Passa ai contenuti principali

Chi è il DPO?


 Chi è il Responsabile della protezione dei dati (RPD / DPO)?

Il Responsabile della protezione dei dati (RPD) meglio conosciuto con l'anglismo Data Protection Officer (DPO) è una figura che seppur preesistente in alcuni ordinamenti europei è venuta alla ribalta delle nuove professioni legate al digitale con l'adozione e l'entrata in vigore del nuovo Regolamento europeo sulla protezione dei dati personali EU 2016/679 meglio conosciuto con l'acronimo di GDPR o RGPD in italiano. Il DPO è un presidio alla protezione dei dati personali i suoi compiti sono definiti dall’art. 39 del GDPR. La sua designazione diventa sistematica nei casi specificati dall’art. 37 del GDPR

Quali sono i compiti del DPO?

  • Sorvegliare l’osservanza del regolamento riguardo all'attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di audit
  • Informare e fornire consulenza al titolare del trattamento o al responsabile del trattamento nonché ai dipendenti che eseguono il trattamento in merito agli obblighi derivanti dal regolamento 
  • Fungere da punto di contatto per l’Autorità di controllo per questioni connesse al trattamento dei dati personali (per esempio in caso di ispezioni del Garante)
  • Fornire se richiesto un parere in merito alla valutazione d’impatto sulla protezione dei dati (DPIA)
  • Cooperare con l’Autorità di controllo
Quando deve essere designato il DPO?
  • Se il trattamento è effettuato da un’autorità pubblica o da un organismo pubblico, ad eccezione delle autorità giurisdizionali nell'esercizio delle loro funzioni
  • Se le attività principali del Titolare o del Responsabile del trattamento consistono in trattamenti che, per la loro natura, ambito di applicazione e/o finalità, richiedono un «monitoraggio regolare e sistematico» degli interessati
  • Se le attività principali del Titolare o del responsabile del trattamento  consistono nel trattamento su «larga scala» di «categorie particolari» di dati (c.d. dati sensibili) o di dati personali relativi a condanne penali e reati (c.d. dati giudiziari)

Chi deve nominare il DPO?

Per quanto riguarda la designazione del DPO. L’art. 37 fa riferimento, senza distinzione, sia al Titolare del trattamento che al Responsabile del trattamento. A seconda di chi soddisfi i criteri relativi alla obbligatorietà della nomina può essere il solo titolare a doverlo designare oppure può essere il solo responsabile. Quindi, se il Titolare è tenuto a nominare un DPO non è detto che tale obbligo incomba anche sul Responsabile. Può anche capitare che sia l’uno che l’altro siano obbligati a nominare un DPO. In quest’ultima ipotesi i DPO designati saranno tenuti alla reciproca collaborazione.

E’ possibile nominare un DPO per più organismi?

  • Ai sensi del paragrafo 2 dell’art. 37, un gruppo imprenditoriale, inteso (ai sensi della definizione fornita dall’art. 4, numero 19, del regolamento) come un gruppo costituito da un’impresa controllante e dalle impresa da queste controllate, può nominare un unico DPO a condizione che questi sia facilmente raggiungibile da ogni stabilimento.
  • Ai sensi del paragrafo 3 dell’art.37, è consentita la designazione di unico DPO per più autorità pubbliche o organismi pubblici, tenuto conto della loro struttura organizzativa e dimensione
Quali sono i requisiti richiesti per la nomina del DPO? 
  • La scelta del curriculum più adatto è in capo al titolare del trattamento e varierà in base alle caratteristiche dell’organizzazione
  • Il DPO è una figura professionale poliedrica e trasversale che deve avere conoscenza specialistica della normativa e della pratica in materia di protezione dei dati
  • Nelle realtà più complesse è auspicabile costituire un gruppo di lavoro composto da esperti professionisti nel settore giuridico, informatico, manageriale ecc. che possa supportare al meglio il titolare ed il responsabile del trattamento nello svolgimento degli adempimenti richiesti dalla normativa comunitaria
  • Secondo il Garante, tutte le organizzazioni, sia pubbliche che private, dovranno scegliere il Responsabile della protezione dei dati personali con attenzione, verificando la presenza di competenze ed esperienze specifiche. Quindi, non sono richieste attestazioni formali sul possesso delle conoscenze o l’iscrizione ad appositi albi professionali: serve solo, invece, che il DPO possa garantire la corretta e completa esecuzione dei propri compiti, un’approfondita conoscenza della normativa e delle prassi in materia di privacy, nonché delle norme e delle procedure amministrative che caratterizzano lo specifico settore di riferimento
Meglio nominare un DPO interno o esterno?
  • Ai sensi del paragrafo 6 dell’art. 37, il DPO può essere un dipendente del titolare del trattamento o del responsabile del trattamento oppure, in base ad un contratto di servizi, un soggetto esterno all’organismo o all’azienda. Le linee Guida (2.5) chiariscono che il soggetto esterno può essere una persona fisica o una persona giuridica.
  • Nel caso in cui il DPO sia una persona giuridica è indispensabile che ciascun soggetto appartenente alla persona giuridica e operante come DPO soddisfi tutti i requisiti applicabili come fissati nella sezione 4 del Regolamento Europeo sulla protezione dei dati, pertanto il soggetto (persona fisica) operante come DPO deve essere “appartenente” alla persona giuridica. Le linee guida sui responsabili della protezione dati del 13 dicembre 2016 wp243rev.01 suggeriscono che le competenze e le abilità dei singoli componenti siano associate allo scopo, lavorando in team, di fornire alla clientela un servizio più efficace. Tale «appartenenza» può essere sancita anche sulla base di un contratto. Al proposito si veda la sentenza n. 1468/2019 del TAR Puglia-Lecce.
Quanto deve essere la durata dell’incarico?
  • Il Regolamento non dice nulla riguardo la durata dell’incarico. Tuttavia, in linea con l’obiettivo del Regolamento di garantire al DPO autonomia ed indipendenza (vedasi l’art. 38, paragrafo 3) le linee guida (3.4) sottolineano che quanto è maggiore la stabilità del contratto stipulato (e maggiori sono le tutele previste contro un ingiusto licenziamento) maggiore sarà la possibilità che egli possa adempiere al suo compito in modo indipendente.
  • Allo scopo di dare continuità all’attività di consulenza in materia di dati personali le linee guida del Garante Europeo EDPS European Data Protection Supervisor suggeriscono da una durata minima di 3 - 5 anni ad una dirata massima di 10 anni
Quale deve essere la posizione del DPO nell'organigramma dell’ente/azienda?
  • Il DPO deve essere parte integrante dell’organizzazione.
  • Allo stesso tempo il DPO deve svolgere i suoi compiti in modo autonomo e indipendente.
  • Il DPO non deve ricevere istruzioni riguardo ai propri compiti.
  • Il DPO deve evitare il conflitto di interesse riguardo alle sue mansioni.
  • Il DPO non deve essere a capo di U.O. che effettuano trattamenti (come risorse umane e IT ad esempio).
  • Il DPO non riferisce al suo diretto superiore ma direttamente ai vertici aziendali, AD.
  • Il DPO è responsabile del budget assegnato dall’azienda o dall’ente per lo svolgimento dei suoi compiti.
  • L’azienda/ente deve supportare il DPO mettendogli a disposizione lo staff e il personale necessario.
  • L’azienda/ente deve supportare il DPO assegnandogli gli opportuni spazi per poter operare.
  • Il DPO si interfaccia direttamente con l’Autorità di controllo, è il primo ad essere informato su eventuali ispezioni.
Alcuni chiarimenti sulla figura del DPO
  • Il TAR per il Friuli Venezia Giulia, sezione prima, con la sentenza 5 settembre 2018, n. 287 ha accolto il ricorso di un candidato contro l’avviso pubblico di selezione dell’ Azienda per l'Assistenza Sanitaria n. 3 Alto Friuli Collinare Medio Friuli per l'affidamento di un incarico di lavoro autonomo per l'impostazione e l'avvio delle funzioni di DPO ritenendo che la certificazione di Auditor/Lead Auditor ISO/IEC/27001 richiesta non costituisca titolo abilitante. Nella stessa sentenza Il TAR per il Friuli Venezia Giulia si spinge oltre, raccomandando per il DPO un profilo eminentemente giuridico
  • L’Autorità garante della concorrenza ed il mercato nel suo bollettino settimanale anno XXX – n. 1 (gennaio 2020) in merito ad alcune selezioni per l’affidamento del servizio di Responsabile protezione dati da parte di alcune amministrazioni pubbliche richiedenti l’iscrizione all’albo professionale degli avvocati segnala come le norme che disciplinano le funzioni ed i requisiti del DPO non individuano uno specifico titolo di studio ai fini dello svolgimento di tale incarico. Lo specifico riferimento al requisito dell’iscrizione all’albo professionale degli avvocati, per l’Authority appare discriminatorio e non giustificato.

Commenti

Post popolari in questo blog

Cancellazione sicura: la sanificazione dei dati informatici

La sanificazione è un punto importante del ciclo di vita del dato: quando il dato giunge al termine del suo ciclo vitale ovvero quando è diventato inutile, obsoleto o ridondante è essenziale poterlo dismettere in modo sicuro facendo in modo che non sia possibile per nessuno poterlo ricostruire in alcun modo. Formattare i dischi da smaltire non basta, è come buttare nel cassonetto un libro strappando solo la pagina dell'indice, il primo che passa potrebbe recuperarlo e leggerlo. I vostri dati sono tutti al loro posto pronti per essere ripristinati. Secondo un'indagine condotta da uno dei maggiori produttori mondiali di HD sulla vendita online di supporti di memorizzazione usati è stato possibile recuperare integralmente il contenuto di questi hard disk ben 7 volte su 10. Molti dati personali vengono recuperati da supporti digitali smaltiti in modo superficiale. In cosa consiste la sanificazione dei dati? Si definisce sanificazione dei dati quel processo attraverso il qua

L'arte del camuffamento: come ingannare gli algoritmi di riconoscimento facciale

La società nella quale viviamo è purtroppo diventata anche una società del controllo e della sorveglianza. Per proteggere la nostra privacy è opportuno adottare un modello di autodifesa digitale (privacy threat model) adeguato al nostro profilo di rischio. Se sei arrivato su questa pagina e stai leggendo questo blog allora hai già fatto il primo passo: puoi far parte anche tu del nostro gruppo di #gentesicura . Per sviluppare un modello di autodifesa digitale occorre farsi alcune domande: che tipo di informazioni voglio proteggere? Da chi le voglio nascondere? Quale sarebbe l'impatto sulla mia vita se queste informazioni venissero scoperte? Oggi una delle minacce più gravi è certamente rappresentata dai sistemi di videosorveglianza e dai loro algoritmi di riconoscimento facciale. Probabilmente in qualche banca dati digitale è già presente una vostra foto collegata al vostro nome e cognome. Anche se non è detto che questo database sia pubblico, è sempre buona norma fare una ricerca

Chiamate vocali a prova di intercettazione con Signal

Di tanto in tanto mi capita di scorrere la lista di coloro tra  miei contatti che sono iscritti a Signal, l'applicazione voip gratuita e open source basata sulla crittografia end-to-end lanciata nel 2014 dall'organizzazione no profit Open Whisper Systems, e mi dolgo davvero di quanto pochi essi siano soprattutto se paragonati con quelli iscritti alla più popolare app di messagistica di Meta, ovvero la maggior parte di loro. Anarchico, hacker, crittografo, maestro d'ascia, skipper, Moxie Marlinspike, il fondatore del servizio Signal, è convinto che il progresso tecnologico debba andare di pari passo con la sicurezza degli utenti. Così intorno alla sua "creatura" è nata una community di persone che mettono la privacy al primo posto. Tra questi anche Edward Snowden il whistleblower ex consulente dell'NSA, l'agenzia per la sicurezza nazionale degli Stati Uniti, che nella primavera del 2013 divulgò una serie di informazioni classificate sui piani di sorveglian