• Passa alla navigazione primaria
  • Passa al contenuto principale
  • Passa alla barra laterale primaria
  • Passa al piè di pagina
via Garofalo 29, 20133 Milano - tel. 02 29408650
  • Home
  • News
  • Chi siamo
  • Contatti

Programma Radon

Ente Accreditato Regione Lombardia N. 1027/2017

  • Privacy
  • Sviluppo organizzativo
  • Sicurezza sul lavoro
  • Rifiuti
  • Sistemi di gestione
  • Legge 231
  • Rapporti con gli Enti
  • Ambiente
Ti trovi qui: Home / Approfondimenti / Data Protection Officer: chi deve nominarlo e come sceglierlo

Data Protection Officer: chi deve nominarlo e come sceglierlo

18 Settembre 2017 di Valeria Carozzi 2 commenti

Il Responsabile della Protezione dei dati personali, o Data Protection Officer (DPO), è una  figura di cui si sentirà tanto parlare nei prossimi mesi. Per questo è necessario fare un pò di chiarezza su chi sono i soggetti obbligati a nominarlo, qual è il suo ruolo e quali sono le sue responsabilità, e su questo ci vengono in aiuto le linee guida del Gruppo di lavoro Europeo ex art. 29.

Soggetti obbligati  (ex art.37 GDPR)

Indice

  • Soggetti obbligati  (ex art.37 GDPR)
  • Le caratteristiche del DPO
  • I compiti del DPO

Innanzitutto l’articolo 37 del regolamento specifica chiaramente chi è da intendersi come soggetto obbligato. A meno di non rientrare espressamente in queste categorie, che a breve vedremo, il Gruppo di Lavoro consiglia a tutti i titolari e responsabili del trattamento di effettuare una analisi per determinare l’applicabilità o meno dell’obbligo di nomina del DPO e di tenerne traccia. E’ inoltre possibile nominare un DPO su base volontaria.

1. Pubblica amministrazione

Con il termine pubblica amministrazione bisogna intendere non solo gli enti pubblici, ma anche tutta quella gamma di società partecipate, convenzionate, controllate che svolgono un compito o forniscono un servizio in nome e per conto dell’amministrazione pubblica. Il DPO nominato in quest’ambito è raccomandato che si occupi non solo di tutti i servizi erogati al pubblico, ma anche dei processi interni (gestione del personale, contabilità, etc).

2. L’attività principale riguarda trattamenti di monitoraggio sistematico di dati su larga scala

E’ opportuno chiarire bene i concetti presenti in questa definizione. Come attività principale si intende l’attività che genera business in azienda. Per esempio un ospedale o una compagnia di vigilanza interna per svolgere la loro attività inevitabilmente trattano dati altrui e pertanto sono attività tenute a nominare un DPO. Stesso discorso vale per tutte le società che forniscono alle aziende clienti il servizio di Amministratore di rete esterno o di gestione paghe e consulenza del lavoro. Diverso è invece il discorso relativo alla gestione dei servizi IT o gestione del personale interni all’azienda, che si possono invece considerare attività accessorie al business principale e pertanto non determinano l’obbligo di nominare il DPO.

Per quanto riguarda il concetto di larga scala, non esiste ancora una quantificazione di cosa è definibile con “larga scala”. I criteri da tenere in considerazione per ora sono questi: il numero dei soggetti interessati; il volume e il range di informazioni trattati; la durata del trattamento; l’estensione geografica del trattamento. Ad esempio rientrano in questa definizione gli ospedali, chi elabora statistiche sulla base della geolocalizzazione, chi elabora i dati dei clienti di banche o assicurazioni, chi elabora in modo automatizzato i dati per marketing mirato, chi gestisce i dati per conto dei provider internet o telefonici. Sono invece esclusi gli studi medici o legali in cui opera un unico professionista.

Per quanto riguarda infine il concetto di regolare e sistematico monitoraggio dei dati ci si riferisce a tutti i sistemi di profilazione e tracciamento automatico dell’utente che, per esempio, possono essere effettuati tramite: i network di telecomunicazioni; l’email retargeting; la profilazione del cliente per scopi assicurativi, bancari, etc; la geolocalizzazione tramite mobile app; i programmi fedeltà; il marketing comportamentale (tipìco di google e dei social media) e tutta quella nuova frontiera che riguarda i wearable devices per il monitoraggio dello stato di salute e delle performance fisiche nonchè l’elaborazione delle informazioni derivanti dagli oggetti interconnessi (noto anche come IOT o internet of things). In ogni caso i criteri su cui basarsi per valutare la sistematicità e regolarità del trattamento sono: la periodicità e la durata con cui questo viene effettuato, se è svolto in modo metodico, organizzato, sistematico, inserito all’interno di un progetto di raccolta ed elaborazione dei dati e all’interno di una specifica strategia aziendale.

3. Vengono trattati dati  sensibili o giudiziari

Si fa riferimento a tutti i titolari o responsabili che trattano i dati elencati agli articoli 9 e 10 del GDPR: dati che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, nonché  dati genetici, dati biometrici, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona, nonchè i dati collegati a reati e condanne penali.

Le caratteristiche del DPO

Il DPO viene nominato sulla base del trattamento svolto. E’ pertanto possibile che venga nominato dal Titolare perchè svolge in modo diretto una attività fra quelle obbligate, oppure può essere nominato dal Responsabile esterno cui tale attività viene appaltata. Oppure può essere un obbligo in capo ad entrambi. L’importante è che in presenza di uno dei trattamenti elencati precedentemente tale figura vi sia e sia debitamente contrattualizzata.

Il DPO può essere interno o esterno all’azienda e identificato in una persona o in un team di lavoro (con compiti ben specificati in capo ad ogni membro), l’importante è che abbia la possibilità di comunicare facilmente con il titolare/responsabile e con i dipendenti che svolgono i trattamenti sui dati personali; che cooperi con le autorità di controllo ogni qualvolta sia necessario; che abbia modo e tempo di svolgere efficientemente la sua funzione, soprattutto quando è referente per diversi enti; che garantisca il segreto professionale. E’ previsto che i suoi recapiti (mail o linea telefonica dedicata) siano resi pubblici dal titolare/responsabile al fine di permettere a chiunque ne avesse necessità di mettersi agevolmente in contatto con il DPO.

Deve poi possedere delle caratteristiche personali che lo rendano idoneo al compito assegnato:

1. Livello di esperienza: deve essere commisurato alla sensibilità ed alla complessità del trattamento, nonchè alla mole di dati trattati ed al fatto che vi sia o meno un sistematico invio di dati all’estero.

2. Qualità professionale: ovviamente deve essere esperto del GDPR e dei requisiti legali previsti a livello nazionale, ma è anche opportuno che conosca le modalità operative del settore nel quale opera.

3. Capacità di svolgere il compito: è strettamente correlata alla sua abilità non solo nel garantire la piena conformità al GDPR, ma anche nel divulgare una cultura della tutela del dato all’interno dell’ente, sapendo convogliare a tutte le funzioni interessate i principi riguardanti la tutela del dato e dei diritti degli interessati, i concetti di  privacy by design e by default, le misure di sicurezza tecniche atte a garantire l’integrità dell’infrastruttura informatica.

Dal punto di vista del ruolo e dell’effettiva operatività del DPO, si specifica innanzitutto che è necessario coinvolgerlo tempestivamente in tutte le questioni inerenti la protezione dei dati, così da garantire un approccio in ottica privacy by design. Dovrebbe pertanto partecipare regolarmente ai management meeting, soprattutto quando si devono prendere decisioni operative riguardanti il trattamento dei dati. In tali occasioni la sua opinione deve essere presa in considerazione e se vi sono obiezioni, devono essere documentate. Sicuramente deve poi essere coinvolto ogni qualvolta si verifica un data breach.

Per svolgere correttamente il suo compito deve essere supportato dal senior management, deve essergli garantito tempo sufficiente da dedicare alla protezione dei dati, deve essergli messo a disposizione un budget adeguato e lo staff necessario e deve essergli dato accesso a tutte le funzioni aziendali. Deve aver poi  la possibilità di accedere a percorsi di formazione continua e, se necessario in base alla complessità del trattamento, può essere meglio optare per un team all’interno del quale viene individuato un team leader.

Fondamentale è il concetto poi di autonomia del DPO, che deve operare sulla base della propria esperienza e non su istruzioni impartite dal titolare, fermo restando che non ha potere decisionale ma può solo riferire al titolare che rimane l’unico responsabile delle decisioni prese e della conformità ai requisiti del decreto. Il DPO inoltre non può in alcun modo essere penalizzato o sanzionato per la sua attività o per le indicazioni fornite, in particolare per quanto riguarda figure all’interno all’azienda che non devono subire discriminazioni per il lavoro svolto. Qualora ovviamente il titolare non fosse soddisfatto del lavoro svolto dal DPO, può sollevarlo dall’incarico o terminare il contratto (se è un consulente esterno). Come anche per i membri dell’organismo di vigilanza 231, è opportuno evitare conflitti di interesse in capo al DPO.

I compiti del DPO

Il DPO ha principalmente una funzione consulenziale nei confronti del titolare e deve pertanto raccogliere tutte le informazioni necessarie ad identificare trattamenti e dati trattati, analizzare e verificare il grado di conformità dei vari processi e fornire indicazioni e consigli al titolare, che resta ultimo responsabile della conformità normativa. Nel caso il titolare debba effettuare una valutazione di impatto del trattamento, è opportuno che tale valutazione sia realizzata con l’ausilio del DPO, in particolare chiedendogli supporto sulla metodologia da adottare, sulle misure che è opportuno prevedere e sulla correttezza delle conclusioni ottenute.

Deve svolgere poi il suo compito sulla base di una valutazione dei rischi che gli permetta di individuare le aree maggiormente a rischio e fornire al titolare una priorità di intervento che gli consenta di allocare correttamente e sensatamente  budget e risorse .

 

Archiviato in:Approfondimenti, Privacy, Privacy Contrassegnato con: consulenza, privacy

Interazioni del lettore

Trackback

  1. GDPR: come scegliere il responsabile della protezione dei dati ha detto:
    18 Settembre 2017 alle 13:06

    […] Per ulteriori informazioni vi invitiamo a leggere l’approfondimento dedicato alla nomina del DPO […]

    Rispondi
  2. Valutazione di impatto sui dati: chiarimenti ha detto:
    10 Novembre 2017 alle 12:37

    […] di dati su larga scala:definizione che abbiamo già affrontato nell’ articolo dedicato al DPO e che in sintesi prende in considerazione il numero di soggetti interessati al trattamento, il […]

    Rispondi

Lascia un commento Annulla risposta

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Barra laterale primaria

Ti potrebbe interessare anche

  • Privacy By Design: la norma Iso di riferimento

    30 Gennaio 2023
  • Linee guida per l’utilizzo dei Cookie

    30 Gennaio 2023
  • CRM: pillole di privacy

    27 Ottobre 2022
  • Google Analytics 4: le precisazioni del garante Danese

    27 Ottobre 2022
  • Novità sul trasferimento dei dati in America

    27 Ottobre 2022
  • La gestione della Mailbox del dipendente

    1 Luglio 2022
  • Attenzione a Google Analytics

    27 Giugno 2022
  • Stai valutando un Password Manager?

    7 Giugno 2022
  • Al via le Class Action privacy

    7 Giugno 2022
  • Come bloccare le telefonate indesiderate sul cellulare

    21 Aprile 2022

I nostri servizi

ambiente antincendio assistenza legale bandi bando benessere organizzativo bonus fiscali consulenza cookie coronavirus covid-19 covid19 enti controllo formazione gestione e comunicazione interna imballaggi medicina del lavoro misurazione movimentazione carichi normativa norme tecniche pratiche burocratiche privacy procedure e istruzioni operative radon sicurezza sistemi di gestione smart working smartworking sostenibilita' SOSTENIBILITà stress stress lavoro correlato sviluppo organizzativo valutazioni tecniche e misurazioni

Footer

Contatti

via Garofalo 29
20133 Milano
tel. 02 29408650

info@prograd.it
inviodoc@pec.programmaradon.it

   

Informazioni

Orari di ufficio
Dal lunedì al venerdì
ore 9.00 – 13.00
ore 14.00 – 18.15

Informative
Trattamento dei dati personali
Informativa cookies
Condizioni di vendita
Politica della qualità

Certificazioni

Aree di competenza

  • Privacy
  • Sviluppo organizzativo
  • Sicurezza sul lavoro
  • Rifiuti
  • Sistemi di gestione
  • Legge 231
  • Rapporti con gli Enti
  • Ambiente

Corsi e strumenti di formazione

© 2017 - 2023 Programma Radon srl, Via Garofalo 29, 20133 Milano - Tel. 02 29408650 - P. IVA 10859340159 - inviodoc@pec.programmaradon.it