DPO per aziende e in ambito privato: ecco i chiarimenti del Garante e il modello per comunicare i dati di contatto all’Autorità
Secondo quanto prevede l’art. 37 par. 1 lett. b. e c. del Regolamento n. 679/2016 (GDPR) in materia di trattamento dati personali, la nomina del Data Protection Officer (Responsabile della Protezione dei dati), ovvero di quel soggetto che si occupa di supportare, vigilare, formare, consigliare il titolare/responsabile del trattamento tenuto all’implementazione di un sistema conforme alle norme del Regolamento stesso, è da ritenersi obbligatoria quando, nell’ambito del proprio core business, il titolare o il responsabile del trattamento effettuano:
- a. trattamenti che comportano un monitoraggio sistematico e regolare di dati personali su larga scala;
- b. effettuano trattamenti di larga scala di categorie particolari di dati personali;
- c. effettuano trattamenti di larga scala di dati relativi a condanne penali e a reati.
Proprio a proposito dei casi in cui è prevista l’obbligatorietà della designazione di tale nuova figura, il Garante nelle sue nuove faq sul DPO per il settore privato fornisce utili precisazioni, individuando dei casi esemplificativi in cui la nomina del DPO deve considerarsi doverosa. Si tratta ad esempio dei trattamenti di dati personali svolti da: istituti di credito; imprese assicurative; sistemi di informazione creditizia; società finanziarie; società di informazioni commerciali; società di revisione contabile; società di recupero crediti; istituti di vigilanza; partiti e movimenti politici; sindacati; caf e patronati; società operanti nel settore delle telecomunicazioni, della distribuzione di energia elettrica o gas e simili; imprese di somministrazione di lavoro e ricerca del personale; imprese operanti nel settore della cura della salute, della prevenzione/diagnostica sanitaria quali ospedali privati, terme, laboratori di analisi mediche e centri di riabilitazione; società di call center; imprese che forniscono servizi informatici; società che erogano servizi televisivi a pagamento; agenti, rappresentanti, mediatori che operano su larga scala.
D’altro canto, deve ritenersi non obbligatoria, ma opzionale, ad esempio, la nomina del DPO quando si effettua un trattamento di dati personali nell’ambito della propria attività come libero professionista operante in forma individuale o quando si svolge l’attività di agente, rappresentante e mediatore non su larga scala (il concetto di larga scala è chiarito nelle linee guida del Gruppo Art.29 sul Responsabile della Protezione dei Dati, secondo le quali per valutare se sussistono le circostanze perché un trattamento sia su larga scala deve farsi riferimento al numero di interessati, al volume di dati trattati, alla permanenza o durata del trattamento e alla sua estensione geografica); quando si opera come ditta o impresa familiare o anche nel caso di piccole e medie imprese, sempre che il trattamento di dati personali sia relativo alla gestione delle relazioni con fornitori e dipendenti e quindi nel caso in cui l’attività di trattamento dati non sia propria del core business dell’impresa, ma possa considerarsi come sussidiaria rispetto ad esso.
Ad ogni modo, se in virtù del principio dell’accountability, un titolare/responsabile del trattamento, pur non rientrando nei casi in cui è prevista la designazione obbligatoria, ritenesse opportuno procedere comunque alla nomina di un DPO, i criteri per tale investitura restano i medesimi.
Il Garante ricorda che...
Il DPO, al di là del conseguimento formale di eventuali certificazioni, frequenza di corsi di formazione o iscrizione in appositi albi, deve dimostrare una conoscenza effettiva e approfondita della normativa in materia di privacy e delle prassi operative, dato il ruolo delicato che andrà a svolgere, in qualità di guida di titolari/responsabili del trattamento nel processo di adeguamento alle disposizioni in materia di dati personali e controllore della correttezza delle operazioni.
Un altro utile chiarimento offerto dal Garante Privacy è legato alla comunicazione obbligatoria alla stessa Autorità del nominativo del DPO, sia esso un dipendente interno o un soggetto esterno; sul punto, il Garante ricorda che è doveroso comunicare il nominativo di tale figura e i suoi dati di contatto all’Autorità Garante, in quanto il DPO costituisce il punto di raccordo tra il titolare/responsabile, la stessa autorità e gli interessati; a questo proposito, il Garante ha preparato e pubblicato un modello per facilitare la dovuta comunicazione.
Precisa inoltre il Garante nelle faq che, per quanto concerne il DPO, scelto tra i dipendenti di un responsabile del trattamento, dovrebbe trattarsi di un soggetto che ricopre incarichi di alta direzione, come ad esempio un amministratore delegato, il direttore generale, un membro del CdA, diversamente, qualora la designazione venisse effettuata nel contesto operativo di un titolare del trattamento, la scelta potrebbe cadere in via esemplificativa sul direttore risorse umane, sul direttore marketing, sul direttore finanziario o sul responsabile IT. Se poi si accertasse l’assenza di conflitti di interesse, tale ruolo potrà essere ricoperto anche dai responsabili delle funzioni in staff, come il responsabile dell’area legale dell’impresa.
Inoltre, se dipendente, il DPO dovrà essere una persona fisica, pur ammettendosi che nelle strutture di grandi dimensioni, sia possibile pensare di affiancare tale soggetto ad altre figure di supporto che operino in team, sebbene il riferimento debba restare sempre il soggetto designato persona fisica; per quanto riguarda invece il DPO consulente esterno, potrà trattarsi anche di una persona giuridica, tuttavia, il Garante raccomanda comunque, in tal caso, di effettuare una precisa ripartizione di competenze, identificando una sola persona fisica che funga da punto di contatto con l’Autorità e gli interessati.
Il titolare/responsabile del trattamento potrà poi valutare l’opportunità di rendere pubblico, ad esempio sul proprio sito web, il nominativo e un riferimento per contattare il DPO così designato.