GDPR - Il DPO: quali organizzazioni sono tenute ad averlo?

Tra le novità introdotte dal Regolamento Europeo 2016/679 (altrimenti noto come GDPR) rispetto alle precedenti normative privacy troviamo l’inserimento di una nuova figura all’interno dell’organizzazione aziendale: il DPO (Data Protection Officer) o Responsabile della Protezione Dati.

Nel corso dell’articolo approfondiremo il ruolo del responsabile della protezione dei dati, le sue funzioni e cosa stabilisce il regolamento in merito. Buona lettura!

DPO: obbligatorietà, funzioni e norme che regolano il ruolo

Negli Articoli 37, 38 e 39 del GDPR vengono definiti i criteri per stabilire l’obbligatorietà, il ruolo, le responsabilità e i compiti in capo al DPO.
Il DPO è una nuova figura specialistica, che deve disporre di una preparazione giuridica e tecnico-informatica in materia di protezione dei dati.

Viene nominato dal Titolare del Trattamento o dal Responsabile del Trattamento e il suo compito è quello di supportare il Titolare nell’applicazione delle procedure che riguardano il regolamento, fungendo anche da interfaccia con l’Autorità di Controllo (il Garante della Privacy).

Chi è obbligato a nominare un DPO?

Nonostante il GDPR sia in vigore dal 2016, sono numerose le imprese che ad oggi non adempiono completamente agli obblighi del regolamento. Tra questi troviamo appunto l’obbligo della nomina di un Responsabile della protezione dei dati. Ma chi sono i soggetti obbligati ad arruolare tra le proprie fila questa figura?

Innanzitutto sono obbligati, senza se e senza ma, gli enti pubblici; per le aziende del settore privato, di qualsiasi settore o dimensione, il discriminante per l’obbligatorietà è la presenza o meno di trattamenti dei dati personali.

Per completezza riportiamo una sintesi del comma 1/b-c Art.37 del GDPR, presente nelleFAQ del Garante Privacy:

Sono tenute alla nomina di un RPD (o DPO) le organizzazioni (intese come aziende) le cui principali attività comprendono trattamenti che richiedono il monitoraggio regolare e sistematico degli interessati su larga scala o in trattamenti su larga scala di categorie particolari di dati personali o di dati relative a condanne penali e a reati.

A chiarire ulteriormente il perimetro entro il quale le aziende devono agire, il Garante Privacy riporta sempre nelle FAQ una serie di attività che, a titolo esemplificativo, sono obbligate a disporre di un DPO nella propria organizzazione a causa dei trattamenti di dati che effettuano:

• concessionari di servizi pubblici (trasporto pubblico locale, raccolta dei rifiuti, gestione dei servizi idrici ecc.);
• società finanziarie, di revisione contabile e recupero crediti, istituti di credito, imprese assicurative e sistemi di informazione creditizia;
• istituti di vigilanza;
• partiti e movimenti politici, sindacati, caf e patronati;
• società operanti nel settore delle utilities (telecomunicazioni, distribuzione di energia elettrica o gas, ecc.);
• imprese di somministrazione di lavoro e ricerca del personale;
• società operanti nel settore della cura della salute, della prevenzione/diagnostica sanitaria quali ospedali privati, terme, laboratori di analisi mediche e centri di riabilitazione;
• società di call center;
• società che forniscono servizi informatici o che erogano servizi televisivi a pagamento.

Chi non è obbligato a nominare un DPO?

Definiti i soggetti che sono tenuti ad adempiere all'obbligo di un DPO, vale la pena dare qualche indicazione in merito alle categorie di attività che, sempre secondo il Garante Privacy, non sarebbero obbligate, ovvero:

• liberi professionisti operanti in forma individuale e che non effettuano trattamenti su larga scala;
• amministratori di condominio;
• agenti, rappresentanti e mediatori commerciali non operanti su larga scala;
• piccole e medie imprese, individuali o familiari, con riferimento ai trattamenti dei dati personali connessi alla gestione corrente dei rapporti con fornitori e dipendenti.

A tal proposito è bene però riportare l’ultimo paragrafo del punto 4 delle FAQ del Garante Privacy, il quale recita:

“In ogni caso, resta comunque raccomandata, anche alla luce del principio di accountability che permea il RGPD, la designazione di tale figura (v., in proposito, WP 243, cit., par. 1), i cui criteri di nomina, in tale evenienza, rimangono gli stessi sopra indicati.”

Il DPO deve essere interno all’azienda? O può anche essere esterno?

L’Art.37 comma 6 del GDPR recita:

“Il DPO può essere un dipendente del Titolare del Trattamento o del Responsabile del Trattamento oppure assolvere i suoi compiti in base ad un contratto di servizi”.

Pertanto, per tutte quelle aziende dove non ci fosse la possibilità di nominare un dipendente, per mancanza di competenze interne, organizzazione o disponibilità economiche, è possibile comunque avvalersi di un consulente esterno o di una società di servizi.

Se, in alternativa, l’azienda decide di nominare internamente il DPO è necessario porre particolare attenzione a scegliere una figura che non abbia un ruolo od una mansione che possa entrare in conflitto d’interessi con i compiti affidati al DPO.

Lo stesso Garante della Privacy chiarisce nelle sue Linee Guida che:

“…a grandi linee, possono sussistere situazioni di conflitto all’interno dell’organizzazione con riguardo a ruoli manageriali di vertice (amministratore delegato, responsabile operativo, responsabile finanziario, responsabile sanitario, direzione marketing, direzione risorse umane, responsabile IT), ma anche rispetto a posizioni gerarchicamente inferiori se queste ultime comportano la determinazione di finalità o mezzi del trattamento…”

Conclusioni

Sebbene nelle imprese italiane ed europee sussistano ancora dubbi e perplessità riguardo l’applicazione e l’adeguamento degli obblighi contenuti nel GDPR, lo scenario sta via via maturando sulla scorta delle interpretazioni fornite dalle Autorità nazionali ed europee preposte.

Data l’importanza del tema, è infine fondamentale comprendere che l’adeguamento al GDPR non può essere improvvisato. Diventa quindi necessario procedere con un approccio strutturato, effettuare valutazioni come il risk assesment e la gap analisys per definire in maniera chiara un piano di adeguamento, i ruoli, le responsabilità e eventuali piani di risposta in caso di criticità.

Restate sintonizzati sulle pagine del Magazine SAEP!