Privacy: le funzioni del D.P.O quale responsabile dei dati

Cerchiamo di fare chiarezza su questa importante funzione prevista dal Regolamento n. 679/2016, agli articoli 37 e seguenti, cercando di rispondere ai seguenti quesiti: chi deve nominare il DPO, esiste un albo dei DPO?

In allegato il fac simile predisposto dal Garante per la nomina del DPO

1) Chi deve nominare il DPO?

L’articolo 37 del Regolamento (UE) n. 679/2016 individua i casi ricorrendo i quali la nomina del Data Protection Officer è obbligatoria. Ci si riferisce alle seguenti ipotesi:

1. il trattamento è effettuato da un'Autorità pubblica o da un organismo pubblico, eccettuate le Autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali;

2. le attività principali del Titolare del trattamento o del Responsabile del trattamento consistono in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala.

Cosa deve intendersi con i termini “regolare” e “sistematico”?

Il monitoraggio degli interessati è regolare se:

a) avviene in modo continuo o a intervalli definiti per un arco di tempo definito;

b) ricorrente e ripetuto a intervalli regolari;

c) avviene in modo costante o a intervalli periodici.

 Il monitoraggio degli interessati è sistematico se:

a) avviene per sistema;

b) è predeterminato, organizzato o metodico;

c) ha luogo nell’ambito di un progetto complessivo di raccolta di dati;

d) è svolto nell’ambito di una strategia.

Si rientra quindi nell’ipotesi di monitoraggio sistematico quando:

a) viene effettuata profilazione e scoring per finalità di valutazione del rischio (es. ai fini di valutazione del rischio creditizio, per definire i premi assicurativi, per la prevenzione delle frodi, per accertamento delle forme dii riciclaggio);

b) vengono utilizzate telecamere a circuito chiuso; ecc.

Per stabilire se un trattamento sia effettuato su “larga scala” i fattori da prendere in considerazione sono i seguenti:

a) il numero di soggetti interessati dal trattamento, in termini assoluti o espressi in percentuale sulla popolazione di riferimento;

 b) il volume dei dati e/o le diverse tipologie di dati oggetto di trattamento;

c) la durata, cioè la persistenza dell’attività di trattamento;

d) la portata geografica dell’attività di trattamento.

Non sono considerati trattamenti su larga scala i seguenti:

a) trattamento dei dati relativi a pazienti svolto dal singolo professionista sanitario;

b) trattamento di dati personali e reati svolti da un singolo avvocato/fiscalista/consulente del lavoro, ecc.; cosa diversa il caso in cui il singolo professionista faccia parte di uno Studio legale con diverse sedi sparse sul territorio, per cui si rientrerebbe nella fattispecie denominata “trattamento su larga scala”

3)le attività principali del Titolare del trattamento o del Responsabile del trattamento consistono nel trattamento, su larga scala, di categorie particolari di dati personali di cui all'articolo 9 o di dati relativi a condanne penali e a reati di cui all'articolo 10.

Le categorie particolari di dati personali di cui all'articolo 9 sono le seguenti:

a) l'origine razziale o etnica,

b) le opinioni politiche,

c) le convinzioni religiose o filosofiche,

d) l'appartenenza sindacale,

e) dati genetici,

f) dati biometrici intesi a identificare in modo univoco una persona fisica,

g) dati relativi alla salute ,

h) alla vita sessuale,

i) all'orientamento sessuale della persona.

Le categorie particolari di dati personali di cui all'articolo 10 sono le seguenti:

1. condanne penali
2. reati.

2) La nomina del Responsabile della protezione dati per i Gruppi Imprenditoriali

I gruppi imprenditoriali

Un gruppo imprenditoriale può nominare un unico Responsabile della protezione dei dati, a condizione che un Responsabile della protezione dei dati sia facilmente raggiungibile da ciascuno stabilimento.

I conflitti di interesse

Le funzioni aziendali che potenzialmente danno adito ad un conflitto di interesse – così come individuate dal Garante e dal Gruppo ex art 29 – sono le seguenti:

- amministratore delegato,

- responsabile operativo,

- responsabile finanziario,

- responsabile sanitario,

- direzione marketing,

- direzione risorse umane,

- responsabile IT

- responsabile Ufficio di Statistica

- responsabile per la prevenzione della corruzione e per la trasparenza (questa funzione in astratto non è incompatibile con quella di D.P.O., però il Garante per la protezione dei dati ha ritenuto che sommare le due funzioni su un solo soggetto rende difficoltoso adempiere agli obblighi previsti per le due funzioni, per cui ragioni di opportunità indurrebbero ad evitare detta sovrapposizione).

3) Esiste un albo dei DPO?

In tema di albi professionali e di certificazioni si fa presente che:

attraverso un comunicato congiunto, pubblicato sul sito dell'Autorità il 18 luglio 2017 (doc. web n. 6621723), il Garante e ACCREDIA (l'Ente unico nazionale di accreditamento designato dal Governo italiano) hanno ritenuto necessario sottolineare - al fine di indirizzare correttamente le attività svolte dai soggetti a vario titolo interessati in questo ambito - che «al momento le certificazioni di persone, nonché quelle emesse in materia di privacy o data protection eventualmente rilasciate in Italia, sebbene possano costituire una garanzia e atto di diligenza verso le parti interessate dell'adozione volontaria di un sistema di analisi e controllo dei principi e delle norme di riferimento, a legislazione vigente non possono definirsi "conformi agli artt. 42 e 43 del regolamento 2016/679", poiché devono ancora essere determinati i "requisiti aggiuntivi" ai fini dell'accreditamento degli organismi di certificazione e i criteri specifici di certificazione».

L'accreditamento degli Organismi di certificazione può essere rilasciato – in Italia -da due soggetti:

• l’Ente Nazionale di Accreditamento (ACCREDIA),
• l'Autorità Garante per la protezione dei dati personali.

Eventuali certificazioni prodotte in materia di trattamento dei dati personali, pertanto, non sono considerate conformi dalla nostra Autorità di controllo, in quanto non sono ancora stati determinati i “requisiti aggiuntivi” ai fini dell’accreditamento degli organismi di certificazione e i criteri specifici di certificazione.

4) Con quale atto formale deve essere nominato il DPO

L’atto di designazione varia a seconda che l’azienda abbia optato per una soluzione interna oppure esterna, nel primo caso si ricorrerà all’adozione di un atto con il quale si formalizza tale nomina, mentre nel secondo caso la designazione farà parte di un apposito contratto di servizi redatto in base a quanto previsto dall’art. 37 del Regolamento.

Si riporta, a tale proposito l’ Allegato A alle Nuove Faq sul Responsabile della Protezione dei dati (RPD) in ambito pubblico (in aggiunta a quelle adottate dal Gruppo Art. 29 in Allegato alle Linee guida sul RPD, che contiene un facsimile (predisposto dal Garante) da utilizzare per la nomina del D.P.O.

Schema di atto di designazione del Responsabile della Protezione dei Dati personali (RDP) ai sensi dell’art. 37 del Regolamento UE 2016/679

Premesso che:

• Il Regolamento (UE) 2016/679 del Parlamento Europeo e del Consiglio del 27 aprile 2016 «relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati)» (di seguito RGPD), in vigore dal 24 maggio 2016, e applicabile a partire dal 25 maggio 2018, introduce la figura del Responsabile dei dati personali (RDP) (artt. 37-39);
• Il predetto Regolamento prevede l’obbligo per il titolare o il responsabile del trattamento di designare il RPD «quando il trattamento è effettuato da un’autorità pubblica o da un organismo pubblico, eccettuate le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali» (art. 37, paragrafo 1, lett a);
• Le predette disposizioni prevedono che il RPD «può essere un dipendente del titolare del trattamento o del responsabile del trattamento oppure assolvere i suoi compiti in base a un contratto di servizi» (art. 37, paragrafo 6) e deve essere individuato «in funzione delle qualità professionali, in particolare della conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati, e della capacità di assolvere i compiti di cui all’articolo 39» (art. 37, paragrafo 5) e «il livello necessario di conoscenza specialistica dovrebbe essere determinato in base ai trattamenti di dati effettuati e alla protezione richiesta per i dati personali trattati dal titolare del trattamento o dal responsabile del trattamento» (considerando n. 97 del RGPD);

Considerato che l’Ente X:

• è tenuto alla designazione obbligatoria del RPD nei termini previsti, rientrando nella fattispecie prevista dall’art. 37, par. 1, lett a) del RGPD;

• all’esito di … (indicare la procedura selettiva interna o esterna, gara, altro) ha ritenuto che il la/il ……………., sia in possesso del livello di conoscenza specialistica e delle competenze richieste dall’art. 37, par. 5, del RGPD, per la nomina a RPD, e non si trova in situazioni di conflitto di interesse con la posizione da ricoprire e i compiti e le funzioni da espletare;

DESIGNA

(generalità della persona individuata), Responsabile della protezione dei dati personali (RPD) per l’Ente X,

Il predetto, nel rispetto di quanto previsto dall’art. 39, par. 1, del RGPD è incaricato di svolgere, in piena autonomia e indipendenza, i seguenti compiti e funzioni:

1. informare e fornire consulenza al titolare del trattamento o al responsabile del trattamento nonché ai dipendenti che eseguono il trattamento in merito agli obblighi derivanti dal RGPD, nonché da altre disposizioni nazionali o dell’Unione relative alla protezione dei dati;
2. sorvegliare l’osservanza del RGPD, di altre disposizioni nazionali o dell’Unione relative alla protezione dei dati nonché delle politiche del titolare del trattamento o del responsabile del trattamento in materia di protezione dei dati personali, compresi l’attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo;
3. fornire, se richiesto, un parere in merito alla valutazione d’impatto sulla protezione dei dati e sorvegliarne lo svolgimento ai sensi dell’articolo 35 del RGPD;
4. cooperare con il Garante per la protezione dei dati personali;
5. fungere da punto di contatto con il Garante per la protezione dei dati personali per questioni connesse al trattamento, tra cui la consultazione preventiva di cui all’articolo 36, ed effettuare, se del caso, consultazioni relativamente a qualunque altra questione;

I compiti del Responsabile della Protezione dei Dati personali attengono all’insieme dei trattamenti di dati effettuati dall’ Ente X.

L’Ente X si impegna a:

1. mettere a disposizione del RPD le seguenti risorse al fine di consentire l’ottimale svolgimento dei compiti e delle funzioni assegnate … (specificare, ad es. se è stato istituito un apposito Ufficio o gruppo di lavoro, le relative dotazioni logistiche e di risorse umane, nonché i compiti o le responsabilità individuali del personale);
2. non rimuovere o penalizzare il RPD in ragione dell’adempimento dei compiti affidati nell’esercizio delle sue funzioni;
3. garantire che il RPD eserciti le proprie funzioni in autonomia e indipendenza e in particolare, non assegnando allo stesso attività o compiti che risultino in contrasto o conflitto di interesse;

DELIBERA

di designare ……………………………… come Responsabile dei dati personali (RPD) per l’Ente X

Data …………..

Il nominativo e i dati di contatto del RPD (recapito postale, telefono, email) saranno resi disponibili nella intranet dell’Ente (url…., ovvero bacheca) e comunicati al Garante per la protezione dei dati personali. I dati di contatto saranno, altresì, pubblicati sul sito internet istituzionale.