GDPR: il DPO in sintesi

CHI E’?

Il Responsabile della protezione dei dati (Data Protection Officer) è una nuova figura, introdotta dal Regolamento UE 2016/679 agli art. 37-39, assieme al Titolare del trattamento, al Responsabile del trattamento e agli Interessati è uno dei maggiori protagonisti della riforma.
La nomina, dal Titolare o dal Responsabile, è obbligatoria in presenza di particolari condizioni oppure può essere nominato su base volontaria. I suoi compiti sono di natura consultiva, di supporto e controllo, formativa e informativa in merito all’applicazione del GDPR e novellato Codice Privacy.Il DPO coopera con l’Autorità (il Garante per la protezione dei dati personali) ed è il referente tra azienda e Interessati e tra azienda e Autorità, relativamente al trattamento dei dati personali; inoltre è chiamato a fornire la propria consulenza per progettare, verificare e mantenere un sistema organizzato di gestione dei dati personali e coadiuvare il Titolare nell’adozione delle misure di sicurezza necessaria per essere adeguato al GDPR

QUALI REQUISITI DEVE POSSEDERE?

Anzitutto è bene ribadire come non siano richieste specifiche attestazioni formali o iscrizioni a appositi albi , il DPO però deve possedere un’approfondita conoscenza della normativa e delle prassi in materia privacy, delle norme che caratterizzano il settore specifico in cui opera, e una buona confidenza con le tecnologie informatiche.
Deve inoltre essere in grado, con un elevato grado di professionalità di fornire la propria consulenza per progettare, verificare e mantenere un sistema organizzato di gestione dei dati personali e coadiuvare il Titolare nell’adozione delle misure di sicurezza necessaria per essere adeguato al GDPR.
Deve agire in piena autonomia e indipendenza (considerando 97 del Regolamento UE 679/2016), senza ricevere alcuna istruzione e riferendo direttamente ed esclusivamente ai vertici aziendali e disporre dell’organizzazione necessaria per l’espletamento del proprio incarico.

SOGGETTO INTERNO O ESTERNO ALL’ORGANIZZAZIONE AZIENDALE?

Il ruolo di DPO può essere ricoperto da un dipendente del titolare o del responsabile ma l’incarico può essere anche affidato a soggetti esterni, purché siano nella condizione di dare effettiva esecutività al Regolamento. Nel primo caso il DPO  andrà nominato mediante specifico atto di designazione, mentre nel secondo, dovrà operare in base a un contratto di servizi. Tali atti, da redigere in forma scritta, dovranno elencare oltre ai compiti anche le risorse, gli strumenti, i poteri e ogni dato del contesto di riferimento. Gli dovranno essere assegnati risorse finanziarie, infrastrutturali e umane necessarie e sufficienti per lo svolgimento del compito .

I dati di contatto del DPO devono essere resi pubblici e all’atto della nomina nominativo contatti devono essere comunicati al Garante mediante invio telematico secondo la procedura messa a disposizione dal Garante stesso sul proprio portale; l’invio telematico rende superflua l’attribuzione di data certa all’atto.

Nell’individuazione del DPO bisogna fare molta attenzione a non incorrere nel conflitto d’interessi tra il ruolo di responsabile per la protezione dei dati e incarichi dirigenziali o mansioni di natura decisionale in materia di finalità o trattamento dei dati: il DPO cioè non potrà essere l’amministratore delegato, il direttore generale, il membro del cda ma neppure la direzione delle risorse umane, il responsabile IT ecc., solo per elencarne alcuni; allo stesso modo non potrà essere il consulente esterno che ha prestato i propri servizi per adeguare l’azienda o l’ente al Regolamento.

Il ruolo può essere ricoperto anche da un team che fa capo a un unico referente oppure a una persona giuridica (se soggetto esterno) purché venga individuata una persona fisica che funga da punto di contatto tra azienda/ente, Interessati e Autorità.

PER CHI E’ OBBLIGATORIO?

I soggetti le cui principali attività consistono in trattamenti che richiedono il monitoraggio regolare e sistematico degli interessati o trattamenti su larga scala di categorie particolari di dati personali o di dati relative a condanne penali e a reati (art. 37 lett b)e c) del Regolamento UE 2016/6799) come ad esempio:  istituti di credito; imprese assicurative; sistemi di informazione creditizia; società finanziarie; società di informazioni commerciali; società di revisione contabile; società di recupero crediti; istituti di vigilanza; partiti e movimenti politici; sindacati; caf e patronati; telecomunicazioni, distribuzione di energia elettrica o gas; imprese di somministrazione di lavoro e ricerca del personale; società di prevenzione/diagnostica sanitaria quali ospedali privati, terme, laboratori di analisi mediche e centri di riabilitazione; società di call center; società che forniscono servizi informatici.
Inoltre l’art. 37, par. 1, lett. a), del RGPD prevede che i titolari e i responsabili del trattamento designino un DPO «quando il trattamento è effettuato da un’autorità pubblica o da un organismo pubblico, eccettuate le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali
Nel caso in cui soggetti privati esercitino funzioni pubbliche (ad esempio concessionari di servizi pubblici), può risultare comunque fortemente raccomandato, ancorché non obbligatorio, procedere alla designazione di un DPO

Giovanni Brancalion Spadon

Giovanni Brancalion Spadon

Nato a Venezia, ha studiato presso l’Università di Bologna e presso l’UCLA California, è iscritto all’Albo Avvocati di Venezia dal 2004. Dopo la laurea ha conseguito un master in Diritto delle Nuove Tecnologie, uno in Diritto Ambientale e uno in Diritto d’Autore e dello spettacolo e si è specializzato in Blockchain Technologies presso il Massachusetts Institute of Technology (MIT) di Boston. Docente presso la Business School dell’Università Ca’Foscari di Venezia, collabora con istituti di formazione per le materie connesse al diritto delle nuove tecnologie, alla privacy e alla blockchain e relative applicazioni, all’amministrazione digitale; è consulente di P.A. per la digitalizzazione e l'adeguamento GDPR. Socio fondatore di Porto4, è dedicato principalmente ai programmi 4ANALYSIS - analisi strategica d'Impresa, 4 GDPR  e 4FORMAZIONE - per la diffusione della cultura legale nelle imprese. Da oltre 15 anni opera nel diritto delle nuove tecnologie, industriale, d’autore e societario. E’ interessato ai processi d’innovazione in ogni ambito, appassionato d’arte contemporanea e insegna teatro.