Designazione del responsabile della protezione dei dati o data protection officer (DPO): regole da seguire e procedura
In questo approfondimento cercheremo di illustrare in estrema sintesi quali regole si debbano seguire per la nomina del responsabile trattamento dati (DPO) e la conseguente procedura prevista.
Focalizzando l’attenzione sui soggetti privati tenuti a designare un DPO, possiamo affermare che si tratta di soggetti le cui principali attività (in primis, le attività c.d. di “core business”) consistono in trattamenti che richiedono il monitoraggio regolare e sistematico degli interessati su larga scala o in trattamenti su larga scala di categorie particolari di dati personali o di dati relative a condanne penali e a reati.
Bisogna, quindi, chiedersi cosa si intenda per attività principali.
Il problema non è di facile risoluzione in quanto tutti gli organismi, pubblici e privati, trattano dati personali (si pensi al pagamento delle retribuzioni al personale o la gestione di una casella e-mail).
Tuttavia, nella gran parte dei casi si tratta di funzioni di supporto, di certo necessarie ai fini dell’attività, ma considerate solitamente di natura accessoria.
Per “attività principali” si devono intendere, invece, le operazioni essenziali che risultino necessarie al raggiungimento degli obiettivi aziendali.
Ad esempio, il trattamento di dati relativi alla salute è da ritenersi una delle attività principali di qualsiasi struttura sanitaria, così come lo è la gestione di un database clienti da parte di un sito di e-commerce.
In definitiva, è possibile affermare che sono tenuti alla designazione di un DPO, in presenza dei presupposti su riportati:
- istituti di credito;
- imprese assicurative;
- sistemi di informazione creditizia; società finanziarie;
- società di informazioni commerciali;
- società di revisione contabile;
- società di recupero crediti;
- istituti di vigilanza;
- partiti e movimenti politici;
- sindacati;
- CAF e patronati;
- società operanti nel settore delle utilities (telecomunicazioni, distribuzione di energia elettrica o gas);
- imprese di somministrazione di lavoro e ricerca del personale;
- società operanti nel settore della cura della salute, della prevenzione/diagnostica sanitaria quali ospedali privati, terme, laboratori di analisi mediche e centri di riabilitazione;
- società di call center;
- società che forniscono servizi informatici;
- società che erogano servizi televisivi a pagamento.
Non risulta, invece, necessaria la designazione del DPO per soggetti, quali i liberi professionisti, che agiscono in forma individuale, per agenti di commercio mediatori e rappresentanti, imprese individuali, imprese familiari, piccole e medie imprese (salvo quanto stabilito nei punti precedenti).
Come funziona la designazione del responsabile trattamento dati (DPO)?
La designazione del DPO, ai sensi dell’articolo 37 GDPR, deve sempre essere formalizzata mediante atto scritto.
Qualora sia individuato un soggetto interno, essa dovrà avvenire mediante apposito “Atto di designazione a Responsabile della protezione dei dati”; in caso di DPO esterno all’azienda, la designazione sarà parte integrante del contratto di servizi con lo stesso.
A prescindere dalla tipologia, l’atto dovrà contenere:
a. le generalità del RPD per garantirne l’individuazione inequivocabile;
b. i compiti assegnategli, avendo cura di dettagliare anche ulteriori mansioni oltre a quelle previste dall’art. 39 del Reg. UE 2016/679;
c. le funzioni attribuitegli per fornire supporto al Titolare e/o al Responsabile del Trattamento;
d. le risorse assegnate per adempiere ai suoi compiti;
e. ogni ulteriore informazione necessaria a disciplinare o dettagliare il rapporto.
L’atto potrà essere successivamente integrato ovvero modificato qualora ai compiti e alle funzioni originarie dovessero esserne aggiunte delle altre.
Risulta necessario, altresì, riportare, seppur in maniera sintetica, i motivi che hanno portato ad attribuire il ruolo di DPO al soggetto designato, per permettere di verificare che la procedura di selezione sia avvenuta nel rispetto di quanto previsto dal GDPR.
Il Garante per la protezione dei dati personali specifica nelle FAQ che sarebbe buona prassi inserire degli incisi riguardo le strategie utilizzate per valutare le competenze del soggetto designato.
Una volta conclusi tali adempimenti si dovrà procedere alla pubblicazione dei dati di contatto del RPD (in primis sulla pagina web e sulle Informative ex artt. 13 e 14 del GDPR).
Non è necessario - ma potrebbe rappresentare una buona prassi - pubblicare anche il nominativo del DPO:
tale scelta è rimessa al titolare o al responsabile e allo stesso RPD
Infine, il nominativo del DPO e i dati di contatto dello stesso dovranno essere comunicati all’autorità di controllo per via telematica utilizzando l’apposita procedura online.
L’importanza aziendale della nomina del DPO (al di là dell’obbligo di legge)
Il responsabile del trattamento dati o responsabile privacy è una figura fondamentale nel nuovo quadro normativo in tema di protezione dei dati e la sua individuazione e designazione rappresentano indubbiamente una scelta importante per l’azienda, anche sotto un profilo economico.
La designazione, tuttavia, non deve restare un semplice atto “su carta”, dovuto perché obbligatorio.
A tal fine, il DPO deve essere messo nelle condizioni di poter operare attivamente all’interno dell’azienda, supportato dall’organo amministrativo e consultato ogniqualvolta debbano essere assunte decisioni in merito al trattamento dei dati.
Ciò detto, perché bisognerebbe propendere per una sua designazione, pur in assenza di un chiaro e certo obbligo di legge?
La risposta è semplice: il Responsabile della protezione dei dati è un valore aggiunto e deve essere considerato una guida nell’evoluzione digitale del business, nella prospettiva della razionalizzazione dei processi e della protezione dei dati personali che, al giorno d’oggi, rappresentano una vera e propria risorsa per l’azienda.
Articolo originale pubblicato su Informazione Fiscale qui: La nomina del responsabile trattamento dati (DPO)