Data protection officer (DPO): il custode del rispetto!

Il GDPR impone un nuovo obbligo per alcune aziende e i loro sub-fornitori: nominare un Responsabile della Protezione dei Dati, che deve essere coinvolto in tutte le questioni circa l’utilizzo e la protezione dei dati personali.

Le organizzazioni interessate sono le seguenti:

• Tutte le autorità pubbliche, ad eccezione di tribunali che agiscono a titolo giudiziario, qualunque sia il tipo di dati sui quali le operazioni di elaborazione vengono eseguite
• Le organizzazioni cui attività nucleo è costituita da lavorazioni che richiedono “regolare e sistematico” monitoraggio degli interessati su larga scala
• Le organizzazioni la cui attività principale consiste nella trasformazione su larga scala di dati personali considerati sensibili (ad esempio i dati genetici o biometrici, i dati relativi alla salute, la religione, le opinioni politiche o l’appartenenza a un sindacato, ecc) o i dati relativi alle condanne penali e / o reati.

Il G29, che riunisce tutte le autorità europee per la protezione dei dati e sarà sostituito, nel corso del 2018, dal Garante Europeo, ha descritto in varie pubblicazioni i concetti di “monitoraggio regolare e sistematico” e “su larga scala”. E’ consigliabile che qualsiasi organizzazione che non soddisfi i criteri elencati di nominare volontariamente un DPO.

Il ruolo del DPO

Il DPO è, secondo le raccomandazioni del GDPR, l’orchestratore di tutte le attività relative all’uso, la gestione e la protezione dei dati personali. I suoi compiti comprendono l’informazione e la consulenza ai data controller e potenzialmente ai subappaltatori, così come tutto a tutto il personale aziendale.

In quanto custode della conformità, il DPO deve partecipare regolarmente alle sessioni di formazione e di informazione per conoscere tutte le modifiche normative. Il suo ruolo è quello di individuare tutte le operazioni di trattamento dei dati personali della società e valutarne le implicazioni sulla privacy, in collaborazione con la direzione generale. Vincolato da un obbligo di riservatezza, gli verrà chiesto di valutare la necessità di un Impact Assessment, di scegliere la metodologia più appropriata e di sviluppare le garanzie da applicare per evitare danni alla privacy degli interessati.

Il titolare o subappaltatore rimangono responsabili della conformità dell’operazione di trattamento. Il G29 sottolinea l’importanza di documentare l’intera operazione di lavorazione per la tracciabilità. Il titolare del trattamento deve, pertanto, giustificare il motivo per cui non ha seguito il consiglio del DPO.

Infine, qualsiasi attività che possa avere conseguenze per la protezione dei dati personali deve essere oggetto di una valutazione d’impatto sulla privacy. La società deve inoltre adottare misure atte a mitigare le conseguenze di danni alla protezione dei dati personali causati dalla attività. Il DPO è tenuto a consultare l’autorità di vigilanza prima che inizi l’attività.