DPO – Data Protection Officer, la figura professionale nata con il regolamento Ue sulla privacy
Per garantire una salvaguardia maggiore delle informazioni personali, lโUnione Europea ha elaborato una serie di provvedimenti, sfociati con il Gdpr,il regolamento generale dellโUnione Europea sulla protezione della privacy. Con questa normativa, che verrร attuata il 25 maggio 2018, tutte le societร che operano allโinterno dei confini comunitari dovranno sottostare alle direttive imposte. Tra queste vi รจ quella di adottare la figura del DPO, Data Protection Officer. Si tratta di un consulente tecnico specializzato nella tutela della privacy, con attivitร relative alla gestione e allโimmagazzinamento dei dati.
Prima di entrare nel dettaglio รจ opportuno ricordare che la sua entrata in vigore ha suscitato non pochi malumori allโinterno del panorama europeo. Un dibattito controverso, che non ha ancora messo dโaccordo le opinioni contrastanti. Questo รจ dovuto soprattutto allโeccessiva libertร nellโinterpretazione della normativa n.2016/679. Dubbi relativi in larga parte alle reali competenze attestanti la figura del DPO.
Data Protection Order (DPO)
Il Data Protection Order รจ una figura specializzata con specifiche mansioni nel settore informatico, giuridico, con un controllo approfondito dei processi e bilancio del rischio.
Tra i dettami fondamentali vi รจ principalmente quello di gestire, classificare e soprattutto garantire il trattamento dei dati personali, rispettando i dettami promulgati dallโUE per il rispetto della privacy. Questa attivitร puรฒ essere eseguita sia da un libero professionista che da un dipendente del proprietario, o responsabile, del trattamento.
La regolamentazione avrร luogo il 25 maggio 2018, su tutte le nazioni membri dellโUE, con il DPO che diverrร un elemento indispensabile per adeguarsi ad essa. Non tutti perรฒ hanno ben chiaro il ruolo di questa figura professionale. Gli aspetti conosciuti ai piรน sono il risultato di una spiegazione operata dai garanti nazionali (WP29).
Lโarticolo 37 del GDPR non elenca con oculatezza quali siano le caratteristiche professionali che deve possedere un DPO. Allo stesso tempo perรฒ il professionista, che ambisce ad essere riconosciuto con questa qualifica, deve non solo garantire una conoscenza approfondita del regolamento a breve attuato, ma soprattutto comprovare la sua esperienza nella protezione delle informazioni private nellโambito legislativo UE. In aggiunta anche una discreta dimestichezza delle norme amministrative in caso di attivitร in un ente nazionale.
Altro elemento di dibattito riguardo la difficoltร di attuazione di questa normativa รจ un concreto squilibrio tra il dipendente, che deve sostenere gli impegni derivanti dalla legislazione, e lโarticolo 38 della stessa, che tratta la libertร di autonomia, non โsotto padroneโ, del DPO.
Altro aspetto da tenere in considerazione รจ che il DPO non deve sottostare in alcuna circostanza di conflitto dโinteressi. In questo caso, gli organi di legislatura europei si guardano attorno nel realizzare nomine per congenialitร o concomitanza di attivitร pratiche. Pertanto figure come lโamministratore delegato, il responsabile operativo, il direttore marketing, responsabile delle risorse umane, garante ICT, non potranno essere nominate DPO.
DPO, quali mansioni
Le mansioni appartenenti al Data Protector Order sono catalogate nellโarticolo 39 della normativa europea. Per spiegare nel dettaglio quali siano le sue competenze ecco un elenco informativo:
- Direzione della gestione del trattamento di dati personali fruiti dalle aziende, private e pubbliche;
- Salvaguardia del regolamento promosso dallโUE;
- Comunicare al titolare e al responsabile il trattamento relativamente agli obblighi di legge provenienti dalla normativa GDPR, o da altre direttive UE, riguardanti dati personali;
- Verificare lโosservanza del Regolamento da parte del Titolare o Responsabile del trattamento, sensibilizzando e formando il personale che partecipa alle operazioni di trattamento dei dati e alle relative attivitร di controllo;
- Concedere opinioni riguardo la stima dโimpatto sulla protezione dei dati;
- Cooperare con lโautoritร di controllo, dando suggerimenti su qualunque altra tematica.
Da questi punti si puรฒ notare come il DPO delinea una figura altamente specializzata, che abbina caratteristiche gestionali e organizzative. Deve essere infatti un abile consigliere del proprietario, o gestore, dei dati.
DPO, il professionista per la tua impresa
La carente risolutezza del GDPR in tema DPO rende altamente personale lโidea di attuazione da parte delle aziende site nei confini UE. La mancanza di dettami inconfutabili presuppone infatti unโinterpretazione soggettiva, a propria discrezione.
In base allโarticolo 37 del Regolamento Europeo, รจ obbligatorio nominare un DPO se il trattamento dei dati โvenga effettuato da unโautoritร pubblica o da un organismo pubblico, eccettuate le autoritร giurisdizionali nellโesercizio delle proprie funzioniโ. Questa รจ senza dubbio la parte esente da riserve.
Eโ opportuno appuntare che gli organismi pubblici non sono altro che gli enti sorti al fine di compiacere le necessitร dโinteresse generale, prevalentemente a carattere non commerciale. Istituzioni contraddistinte da una particolaritร giuridica, la cui attivitร risulta finanziata da fondi pubblici.
Altresรฌ lโarticolo 37 stabilisce la perentorietร della nomina del DPO anche per alcune imprese private. Da ciรฒ, nel nucleo applicativo del regolamento, nascono le prime divergenze.
Il punto prevede che vi sia lโobbligo di investitura del DPO se il core business del proprietario del trattamento, o del responsabile, โณconsista in trattamenti richiedenti il monitoraggio sistematico su larga scalaโณ non solo quando le attivitร principali del proprietario del trattamento, o del responsabile, โณriguardano il trattamento, su larga scala, di informazioni sensibili o di dati relativi a condanne penali e a reatiโณ.
Al che sorge un dubbio non indifferente, riguardo il significato di attivitร principali. Per illustrare al meglio la questione si puรฒ prendere ad esempio unโazienda ospedaliera. Lโattivitร primaria รจ somministrare prestazioni di cura ai cittadini. Perรฒ, senza analizzare le informazioni personali dei pazienti, anche quelle piรน delicate, non รจ possibile soddisfare tale compito.
Un altro aspetto che viene esaminato allโinterno del dibattito generale รจ il significato di attuazione su larga scala. Una risposta autorevole รจ sopraggiunta dal Gruppo dei Garanti Ue (WP 29), senza perรฒ giungere ad un risultato chiaro e conciso. Viene riferito che โnon รจ possibile fornire un numero preciso di dati trattati o di persone interessate necessari a definire la categoria della grande scalaโ
Gli unici dati ufficiali sono gli elementi presente nella normativa GDPR, con la quale viene stabilito se un trattamento risulti su larga scala:
- Quantitร di individui interessati e la mole di dati;
- La durata dellโattivitร di elaborazione degli stessi;
- Bacino geografico dellโattivitร di trasformazione dati.
Chi deve rivolgersi al DPO?
I principali destinatari del Regolamento sulla protezione delle informazioni personali, e quindi โcostretteโ a nominare un DOP, sono tutte quelle attivitร che operano sulla rete. In particolare quelle che gestiscono e analizzano i dati degli utenti. Non solo tutti gli organismi statali, ma anche quelli privati, come gli istituti bancari e le aziende di telecomunicazioni.
La lista potrebbe essere infinita, esseno non quantificabili le attivitร che si basano sul trattamento dei dati personali: studi legali, imprese assicurative, siti di e-commerce, ecc. Informazioni sensibili, spesso estremamente delicate, che devono essere necessariamente fruite per fini ben specifici.
Eโ prospettabile, in un lasso di tempo breve, un chiarimento da parte degli organi competenti, trai quali il Garante Italiano. Una precisazione dovuta, al fine di abbattere tutti i dubbi sorti a dismisura con Il regolamento GDPR sui dati personali. Soprattutto a tutela delle societร che subiranno le prime sanzioni, che quasi certamente avverranno a breve.
Se hai bisogno di una consulenza puoi contattare l’Avvocato Gabriele Carmelo Gallo con il quale collaboro per porre il tuo quesito.