Il Garante per la protezione dei dati personali al fine di accompagnare le imprese nel complesso percorso di adeguamento ai nuovi istituti previsti dal regolamento privacy europeo ha pubblicato online sul proprio sito internet istituzionale le specifiche Faq sulla funzione del Data Protection Officer DPO nel settore privato.
Le Faq in esame che sono rilevanti in quanto approfondiscono molteplici aspetti della figura del Data Protection Officer dai requisiti, alle competenze, alle risorse, al conflitto di interesse. Il DPO può essere sia una figura interna agli enti o una figura esterna con relativo contratto di servizi. Le Faq hanno il pregio di richiamare l’attenzione degli operatori sulla nuova funzione aziendale del responsabile della protezione dei dati personali anche conosciuto con la dizione in lingua inglese Data Protection Officer – DPO prevista dall'art. 37 del Regolamento UE 2016/679. Il DPO ha i compiti di supporto e controllo, consultivi, formativi e informativi relativamente all'applicazione del Regolamento medesimo. Il DPO coopera con l'Autorità e proprio per questo, il suo nominativo va comunicato al Garante v. faq 6 e costituisce il punto di contatto, anche rispetto agli interessati, per le questioni connesse al trattamento dei dati personali artt. 38 e 39 del Regolamento . Non sono richieste specifiche attestazioni formali o l'iscrizione in appositi albi. Le Faq sottolineano che, per svolgere la funzione del DPO, non sono richieste specifiche attestazioni formali o l'iscrizione in appositi albi, ma occorre possedere un'approfondita conoscenza della normativa e delle prassi in materia di privacy, nonché delle norme e delle procedure amministrative che caratterizzano lo specifico settore di riferimento. Le Faq evidenziano come il responsabile della protezione dei dati personali deve poter disporre, infine, di risorse personale, locali, attrezzature, ecc. necessarie per l'espletamento dei propri compiti. Il DPO deve inoltre agire in piena indipendenza considerando 97 del Regolamento UE 2016/679 e autonomia, senza ricevere istruzioni e riferendo direttamente ai vertici. Le Faq specificano quali siano i soggetti privati obbligati alla designazione del DPO sono tenuti alla designazione del responsabile della protezione dei dati personali il titolare e il responsabile del trattamento che rientrino nei casi previsti dall'art. 37, par. 1, lett. b e c , del Regolamento UE 2016/679. Le Faq richiamano l’attenzione su quali imprese abbiano l’obbligo di designare il DPO, si tratta di soggetti le cui principali attività in primis , le attività c.d. di core business ” consistono in trattamenti che richiedono il monitoraggio regolare e sistematico degli interessati su larga scala o in trattamenti su larga scala di categorie particolari di dati personali o di dati relative a condanne penali e a reati per quanto attiene alle nozioni di monitoraggio regolare e sistematico” e di larga scala”. Elenco di soggetti tenuti alla nomina del DPO. Il valore aggiunto delle Faq è di riportare un elenco esemplificativo ma non esaustivo di soggetti tenuti a nominare il DPO, al fine di rendere maggiormente consapevoli gli operatori privati, l’elenco semplificativo ricomprende istituti di credito imprese assicurative sistemi di informazione creditizia società finanziarie società di informazioni commerciali società di revisione contabile società di recupero crediti istituti di vigilanza partiti e movimenti politici sindacati CAF e patronati società operanti nel settore delle utilities ” telecomunicazioni, distribuzione di energia elettrica o gas imprese di somministrazione di lavoro e ricerca del personale società operanti nel settore della cura della salute, della prevenzione/diagnostica sanitaria quali ospedali privati, terme, laboratori di analisi mediche e centri di riabilitazione società di call center società che forniscono servizi informatici società che erogano servizi televisivi a pagamento. Le Faq approfondiscono anche il profilo di quando non è obbligatorio designare il DPO ad esempio, in relazione a trattamenti effettuati da liberi professionisti operanti in forma individuale agenti, rappresentanti e mediatori operanti non su larga scala imprese individuali o familiari piccole e medie imprese, con riferimento ai trattamenti dei dati personali connessi alla gestione corrente dei rapporti con fornitori e dipendenti v. anche considerando 97 del Regolamento, in relazione alla definizione di attività accessoria” . Il titolare e/o il responsabile del trattamento restano comunque pienamente responsabile dell'osservanza della normativa. Il Garante, tuttavia, nei sopra citati casi, raccomanda di procedere alla designazione, anche alla luce del principio di accountability” di tale figura. Uno degli aspetti più importanti delle Faq consiste nella specificazione del Garante che, nell'esecuzione dei propri compiti, il responsabile della protezione dei dati personali interno o esterno dovrà ricevere supporto adeguato in termini di risorse finanziarie, infrastrutturali e, ove opportuno, di personale. Il titolare o il responsabile del trattamento che abbia designato un responsabile per la protezione dei dati personali resta comunque pienamente responsabile dell'osservanza della normativa in materia di protezione dei dati e deve essere in grado di dimostrarla art. 5, par. 2, del Regolamento v. anche i punti 3.2 e 3.3. delle linee guida del Gruppo art. 29 dei Garanti privacy europei . Il Garante privacy ha svolto in tal senso un’opera informativa meritoria al fine di rendere consapevoli le imprese che il DPO non può essere il parafulmine delle responsabilità in materia di protezione dei dati personali che restano, invece in capo, al titolare e al responsabile che sono le figure cardine del regolamento privacy europeo. Si rileva che le Faq costituiscono comunque un prezioso strumento anche per le imprese, consulenti e avvocati al fine di comprendere e risolvere alcuni nodi applicativi del regolamento. Le Faq sono finalizzate, infatti, a fornire un orientamento concreto e applicativo ad una serie di quesiti poste dalle imprese in occasioni di alcuni incontri organizzati dall’Autorità Garante per la protezione dei dati personali. Le Faq specificano che qualora il responsabile della protezione dei dati personali RPD o DPO sia individuato in un soggetto esterno, quest'ultimo potrà essere anche una persona giuridica v. il punto 2.4 delle suddette Linee guida . Le Faq raccomandano, in ogni caso, di procedere a una chiara ripartizione di competenze, individuando una sola persona fisica atta a fungere da punto di contatto con gli interessati e l'Autorità di controllo. In riferimento al conflitto di interesse, le Faq suggeriscono di evitare di assegnare il ruolo di responsabile della protezione dei dati personali a soggetti con incarichi di alta direzione amministratore delegato membro del consiglio di amministrazione direttore generale ecc. , ovvero nell'ambito di strutture aventi potere decisionale in ordine alle finalità e alle modalità del trattamento direzione risorse umane, direzione marketing, direzione finanziaria, responsabile IT ecc. . Le Faq richiamano l’attenzione, in assenza di conflitti di interesse e in base al contesto di riferimento, sull'eventuale assegnazione di tale incarico ai responsabili delle funzioni di staff ad esempio, il responsabile della funzione legale . Si raccomanda, in ogni caso, di procedere a una chiara ripartizione di competenze, individuando una sola persona fisica atta a fungere da punto di contatto con gli interessati e l'Autorità di controllo. Il nominativo del DPO e i relativi dati di contatto devono essere comunicati al Garante privacy secondo il modulo standard pubblicato con le Faq. Le Faq chiariscono che non è necessario pubblicare online anche il nominativo del responsabile della protezione dei dati spetta al titolare o al responsabile e allo stesso responsabile della protezione dei dati, valutare se, in base alle specifiche circostanze, possa trattarsi di un'informazione utile o necessaria. Il DPO costituisce in conclusione una funzione complessa che deve poter offrire, con il grado di professionalità adeguato alla complessità del compito da svolgere, la consulenza necessaria per progettare, verificare e mantenere un sistema organizzato di gestione dei dati personali, attraverso il supporto al titolare nell'adozione di un complesso di misure anche di sicurezza e garanzie adeguate al contesto in cui è chiamato a operare.
PP_AMM_18FaqGarantePrivacy_DPO_alovisio_s