Siete qui: Oggi sulla stampa
Oggi sulla stampa

Privacy, più certezze sul Dpo

Gli avvocati non devono nominare un responsabile per la protezione dei dati (o all’inglese Dpo). Lo stesso vale anche per il singolo studio medico. E chi fa il Dpo per la p.a. deve conoscere il diritto amministrativo. La precisazione arriva dal gruppo di lavoro articolo 29 della Commissione europea, che ha diffuso le linee guida sulla figura introdotta dal regolamento dell’Ue n. 2016/679 sulla protezione dei dati. Il documento, del 13 dicembre 2016, illustra la disciplina applicabile al data protection officer, appunto il Dpo: chi e in quali casi si deve nominare il responsabile; quali sono i requisiti per diventarlo; quale sia la sua responsabilità.

Vediamo, dunque, i chiarimenti del gruppo dei garanti europei della privacy.

Il gruppo di lavoro art. 29.

Il Gruppo è stato istituito dall’articolo 29 della direttiva 95/46 sulla privacy. È un organismo consultivo e indipendente, composto da un rappresentante delle autorità di protezione dei dati personali designate da ciascuno stato dell’Ue, dal garante europeo della protezione dei dati, e da un rappresentante della Commissione europea. Svolge attività consultive e di coordinamento della normativa sulla tutela della riservatezza.

Il dpo

È una funzione che ha compiti consultivi, di assistenza e di vigilanza del rispetto della disciplina del regolamento Ue sulla privacy.

Può essere contattato direttamente dagli interessati e dal garante della privacy.

Nomina obbligatoria

In alcuni casi la nomina del dpo è obbligatoria. In sintesi si tratta degli enti pubblici e dei soggetti privati che effettuano monitoraggio delle persone su larga scala oppure trattano dati sensibili su larga scala.

Il problema è l’assoluta vaghezza e indeterminatezza del regolamento Ue, che non definisce il concetto di larga scala e gli altri requisiti valutativi della norma specifica (articolo 37).

Le linee guida in commento offrono qualche spunto in più, ma non è ancora sufficiente. Se ne rende conto lo stesso gruppo di lavoro art. 29 che rinvia a ulteriori precisazioni ed esemplificazioni.

Vediamo, comunque, le prime indicazioni del documento.

Privati

Le Linee guida danno alcuni indici generali per individuare i requisito della larga scala: numero degli interessati; volume dei dati e tipi di dati trattati, durata del trattamento, ambito geografico dell’attività.

Le linee guida forniscono anche alcuni esempi di trattamenti su larga scala: gli ospedali, i sistemi di traporto pubblico, geo-localizzazione dei clienti di una catena commerciale internazionale, le compagnie di assicurazione, le banche, i fornitori di servizi di telecomunicazioni, i motori di ricerca per trattamenti di dati per pubblicità mirata al comportamento delle persone.

Le linee guida fanno anche alcuni esempi in cui non c’è la larga scala. Il primo esempio è quello del trattamento di dati dei pazienti da parte di un singolo medico; il secondo caso è quello del trattamento di dati relativi a condanne e violazioni penali da parte di un singolo avvocato.

Enti pubblici

Tutti gli enti pubblici, tranne gli organi giudiziari, devono nominare il Dpo: i ministeri come le università, i comuni come le regioni. Le linee guida, sul punto della individuazione degli enti pubblici, rinviano alle leggi nazionali. Poi aggiungono che ci sono enti, diversi dagli enti pubblici istituzionali, cui si applica diritto pubblico, e che operano per il pubblico interesse. Per esempio le public companies nel settore dei servizi pubblici (energia, ambiente ecc.). Per questi enti la nomina del Dpo non è obbligatoria, ma è consigliato come buona pratica.

Competenza

Le linee guida delineano l’identikit del Dpo. Ci sono, del resto, forti aspettative nel mercato della consulenza sulla privacy. E bisogna individuare bene i soggetti idonei.

È importante, sostengono le linee guida, che i Dpo abbiano competenza sulla normativa nazionale ed europea e sulle prassi relative alla materia della protezione di dati. Le linee guida aggiungono la necessità di una profonda conoscenza del regolamento europeo. È utile anche prevedere programmi di aggiornamento continuo. A queste competenze sulla normativa specifica della privacy è utile aggiungere la conoscenza del settore commerciale del titolare del trattamento. Il Dpo dovrebbe avere sufficiente conoscenza delle operazioni di trattamento, e altrettanta sufficiente conoscenza del sistema informativo, della sicurezza de dati e delle esigenza di protezione dei dati. Nel caso di ente pubblico, il Dpo dovrebbe avere una solida conoscenza dell’ordinamento e dell’organizzazione delle pubbliche amministrazioni

Responsabilità

Il gruppo di lavoro art. 29 affronta il quesito della responsabilità del Dpo sia nelle Linee guida sia in una delle faq allegate alle stesse. In caso di trattamenti non conformi al regolamento europeo, il gruppo di lavoro afferma che il Dpo non è personalmente responsabile, richiamando il fatto che il Regolamento esige la dimostrazione di osservanza del regolamento sesso solo a carico del titolare e del responsabile del trattamento.

Si deve aggiungere, però, che in caso di cattiva consulenza al titolare del trattamento, questo potrà fare causa al Dpo per inadempimento del contratto di servizio e per chiedere i conseguenti danni. Si aggiunge che non è da escludere una responsabilità extracontrattuale diretta del Dpo nei confronti degli interessati, che subiscano danni per un trattamento operato dal titolare, ma conforme al parere errato del Dpo.

Le società di Dpo

Le linee guida evidenziano che la funzione di Dpo può anche essere svolta da un consulente esterno o da un’organizzazione esterna (per esempio una società) sulla base di un contratto di servizi. Nel caso di società è essenziale che ogni componente dell’organizzazione esterna possieda i requisiti di conoscenza e competenza. Sempre nel caso di società di Dpo, il Gruppo di lavoro art. 29 esige che si debba assegnare a ogni cliente un singolo Dpo, come referente specifico, che ha in carico quel particolare titolare di trattamento.

Di tutto ciò si deve dare conto nel contatto di servizio.

Reperibilità del Dpo

Il regolamento richiede la pubblicazione dei riferimenti del punto di contatto, ma non precisa che sia pubblicato il nome del Dpo.

Nonostante ciò possa essere una buona prassi è compito del titolare del trattamento e del Dpo decidere che fare. Al Garante e ai dipendenti del titolare, comunque, deve essere reso noto il nome del Dpo, che potrebbe essere pubblicato sulla rete intranet aziendale o sulla rubrica telefonica interna e negli organigrammi.

Antonio Ciccia Messina

Print Friendly

Condividi su

Potrebbe interessarti anche
Oggi sulla stampa

Un balzo in avanti. In parte previsto, ma che comunque apre una prospettiva diversa rispetto al pess...

Oggi sulla stampa

Oggi sulla stampa

Decontribuzione dal 50 al 100% per i lavoratori che usciranno dalla cassa integrazione del settore t...

Oggi sulla stampa

Oggi sulla stampa

Dica la verità, senatrice Bongiorno, ma la Lega vuole davvero i fondi del Recovery che sono legati ...

Oggi sulla stampa