, chiede ai DPO di strutturare in modo gerarchico le proprie attività e di focalizzare i propri sforzi sui temi che presentano maggiori rischi sulla protezione dei dati. Senza voler dire che debbano trascurare del tutto i processi con un basso livello di rischio, ma che la loro prima attenzione debba essere per le aree ad alto rischio. Questo approccio selettivo e pragmatico dovrebbe aiutare i DPO nel suggerire al Titolare quale metodologia usare nella valutazione d’impatto, quali aree dovrebbero essere sottoposte a audit privacy interno od esterno, quali attività formative mettere in atto nei confronti di personale dipendente e dirigenti responsabili delle attività di trattamento, ed infine a quali trattamenti dedicare il maggior numero di risorse e la maggiore quantità di tempo.

4.4  Il ruolo del DPO nella tenuta dei registri

Secondo quanto previsto dall’Articolo 30 punto 1 e 2, sono il Titolare od il Responsabile, non il DPO, coloro che [a dover] “tengono un registro delle attività di trattamento svolte sotto la propria responsabilità” o “tengono un registro di tutte le categorie di attività relative al trattamento svolte per conto di un titolare del trattamento”. Nella pratica, i DPO spesso creano inventari e tengono un registro delle attività di trattamento basato sulle informazioni fornite loro dai vari dipartimenti dell’organizzazione responsabili del trattamento dei dati personali. Questa pratica è stata avviata da differenti legislazioni nazionali e dal regolamento per la protezione dei dati personali applicata per enti e istituzioni europee. L’Articolo 39 punto 1 fornisce una lista di quelli che sono i compiti che come minimo un DPO deve avere. Tuttavia, nulla impedisce al Titolare od al Responsabile di assegnare al DPO il compito di tenuta del registro delle attività di trattamento sotto la responsabilità del Titolare. Tale registro deve essere considerato come uno degli strumenti che consentono al DPO di adempiere ai propri compiti di sorvegliare la conformità, informare e consigliare il Titolare od il Responsabile. Ad ogni modo, il registro previsto all’articolo 30 deve anche essere visto come uno strumento che consenta al Titolare ed all’ Autorità Garante, su richiesta, di avere una visione d’insieme su tutte le attività di trattamento di dati personali effettuate. E’ dunque un requisito di conformità ed in quanto tale, un’efficace misura di responsabilizzazione.

 

Per maggiori dettagli consultare la fonte ufficiale dal sito del Garante Privacy: www.garanteprivacy.it