Data Protection Officer

Data Protection Officer, qual'è il suo ruolo?

Sebbene le condizioni per la nomina di un Data Protection Officer (DPO), i suoi compiti e le sue competenze siano chiaramente definiti negli articoli 37-39 del nuovo regolamento, l'importanza strategica di questa posizione pone l'argomento al centro di tutte le discussioni e raccomandazioni sul GDPR.

 

In questo articolo presenteremo gli elementi essenziali della nomina del responsabile della protezione dei dati e cercheremo di chiarire alcune delle questioni più controverse. In virtù della natura delle sue funzioni e dei suoi poteri, un Data Protection Officer ha un ruolo centrale e strategico in un'organizzazione. Le peculiarità e novità di questa posizione danno origine a una serie di domande che sono in parte chiarite dal testo del GDPR. Sulle altre cercheremo di trovare la risposta.

 

Il Data Protection Officer (DPO)

Ai sensi dell'articolo 37, paragrafo 1 del GDPR, è necessario designare un responsabile della protezione dei dati (Data Protection Officer - DPO) se:

  • sei un ente pubblico (ad eccezione dei tribunali che agiscono a titolo giudiziario);
  • devi eseguire un monitoraggio sistematico, su larga scala di persone (ad esempio, il monitoraggio comportamento online);
  • devi effettuare l'elaborazione su larga scala di categorie particolari di dati o dati relativi alle condanne penali e reati.

Tuttavia, vi sono casi in cui un gruppo di organizzazioni, come i partner in una catena di distribuzione, esegue frequentemente attività comuni che coinvolgono flussi di dati che possono essere controllati e monitorati centralmente a livello di gruppo o di partner. In tali situazioni, è possibile designare un singolo data protection officer per agire per un gruppo di organizzazioni o autorità pubbliche, tenendo conto della loro struttura e dimensione.

Articolo 37 del GDPR

Ai sensi dello stesso articolo 37, il responsabile della protezione dei dati è designato sulla base delle qualità professionali e, in particolare, della conoscenza approfondita della legislazione e delle prassi in materia di protezione dei dati e della capacità di svolgere i compiti di cui all'articolo 39. In determinate situazioni, il responsabile della protezione dei dati può essere un membro del personale dell'operatore o del processore o eseguire attività sulla base di un contratto di servizio esternalizzato. Il responsabile del trattamento o l'incaricato del trattamento deve pubblicare i dati di contatto del responsabile della protezione dei dati e comunicarli all'autorità di controllo.

Articolo 38 del GDPR

Ai sensi dell'articolo 38: Funzione del responsabile della protezione dei dati, gli operatori devono garantire che il responsabile della protezione dei dati ''sia coinvolto in modo corretto e tempestivo in tutti gli aspetti della protezione dei dati personali." Inoltre, vi è il dovere di dare al Data Protection Officer tutto il sostegno per i compiti di cui all'articolo 39, garantendo le risorse necessarie per il corretto svolgimento delle sue funzioni, oltre a facilitare l'accesso alle risorse di formazione per mantenere le sue conoscenze specialistiche.

 

Il Data Protection Officer in Azienda

Un aspetto molto importante e quindi altamente commentato è quello della posizione del Data Protection Officer all'interno di un'organizzazione è la sua autonomia nelle questioni di sicurezza dei dati.

Come stabilito dall'articolo 38, paragrafo 3: "L'operatore e la persona autorizzata dall'operatore garantiscono che il responsabile della protezione dei dati non riceva istruzioni riguardanti queste attività." Come detto, questa posizione privilegiata ha generato molte discussioni e preoccupazioni sul posizionamento di questa funzione nei rapporti con le strutture di gestione e altre linee di business. Le perplessità sono ancora più accentuati dalla disposizione secondo cui un responsabile della protezione dei dati non può essere sanzionato dall'operatore per il mancato adempimento delle sue funzioni. Il responsabile della protezione dei dati risponde solo per lo svolgimento dei suoi obblighi di consulenza ed assistenza nei confronti del titolare, che è l'unico soggetto responsabile del rispetto della normativa.

Le domande più frequenti sono correlate a ciò che accade quando i consigli o le raccomandazioni del DPO sono obsoleti o errati, il che solleva la vulnerabilità della protezione dei dati.

Un altro ruolo fondamentale e critico del data protection officer consiste nell'assumere la comunicazione con le persone interessate nell'esercizio dei loro diritti ai sensi del presente regolamento. Un altro punto importante, in particolare quando il data protection officer agisce esternamente per una o più società ha l'obbligo di osservare la segretezza e la riservatezza nell'esecuzione dei propri compiti. È chiaro che questo deve essere regolato da una sezione speciale del contratto individuale di lavoro o del contratto di servizi.

Tali regolamenti dovrebbero indicare esplicitamente quali sono le categorie di informazioni a cui il DPO ha il diritto di accesso, qual è il suo ruolo nell'effettivo trattamento dei dati e come può essere guidato dalle condizioni assunte dall'organizzazione limitando il volume dei dati trattati, la sicurezza della comunicazione o la conservazione.

Ai sensi dell'articolo 38, paragrafo 6: "Il responsabile della protezione dei dati può svolgere altri compiti e atribuzioni. L'operatore o la persona autorizzata dall'operatore garantisce che nessuno di questi compiti e attività genera un conflitto di interessi. "

 

Ruolo del DPO

Il Data Protection Officer ha un ruolo consultivo, e svolge i seguenti compiti definiti all'articolo 39:

  • informare e consigliare il titolare o il responsabile del trattamento, nonché i dipendenti, in merito agli obblighi previsti dalle norme in materia;
  • verificare l’attuazione e l’applicazione delle norme, la gestione delle attività interne di protezione dei dati;
  • formare il personale, condurre audit interni e se richiesto, fornire pareri ed assistere il titolare in merito alla valutazione d’impatto sulla protezione dei dati e sorvegliare i relativi adempimenti;
  • cooperare con le autorità di controllo;
  • fungere da punto di contatto per l'autorità di controllo e per le persone i cui dati vengono elaborati (dipendenti, clienti, ecc.), in merito a qualunque problematica connessa all'esercizio dei loro diritti;
  • consultare l'autorità di controllo anche di propria iniziativa.

Ma forse l'aspetto più importante di queste attribuzioni è legato al fatto che, nell'adempiere alle proprie attività di DPO, si deve prestare la dovuta attenzione (la legge dice) ma con la massima responsabilità (dicono le migliori pratiche) ai rischi associati alle operazioni di elaborazione, e qui bisogna tener bene in considerazione tanto la natura e l'ambito, che il contesto e le finalità del trattamento.

Un DPO deve essere indipendente ma questo non significa necessariamente che, come il titolare o il responsabile del trattamento, deve nominare una persona esterna; il ruolo di DPO può essere soddisfatto da un dipendente.

Il suo impegno può essere a tempo parziale o combinato con altri compiti, ma nell'adempimento del ruolo, il data protection officer deve avere una linea indipendente di rapportarsi ed essere autorizzato a riferire direttamente al titolare o al suo rappresentante senza intercessione. Ciò che è importante è che, per svolgere i suoi compiti, la persona designata deve essere un professionista della protezione dei dati con "competenza sulla legislazione e le pratiche in materia di protezione dei dati."

 

Il Conflitto di Interessi

Per quanto riguarda le situazioni in cui possono sorgere conflitti di interesse, l'articolo 38, paragrafo 6 del GDPR, consente all'RPD di "svolgere altre attività e compiti", tuttavia l'organizzazione deve garantire che "nessuna di queste attività non genera un conflitto di interessi".

L'assenza di conflitto di interessi è strettamente legata all'obbligo di agire in modo indipendente. Sebbene sia autorizzato ad avere altre funzioni, può essere incaricato di altri compiti e doveri, a condizione che non diano luogo a conflitti di interesse. Ciò riguarda in particolare il fatto che il ruolo del data protection officer non implica la libertà di definire le finalità e i mezzi di trattamento dei dati personali.

Questo deve essere considerato caso per caso, tenendo conto della struttura organizzativa specifica di ciascuna organizzazione. Come regola generale, le funzioni organizzative in conflitto possono includere funzioni di senior management (come direttore esecutivo, direttore operativo, direttore finanziario, capo del dipartimento medico, capo del dipartimento delle risorse umane o capo del dipartimento IT etc.), ma allo stesso tempo altre funzioni inferiori se portano alla possibilità di determinare gli scopi e i mezzi di elaborazione.

Inoltre, può sorgere un conflitto di interessi se viene chiesto a un data protection officer esterno di rappresentare l'operatore o la persona autorizzata dall'operatore in tribunale, in casi che riguardano problemi di protezione dei dati.

A seconda delle attività, delle dimensioni e della struttura dell'organizzazione, le buone pratiche per operatori e responsabili del trattamento potrebbero essere:

  • identificare le funzioni che sarebbero incompatibili con il DPO;
  • sviluppare regole interne per evitare conflitti di interesse;
  • immettere una spiegazione più generale dei conflitti di interesse;
  • dichiarare che il DPO non ha conflitti di interesse riguardo alla sua posizione;
  • fornire garanzie nelle regole interne dell'organizzazione e garantire che il posto vacante di DPO o il contratto di servizi è sufficientemente preciso e dettagliato al fine di evitare conflitti di interesse.

In questo contesto, va tenuto presente che questi conflitti di interesse possono assumere varie forme a seconda che il data protection officer sia assunto internamente o esternamente.

 

Formazione sulla Privacy

Per quanto riguarda la formazione, il data protection officer deve possedere le qualifiche professionali e le conoscenze professionali appropriate riconosciute dalla legislazione sulla protezione dei dati. Avere una certificazione GDPR è un modo efficace per dimostrare le conoscenze degli esperti. Secondo GDPR, come DPO, è necessario beneficiare di tutte le condizioni e il supporto della propria organizzazione per accedere alle migliori risorse di formazione.

 

Approfondisci la formazione sulla privacy:

Master Executive Legal Advisor >>>

Master Executive Giuristi d'Impresa >>>

 

Una Guida Utile

Tra le molte informazioni, guide, leggi e documenti che sono estremamente utili, sul sito web dell'autorità nazionale per la supervisione dell'elaborazione dei dati personali (Garante per la protezione dei dati personali), può essere trovata e scaricata la guida per "Data Protection Officer (DPO)". Questa guida intende fornire a tutti gli operatori le informazioni più pertinenti sulla necessità di nominare un data protection officer e i loro compiti principali.

 

Concludendo, indipendentemente dall'organizzazione, sei libero di nominare il data protection officer, a condizione che tu abbia le risorse necessarie per questa posizione e la persona designata ha capacità sufficienti per adempiere agli obblighi del GDPR. Sebbene la legge stabilisca chiaramente quali sono i casi in cui un data protection officer deve essere obbligatoriamente chiamato, secondo il gruppo di lavoro (articolo 29), se ritenuto necessario, è opportuno nominare un data protection officer che soddisfi tutte le condizioni finora discusse.

Gli obblighi del GDPR sono tali che la consulenza e il supporto che abbiamo a portata di mano da uno specialista della protezione dei dati possono essere un passo fondamentale per la gestione del rischio.

 Dott.ssa Elisabeta Cocolos

Fonti:

  • garanteprivacy.it
  • Il sito ufficiale, gdprreadyinitiative.com - ''Una figura importante - Data Protection Officer (DPO)''
  • eur-lex.europa.eu
Contatta la Business School
Seguici su:

Questo sito usa cookie, anche di terzi, per migliorare la tua esperienza di navigazione. Procedendo con la navigazione accetti l'uso di tali cookie. Leggi Cookie Policy.