GDPR e DPO

Il GdprRegolamento Ue 2016/679 sulla protezione dei dati personali ha introdotto il ruolo del Dpo, Responsabile della protezione dei dati personali (Data Protection Officer – Dpo), figura obbligatoria per tutte le pubbliche amministrazioni e per le aziende che trattano su larga scala dati sensibili o che svolgono attività in cui i trattamenti richiedono il controllo regolare e sistematico degli interessati. Nelle altre aziende la presenza del Responsabile della protezione dei dati personali è facoltativa.

In base al Gdpr, il Dpo deve essere nominato dal titolare (il soggetto cui competono le decisioni in ordine a un determinato trattamento) o dal responsabile del trattamento (il soggetto preposto dal titolare a un trattamento di dati) e deve operare alle dipendenze del titolare o del responsabile oppure sulla base di un contratto di servizio.

Il Data Protection Officer deve possedere un'adeguata conoscenza della normativa e delle prassi di gestione dei dati personali e adempiere alle sue funzioni in piena indipendenza e in assenza di conflitti di interessi. Da sottolineare che un gruppo di imprese o soggetti pubblici possono nominare un unico Responsabile della protezione dei dati.

Il Responsabile della protezione dei dati ha il compito di informare e consigliare il titolare o il responsabile del trattamento, nonché i dipendenti in merito agli obblighi derivanti dal Regolamento europeo e da altre disposizioni dell'Unione o degli Stati membri relative alla protezione dei dati.

Deve inoltre verificare l’attuazione e l’applicazione del Regolamento, delle altre disposizioni dell'Unione o degli Stati membri relative alla protezione dei dati nonché delle politiche del titolare o del responsabile del trattamento in materia di protezione dei dati personali, inclusi l’attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale coinvolto nelle operazioni di trattamento e gli audit relativi.

Potrà fornire pareri in merito alla valutazione d'impatto sulla protezione dei dati e sorvegliare i relativi adempimenti e fungere da punto di contatto per gli interessati in merito a qualunque problematica connessa al trattamento dei loro dati o all’esercizio dei loro diritti e da punto di contatto per il Garante per la protezione dei dati personali oppure, eventualmente consultarlo di propria iniziativa.


Gdpr: le qualità per fare il DPO

Quali sono le qualità professionali che un Dpo deve possedere? In base all’articolo 37, paragrafo 5, il Responsabile della protezione dati è designato in funzione delle qualità professionali, in particolare della conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati, e della capacità di assolvere i compiti di cui all’articolo 39”.

Il livello necessario di conoscenza specialistica dovrebbe essere determinato in base ai trattamenti di dati effettuati e alla protezione richiesta per i dati personali oggetto di trattamento. Per esempio, se un trattamento riveste particolare complessità oppure comporta un volume consistente di dati sensibili, il Dpo avrà probabilmente bisogno di un livello più elevato di conoscenze specialistiche e di supporto.

Fra le competenze specialistiche necessarie al Dpo rientrano la conoscenza della normativa e delle prassi nazionali ed europee in materia di protezione dei dati, compresa un’approfondita conoscenza del Gdpr; la familiarità con le operazioni di trattamento svolte; la familiarità con tecnologie informatiche e misure di sicurezza dei dati; la conoscenza dello specifico settore di attività e dell’organizzazione del titolare/del responsabile: la capacità di promuovere una cultura della protezione dati all’interno dell’organizzazione del titolare/responsabile.

Assieme al Responsabile della protezione dei dati personali, il Gdpr introduce anche due nuovi concetti: privacy by default e privacy by design.

Come si intuisce dal nome, la privacy by default, prevede che la tutela dei dati sia un processo intrinseco dell’impresa e che quindi la privacy sia assicurata secondo una sorta di policy predefinita che prevede un preciso iter nel trattamento dei dati stessi.

La privacy by design si basa invece sul principio secondo cui,“tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, come anche dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche costituiti dal trattamento, sia al momento di determinare i mezzi del trattamento sia all’atto del trattamento stesso, il titolare del trattamento mette in atto misure tecniche e organizzative adeguate volte ad attuare in modo efficace i principi di protezione dei dati, quali la minimizzazione, e a integrare nel trattamento le necessarie garanzie al fine di soddisfare i requisiti del regolamento e tutelare i diritti degli interessati”.

In pratica, la privacy by design prevede che, sin dalla fase iniziale di qualsiasi progetto, il titolare debba effettuare una valutazione del trattamento dati che intende avviare e, in base a tale valutazione, impiegare tutti gli accorgimenti e le misure necessari per poter agire secondo una modalità in linea con la normativa di riferimento. Un elemento essenziale nel definire la metodologia da seguire è il tipo di dati trattati: se, per esempio, si prevede che si renderà indispensabile gestire dati relativi a minori, il rischio a cui si va incontro è di maggiore entità per cui gli obblighi dovranno essere più stringenti.

In ogni caso, i sistemi informativi devono essere configurati in modo da ridurre al minimo l’uso dei dati personali e le metodologie di trattamento usate devono permettere di indentificare una persona solo in caso di reale necessità.