Diritto e Fisco | Articoli

Privacy: chi è il DPO e quali sono i suoi compiti?

22 novembre 2018


Privacy: chi è il DPO e quali sono i suoi compiti?

> Diritto e Fisco Pubblicato il 22 novembre 2018



Il DPO (data protection officer) è il responsabile della protezione dei dati, con una conoscenza specialistica in materia di privacy e con compiti di consulenza e assistenza.

Il responsabile della protezione dei dati (DPO) è un professionista che nell’ambito di un’azienda, di un’associazione o di un ente pubblico, si occupa di informare, fornire consulenza, assistere il titolare ed il responsabile del trattamento, cioè di coloro che gestiscono informazioni di svariate persone. Scopo di questo articolo è Per conoscere il ruolo del responsabile della protezione dei dati è importante sapere che cosa significa proteggerli. Ma prima ancora sapere cos’è un dato personale e in cosa consiste il trattamento [1]. Procediamo dunque con ordine e vediamo, in tema di privacy, chi è il DPO e quali sono i suoi compiti.

Cos’è un dato personale?

Un dato personale è un’informazione riferibile ad una persona, cioè che serve ad identificarla. Una persona può essere identificata direttamente o indirettamente tramite il nome, un numero, dati relativi alla sua ubicazione (per esempio residenza), o tramite elementi di carattere sanitario (malattia psichica, etc. ) o tipo economico (stipendio, debiti, etc.) o culturale (titolo di studio, etc.).

In cosa consiste il trattamento dei dati personali?

Il trattamento dei dati personali è considerato come quell’insieme di attività che consistono nella raccolta dei dati personali, nella loro registrazione o conservazione, modifica, ma anche diffusione (comunicazione ad altre persone che non ne avevano conoscenza). Trattamento è pure la cancellazione o distruzione di un dato personale.

Il trattamento dei dati personali può essere compiuto anche attraverso processi automatizzati, cioè per mezzo delle nuove tecnologie. L’informatica ed internet sono diventati i mezzi di maggiore trattamento dei dati. Quando ti registri in un portale o sito web per accedere a dei servizi non fai altro che comunicare i tuoi dati, mettendoli a disposizione di qualcuno che li utilizzerà, cioè li tratterà.

Qual è la differenza tra titolare e responsabile del trattamento?

Il titolare del trattamento è la persona o l’ente privato o pubblico che determina le finalità di un trattamento dei dati e quindi li detiene per la gestione. Invece il responsabile del trattamento è l’incaricato del trattamento dei dati personali per conto del titolare. Responsabile può essere una persona ma anche una società oppure un’ autorità pubblica

Perché si parla di  protezione dei dati personali?

Chiarito che cosa sono i dati personali e in cosa consiste il loro trattamento, prova ad immaginare cosa succederebbe se non ci fossero limiti imposti dalla legge. Chiunque potrebbe usare a piacimento dati di altre persone, e quindi anche i tuoi, oltre lo scopo per cui tu hai fornito determinate informazioni. Sarebbe infatti ingiusto e si potrebbero creare forti tensioni sociali.

Nessuno si fiderebbe pur di tutelare la propria riservatezza o intimità. Non circolando dati si bloccherebbe il commercio, la cultura, il mondo del lavoro, internet, i social, etc. A tutti infatti interessa far circolare i dati personali per le utilità che ne derivano, ma nello tempo ciascuno ha il diritto di sentirsi protetto o meglio di vedere protetta la propria riservatezza. Da qui la necessità di proteggere i dati personali (diritto dell’interessato).

Come si proteggono i dati personali?

Il dati personali sono protetti grazie alle regole previste dalle legge in materia di privacy. I dati infatti devono essere gestiti in modo lecito, corretto e trasparente[2] (l’interessato in ogni momento ha il diritto di sapere per cosa e come vengono utilizzati), e raccolti per uno scopo legittimo. Inoltre devono essere gestiti in modo adeguato allo scopo e soltanto per quanto è necessario. La conservazione di essi deve essere limitata all’arco di tempo necessario.

Il consenso è sempre necessario?

Perché il trattamento dei dati personali sia lecito è necessario che ricorrano alcune condizioni. Tra queste è previsto il consenso al trattamento. Il consenso deve essere espresso, e il titolare del trattamento (cioè chi detiene i dati) deve dimostrare di averlo ricevuto. La persona che ha fornito i dati personali (interessato) può revocare il consenso in qualsiasi momento.

Cos’è l’informativa?

Il soggetto che raccoglie i dati personali che poi utilizzerà è tenuto a fornire alcune informazioni all’interessato. Se tu fornisci i tuoi dati a qualcuno, questo è tenuto a farti conoscere:

  • le informazioni che lo riguardano (identità e dati di contatto);
  • lo scopo del trattamento dei dati personali;
  • eventuali destinatari, cioè persone che possono prendere visione e quindi conoscere di dati;
  • il periodo di conservazione dei dati;
  • l’esistenza del diritto di chiedere l’accesso, la rettifica e la cancellazione;
  • il diritto di rivolgerti ad un’autorità di controllo.

Quali sono gli obblighi del titolare e del responsabile del trattamento?

Prima di conoscere i compiti del DPO (data protection officer), è utile che tu sappia quali sono gli obblighi del titolare e del responsabile del trattamento [3]. Nei paragrafi precedenti abbiamo visto in generale la definizione.

Il titolare del trattamento deve organizzarsi e adottare tutte quelle misure adeguate a garantire che l’utilizzo dei dati sia conforme alla legge e quindi rispetti la liceità, la correttezza e la trasparenza. Deve dimostrare alle autorità di controllo che ha fatto tutto il possibile perché il trattamento dei dati sia avvenuto entro le finalità stabilite e note all’interessato e per il periodo previsto. Tutto questo è una garanzia di protezione dei dati. Se la riservatezza è violata deve solo verificarsi per fattori che non dipendono dal titolare, altrimenti ne risponde lui per non essersi organizzato in maniera adeguata.

Il titolare del trattamento deve tenere un registro dell’attività di trattamento che contiene le seguenti informazioni:

  • nome e dati di contatto del titolare;
  • gli scopi del trattamento;
  • la descrizione delle  persone interessate che hanno fornito i dati e dei tipi di dati (sanitari, economici, culturali etc.).
  • Il responsabile del trattamento invece ha l’obbligo di:
  •  trattare i dati secondo le istruzioni del titolare;
  • garantire che altre persone eventualmente autorizzate al trattamento dei dati (incaricati del trattamento) si siano impegnate alla riservatezza;
  • adottare le misure di sicurezza del trattamento quali per esempio la pseudonimizzazione (sostituzione del nome di un dato con uno fittizio  per non farlo conoscere ad altri);
  • assistere il titolare del trattamento nel garantire gli obblighi di sicurezza previsti.

Anche il responsabile del trattamento deve tenere un registro in cui indica:

  • il nome e i dati di contatto del responsabile;
  • i tipi di trattamento effettuati (raccolta, archiviazione, diffusione on line, etc.);
  • descrizione delle misure di sicurezza adottate.

Quali sono i compiti del responsabile della protezione dei dati?

All’inizio di questo articolo abbiamo visto che il responsabile della protezione dei dati è un professionista che in generale si occupa di prestare consulenza al titolare e a responsabile del trattamento. Vediamo nel dettaglio quali sono i suoi compiti [4]. Il responsabile della protezione dei dati deve informare e fornite consulenza al titolare e al rappresentante, ma anche agli incaricati del trattamento cioè coloro che sono autorizzati a trattare i dati. L’attività di informazione e consulenza riguarda gli obblighi previsti dalla legge europea e da quella nazionale. Il responsabile della protezione dei dati si occupa anche della formazione del personale che partecipa ai trattamenti. Se richiesto il responsabile della protezione dei dati fornisce anche un parere sulla valutazione d’impatto. La valutazione di impatto deve essere predisposta da titolare del trattamento quando l’impiego di nuove tecnologie o altri fattori possono rappresentare un rischio per i diritto e le libertà dell’interessato.

Il responsabile della protezione dei dati deve, quindi, necessariamente avere chiaro il sistema organizzativo dell’ ente pubblico provato presso cui lavora e conoscerne i processi produttivi, nonché i ruoli e le mansioni dei dipendenti soprattutto di quelli che trattano dati personali. Infine il data protection officer è il punto di contatto tra l’autorità di controllo e il titolare del trattamento dei dati.

Puoi intuire che il responsabile della protezione dei dati, svolge un ruolo delicato perché lavora a stretto contatto con il titolare, il responsabile del trattamento e con tutti gli incaricati. Questo ruolo gli consente di conoscere moltissime informazioni personali e per questo è tenuto al segreto e alla riservatezza.

Cosa significa indipendenza del DPO?

Perché il responsabile della protezione dei dati svolga la su funzione efficacemente, sia il titolare che il responsabile del trattamento devono coinvolgerlo in tutte quelle attività  in cui si trattano dati personali. Essi devono mettergli a disposizione le risorse necessarie per poter operare e non interferire con le sue scelte. Infatti una caratteristica fondamentale del data protection officer è l’indipendenza. Il titolare del trattamento non può dettargli istruzioni e deve garantire che nessun altro lo faccia. Il responsabile della protezione dei dati è un vero garante della sicurezza e della riservatezza nell’ambito del trattamento all’interno di un’organizzazione.

Quali requisiti deve avere un responsabile della protezione dei dati?

Non sono richiesti titoli di studio particolari per lo svolgimento della funzione di responsabile della protezione dei dati. All’atto di designazione il titolare deve tenere conto delle sue qualità professionali e delle conoscenza specialistica a seconda del tipo di trattamento che viene effettuato. Queste caratteristiche si possono possedere anche senza avere uno specifico titolo di studio.

Tuttavia se vuoi cimentarti nella professione di DPO è consigliabile che tu partecipi a dei corsi di formazione tenuti da avvocati e da esperti di informatica. Qualsiasi azienda o ente pubblico cercherà persone preparate che dimostrino con attestati di conoscere la materia. Il ruolo di responsabile della protezione può essere svolto da un soggetto esterno oppure può essere incaricato anche un dipendente purché ne sia garantita l’indipendenza.

Il DPO è retribuito?

Solitamente è un lavoro retribuito, quindi se hai pensato di crearti una professione questa è una di quelle. Quanto ai livelli di retribuzione, non esiste ancora un tariffario e ciascun titolare stabilisce quella che ritiene più opportuna secondo indagini di mercato. Nulla impedisce che una persona possa svolgere il ruolo di DPO in forma gratuita, per esempio per conto di un’associazione di volontariato.

Di EDOARDO DI MAURO

note

[1] Art. 4 Reg. UE 2016/679.

[2] Art. 5 Reg. UE 2016/679.

[3] Artt. 24-28 Reg. UE 2016/679.

[4] Art. 39  Reg. UE 2016/679.


Per avere il pdf inserisci qui la tua email. Se non sei già iscritto, riceverai la nostra newsletter:

Informativa sulla privacy
DOWNLOAD

Lascia un commento

Usa il form per discutere sul tema. Per richiedere una consulenza vai all’apposito modulo.

 



NEWSLETTER

Iscriviti per rimanere sempre informato e aggiornato.

CERCA CODICI ANNOTATI