GDPR DPO
(Data Protection Officer)
La nomina del Data Protecion Officer (DPO) è una delle novità
più importanti introdotte dal Regolamento europeo sulla protezione
dei dati, che è applicabile dal 25 maggio 2018.
Nominato dal Titolare e dal Responsabile del trattamento, ha il
compito di assistere e vigilare sul trattamento dei dati, oltre ad
essere il punto di contatto tra la struttura e l’autorità di
controllo.
Il DPO è una figura obbligatoria per le strutture sanitarie
pubbliche e private. Ecco chi è, in quali casi è obbligatorio e
quali sono le sue funzioni.
Responsabile della Protezione dei Dati (RPD) o Data Protection
Officer (DPO): chi è?
Il Data Protection Officer è un professionista dalle
competenze trasversali: giuridiche, informatiche, di analisi dei
processi e gestione del rischio. Può essere interno all’azienda o
esterno ed ha il compito di osservare, valutare e organizzare le
attività di trattamento dei dati personali raccolti, e proteggerli,
nel rispetto delle norme europee e nazionali sulla privacy.
È una figura introdotta dal Regolamento generale sulla protezione
dei dati 2016/679 (GDPR privacy), quindi una novità per molti paesi,
anche se in alcuni Stati membri dell’Unione Europea è già presente
da tempo. Nei paesi anglosassoni è chiamato generalmente Chief
Privacy Officer (CPO) o Data Security Officer.
Quando è obbligatorio?
Non tutte le aziende devono necessariamente avere un Data
Protection Officer, ma in alcuni casi è il GDPR sulla privacy ad
imporlo. Ecco in quali casi è obbligatorio:
-
va nominato se chi tratta i dati personali è un’autorità pubblica o
un organismo pubblico
-
il DPO è necessario se le attività principali di chi tratta i dati
(il Titolare o il Responsabile del trattamento) riguardano
trattamenti dei dati personali che richiedono il
monitoraggio
regolare e sistematico degli interessati su
larga scala.
Per esempio: l’attività principale di un ospedale è dare assistenza
sanitaria. Per adempiere a questa funzione, la struttura tratta
molti dati sulla salute dei suoi pazienti, perciò c’è un nesso
stretto tra l’attività principale dell’ospedale e l’attività di
trattamento dei dati personali. Di conseguenza l’ospedale deve
obbligatoriamente nominare un DPO (fonte: Data Protection Officer:
le linee guida sulla nuova figura introdotta dal Regolamento UE
679/2016)
-
va nominato se le attività principali di chi tratta i dati
consistono nel trattamento su larga scala dei dati personali
elencati all’art. 9 del Regolamento, cioè i dati sensibili (origine
razziale o etnica, opinioni politiche, convinzioni religiose o
filosofiche, appartenenza sindacale, dati genetici, dati biometrici
intesi a identificare in modo univoco una persona fisica, dati
relativi alla salute o alla vita sessuale o all’orientamento
sessuale della persona), oppure i dati relativi a condanne penali e
reati elencati all’art. 10 del Regolamento.
Per esempio: l’elaborazione dei dati dei pazienti di un ospedale è
un trattamento su larga scala, invece non lo sono i trattamenti di
dati personali relativi ai pazienti di un singolo medico (fonte:
Data Protection Officer: le linee guida sulla nuova figura
introdotta dal Regolamento UE 679/2016).
Rispetto alla definizione di "attività
principale", le linee guida forniscono alcune esemplificazioni sia
in senso positivo che negativo: l'attività principale di un ospedale è
fornire assistenza sanitaria. Tale assistenza, però, non può essere
fornita senza che si elaborino e si trattino dati sulla salute dei
pazienti.
Essendoci un così stretto legame tra il "core business" e
l'attività di trattamento, anche quest'ultima viene fatta rientrare
nell'alveo delle attività principali e, di conseguenza, ogni ospedale
dovrà designare un DPO. Un simile ragionamento si può fare con una
società di vigilanza privata: l'attività di sorveglianza è
indissolubilmente legata all'attività di trattamento dei dati personali
relativi e, quindi, l'attività principale comprenderà non solo la prima
attività, ma anche la seconda.
Diversamente, sebbene tutte le imprese trattino
necessariamente dei dati personali (ad esempio per i pagamenti dei
dipendenti…), tuttavia non ricade su di esse l'obbligo di nominare il
DPO: le citate attività di trattamento dati, per quanto indispensabili
ed essenziali, sono considerate "ancillary" e quindi di supporto al "core
business".
Per quanto riguarda invece il concetto di "monitoraggio
regolare e sistematico", tale nozione include non solo tutti i vari
strumenti di tracciatura elettronica e profilazione on line, ma anche
qualsiasi forma di tracciatura in un ambiente off-line.
Il WP29 definisce "regolare" quel monitoraggio che
avviene di continuo o ad intervalli particolari per un certo periodo e
quello che si ripete sempre in un dato momento.
Il monitoraggio è poi "sistematico" quando si
verifica in base ad uno schema o ad un modello o quando è organizzato,
metodico, prestabilito, o quando rientra a far parte di un piano
generale o di una strategia.
Vengono in seguito esplicitati quattro elementi da tenere
in considerazione per valutare se il trattamento viene effettuato o meno
su "larga scala":
-
il numero degli interessati coinvolti;
-
la quantità dei dati e/o il tipo dei dati oggetto di
trattamento;
-
la durata o la permanenza del processo di trattamento
dei dati;
-
l'estensione geografica del trattamento.
Infine, per chiarire ancor meglio la portata di tale
nozione, vengono fatte alcune esemplificazioni: sono da considerarsi
trattamenti su larga scala l'elaborazione dei dati dei pazienti di un
ospedale, il trattamento dei dati di viaggio dei soggetti che utilizzano
un sistema di trasporto pubblico di una città (ad esempio il
monitoraggio attraverso carte di viaggio), l'elaborazione in tempo reale
dei dati di geo-localizzazione della clientela per fini statistici, il
trattamento dei dati dei clienti da parte di una banca o di
un'assicurazione, il trattamento dei dati personali per la pubblicità
comportamentale (cookies di profilazione) e il trattamento dei dati da
parte dei fornitori di servizi telefonici e/o internet (contenuti,
traffico, posizioni…).
Non sono invece da ritenere elaborazioni su larga scala
quei trattamenti di dati personali relativi ai pazienti di un singolo
medico o ai clienti di un singolo avvocato.
Saranno poi le pronunce e i provvedimenti delle autorità di controllo
nazionali ed europee a sviluppare una prassi e una giurisprudenza
rispetto agli ulteriori e più specifici casi che di volta in volta si
presenteranno alla loro attenzione.
Per approfondire leggi il testo del Regolamento:
REGOLAMENTO (UE) 2016/679
Quali sono i compiti del DPO?
Il DPO deve:
-
informare e dare consulenza al Titolare del trattamento, al
Responsabile e ai i dipendenti che trattano i dati su quali sono
gli obblighi di legge relativi alla protezione dei dati
-
verificare che le norme in materia di trattamento dei dati
siano rispettate dall’organizzazione e se richiesto, deve dare
un parere in merito alla valutazione d’impatto sulla protezione dei
dati e sorvegliarne lo svolgimento
-
cooperare con l’autorità di controllo ed essere il punto
di contatto fra quest’ultima e l’organizzazione per cui presta
la sua attività.
|
Non preoccuparti ci pensiamo
noi...
DLService offre
anche un servizio di assistenza per rendere
agevole l'adempimento alle Normative appena descritte.
Per ulteriori
informazioni non esitate a contattarci:
indirizzo e-mail:
Info@dlservice.it
recapito telefonico:
Tel./Fax +39 0931 783411 - Cell.
+39 349 1748004 |
|
|