IL DATA PROTECTION OFFICER (DPO)

Il DPO è un soggetto diverso dal Responsabile del trattamento, può essere un dipendente del Titolare o del Responsabile del trattamento oppure un consulente esterno in base a un contratto di servizi. Un gruppo imprenditoriale può nominare un unico DPO.

I dati di contatto del DPO devono essere indicati nell’informativa da rendere agli interessati e pubblicati sul sito dell’organizzazione di cui fa parte e altresì comunicati all’Autorità di controllo (oggi Garante per la protezione dei dati personali) e resi pubblici.

La designazione obbligatoria del DPO

• se il trattamento è effettuato da un'autorità pubblica o da un organismo pubblico, eccettuate le autorità giurisdizionali;

• se le attività principali del Titolare o del Responsabile consistono in trattamenti che, per natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala;

• se le attività principali del Titolare del trattamento o del Responsabile del trattamento consistono nel trattamento, su larga scala, di categorie particolari di dati, ossia i dati che rivelino l’origine razziale o etnica, opinioni politiche, convinzioni religiose o filosofiche, appartenenza sindacale, dati genetici, biometrici, dati relativi alla salute o alla vita sessuale o orientamento sessuale, o dati relativi a condanne penali e a reati.

Il trattamento su larga scala

Per determinare se il trattamento è effettuato o meno su larga scala, devono esser tenuti presenti:

• il numero di persone interessate, come un numero specifico o come percentuale della popolazione in questione;

• il volume di dati e /o la gamma di differenti elementi di dati in elaborazione;

• la durata o permanenza dell'attività di elaborazione dei dati;

• l’estensione geografica dell'attività di trasformazione.

Alcune ipotesi di trattamenti su larga scala:

• elaborazione dei dati del paziente nel corso normale delle attività di un ospedale;

• trattamento dei dati di viaggio di persone che utilizzano il sistema di trasporto pubblico di una città (per es., in caso di monitoraggio tramite schede di viaggio);

• elaborazione dei dati in tempo reale di geo-localizzazione di clienti di una catena di fast food internazionale a fini statistici da parte di un responsabile specializzato nella fornitura di questi servizi;

• trattamento dei dati dei clienti nel normale corso di attività da una compagnia di assicurazioni o di una banca;

• profilazione per la pubblicità di un motore di ricerca;

• trattamento dei dati da parte dei fornitori di servizi telefonici o Internet.

Non costituiscono trattamenti su larga scala quelli riferiti a dati di pazienti da parte di un singolo medico o a dati personali relativi a condanne penali e reati da parte di un singolo avvocato.

Designazione del DPO

Il DPO deve essere designato in base alle qualità professionali, alla conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati e alla capacità di assolvere i propri compiti.

Soggetto del tutto autonomo e indipendente, il DPO non deve ricevere dal Titolare o dal Responsabile alcuna istruzione per quanto riguarda l'esecuzione dei compiti affidati, né è soggetto a potere disciplinare o sanzionatorio dea parte del Titolare per l'adempimento dei propri compiti.

Al DPO devono essere messe a disposizione le risorse necessarie, con autonomo potere di spesa, sia per assolvere ai compiti assegnatigli, sia per accedere ai dati personali e ai trattamenti, sia infine per mantenere le proprie conoscenze specialistiche (es. aggiornamento professionale).

La sua è una tipica attività di vigilanza sulla corretta applicazione del GDPR e sulle politiche e procedure interne dell’organizzazione, sull’attribuzione delle responsabilità, sulla informazione, sensibilizzazione e formazione del personale. Ma egli svolge anche attività di consulenza e di rilascio di pareri al Titolare e al Responsabile, funge da punto di riferimento e di contatto per i cittadini che possono a lui rivolgersi per tutte le questioni relative al trattamento dei loro dati personali e all'esercizio dei loro diritti e coopera con l’Autorità di controllo.

I compiti e le responsabilità del DPO

Il DPO non risponde della corretta tenuta del sistema di protezione dei dati personali dell’organizzazione: la sua funzione è di vigilanza e non di garanzia, una sorta di Organismo di Vigilanza e di Controllo (monocratico) simile a quello previsto dal D.Lgs. 231/2001.

Tuttavia si può ritenere che nel caso in cui il titolare o responsabile del trattamento dovessero prendere decisioni non conformi al Regolamento comunitario con il configurarsi di conseguenti danni a soggetti terzi e tali decisioni siano dovute a pareri fuorvianti del DPO, quest’ultimo potrà sicuramente essere chiamato a responsabilità, seppur in sede di rivalsa.