Il Gruppo di lavoro dei Garanti privacy europei gruppo di lavoro ex art. 29 adotta le linee guida in materia di Data Protection Officer e definisce le funzioni, il ruolo, i compiti e le responsabilità di questa nuova figura prevista dal nuovo regolamento europeo in materia di protezione dei dati personali.
Il gruppo di lavoro dei Garanti privacy europei previsto dall’art. 29 della direttiva 95/46 in materia di protezione dei dati personali ha emanato, in data 13 dicembre 2016, delle preziose linee guida in materia di Data Protection Officer DPO rivolte a imprese, pubbliche amministrazioni e operatori. La figura del DPO. Le sopra citate linee guida confermano il ruolo strategico, nelle aziende e nelle pubbliche amministrazioni, della nuova figura del Data Protection Officer DPO prevista dal regolamento europeo in materia di protezione dei dati personali n. 679/2016 . Il DPO svolge rilevanti funzioni consultive, di assistenza e vigilanza e controllo del rispetto del regolamento europeo all’interno degli enti e costituisce anche il punto di riferimento privacy sia all'interno delle organizzazioni, sia per gli utenti, i cittadini, clienti e sia per l'autorità Garante per la protezione dei dati personali. Secondo il regolamento europeo, la figura del DPO è obbligatoria quando il trattamento dei dati è effettuato da un’autorità pubblica o da un organismo pubblico e nei casi in cui, nelle aziende provate, le attività principali del titolare o il responsabile consistono in trattamenti, che richiedono un monitoraggio regolare e sistematico delle persone interessate su larga scala, oppure in trattamenti su larga scala di categorie particolari di dati personali ad esempio dati sensibili o giudiziari . Le linee guida confermano che anche le imprese che non sono tenute e a designare il DPO in quanto non rientranti nei sopra citati casi possono, nell'ottica di qualità, procedere, su base volontaria, a dotarsi di tale figura. Requisiti. Le autorità pubbliche, organismi ed aziende devono procedere alla designazione del DPO sulla base delle qualità professionali, con particolare riferimento e attenzione alla conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati personali e alla capacità di assolvere ai complessi compiti previsti dall'art. 39 del regolamento connessi alla valutazione di impatto privacy, al data breach alla sicurezza dei dati e registro dei trattamenti. Le linee guida sottolineano l’importanza della conoscenza da parte del potenziale DPO del settore di ambito in cui opera l’impresa, dei processi di trattamento dei dati e sulle operazioni effettuate e sui sistemi informative. Nel caso di un ente pubblico o di un organismo, il DPO dovrebbe anche avere una buona conoscenza delle regole e delle procedure dell’organizzazione amministrativa dell’ente. Le linee guida sottolineano come il livello di esperienza richiesto sia commisurato alla tipologia dei dati trattati, alla complessità e quantità dei dati trattati. Le linee guida approfondiscono i profili relativi all’impatto della previsione della figura del DPO nel settore pubblico, degli indici generali per individuare i requisiti dei trattamenti di dati su larga scala, della valutazione di impatto privacy, dei conflitti di interesse e alle responsabilità del DPO. Le linee guida citano alcuni fattori che devono essere presi in considerazione per determinare se il trattamento di dati è effettuato o meno su larga scala il numero delle persone interessate numero o percentuale della popolazione il volume dei dati e/o gamma di differenti elementi di dati in elaborazione, la durata o la permanenza, l’attività di elaborazione dei dati, l’estensione geografica dell’attività di trasformazione. Il documento fornisce sia alcuni esempi di trattamenti di dati su larga scala es. trattamenti di dati negli ospedali, sistemi di trasporto pubblico, geolocalizzazione dei clienti da parte di una catena commerciale internazionale, il trattamento di dati effettuato da parte delle assicurazioni o da parte delle banche sia altri esempi in cui in vi si esclude il parametro del trattamento di dati su larga scala es. trattamenti di dati giudiziari da parte di un singolo avvocato, il trattamento di dati da parte dei pazienti da parte di un singolo medico . In riferimento all’obbligo di designazione del DPO da parte delle autorità pubbliche e da parte degli organismi pubblici, le linee guide richiamano sia la direttiva 2003/98/Ue sul riutilizzo delle informazioni sia la normativa nazionale. Responsabilità. Le linee guida approfondiscono il profilo della responsabilità del DPO e specificano come nel caso di trattamenti di dati non conformi al regolamento europeo lo stesso DPO non sarà responsabile personalmente del trattamento in quanto, alla luce delle disposizioni del regolamento europeo, spetta al titolare e al responsabile del trattamento dei dati dimostrare l'osservanza dei principi e delle disposizioni del regolamento europeo. Viene inoltre approfondito il profilo dell’assenza del conflitto di interesse, aspetto connesso alla necessità del DPO di agire in modo indipendente. In considerazione dell’autonomia del suo ruolo, egli non può svolgere un ruolo aziendale che comporti la possibilità di determinare le finalità e gli strumenti del trattamento dei dati personali ad esempio il ruolo di responsabile ICT . Road map. Le linee guida indicano una road map per le pubbliche amministrazioni e le imprese in materia le organizzazioni devono, in particolare - effettuare e documentare un'analisi interna per determinare se è necessario o meno nominare un DPO alla luce delle disposizioni del regolamento europeo in materia di protezione dei dati personali - individuare il soggetto che abbia i requisiti previsti come DPO conoscenza approfondita della normativa in materia di protezione dei dati personali e specificare con atto scritto i compiti, il ruolo e rapporti con altri funzioni aziendali -prevedere risorse necessarie affinché il DPO possa svolgere i propri compiti e possa essere formato e aggiornato in materia. Le risorse dovrebbe essere commisurate alla tipologia dei dati trattati, complessità e quantità dei trattamenti di dati effettuati. Le organizzazioni devono definire le regole per evitare i conflitti di interesse e, verificare e attestare per il proprio DPO che le funzioni svolte e i compiti non diano adito ad un conflitto di interesse. Gli enti devono disciplinare i casi in cui il DPO deve essere consultato nei processi aziendali ad esempio nel caso di decisioni da parte del management con implicazioni e impatto sul trattamento dei dati personali . Le informazioni di contatto del DPO devono essere pubblicate e rese note agli interessati ma non il nominativo dello stesso ed il suo nominativo deve essere, invece, comunicato ai dipendenti dell’impresa e dell’ente pubblico ad esempio tramite la pubblicazione online sulla rete intranet aziendale . Viene poi confermata l’importanza della formazione continua del DPO al fine di aumentare costantemente il livello di competenza le linee guida ritengono utile che le autorità di controllo promuovano una formazione adeguata e regolare per la funzione del DPO. Osservazioni. Le linee guida in consultazione online fino alla fine di gennaio 2017 costituiscono una preziosa guida per le imprese e pubbliche amministrazioni nel complesso percorso di designazione del DPO e dello svolgimento delle sue importanti funzioni. Il DPO può costituire un vantaggio competitivo per le imprese, una leva strategica, per favorire, nell'ottica di accountability , una migliore compliance ai principi e disposizioni del regolamento europeo in materia di protezione dei dati personali e un migliore rapporto e relazione con i propri utenti/clienti e con l'autorità Garante privacy. Il DPO, come emerso nelle linee guida, può essere utile e svolgere il prezioso ruolo di supervisore indipendente, di tutela delle stesse organizzazioni e di facilitatore della cultura della protezione dei dati personali solo se agisce in autonomia e con risorse adeguate per svolgere i propri compiti in modo efficace.