Cosa facciamoGDPR

CorsoDPO – Il DPO (data protection officer)

Finalmente al corso parliamo di DPO o data protection officer.

Ne parlano gli avvocati Francesco Micozzi e Giovan Battista Gallus.

Il DPO è sicuramente una delle figure innovative che sono state inserite nel GDPR; anche se ci viene spiegato che in realtà è una figura già introdotta negli Stati Uniti negli anni 90 del secolo scorso ed era già chiaramente indicato nell’articolo 18 del regolamento europeo 95/46/CE.

La figura del responsabile dei dati personali era già stata citata anche nella relazione del Garante del 2015.

DPO nel GDPR

Il DPO è definito negli articoli da 37 a 39 ed è una figura di raccordo fra interessato, titolare e autorità di controllo.
Il suo compito principale è la tutela proattiva dei dati degli interessati.

Deve essere designato sulla base di comprovate qualità professionali e per la sua capacità di assolvere al compito che gli è stato assegnato.

Non è quindi possibile nominarlo per una questione puramente formale e di facciata considerando anche che il suo livello di conoscenza specialistica deve persistere per tutta la durata dell’incarico.

La valutazione delle competenze non deve essere basata su un “bollino di qualità”; il titolare deve necessariamente approfondire il fatto che il DPO abbia comprovata competenza nel settore di attività.

La figura del DPO deve quindi racchiudere in se competenze: giuridiche, tecnico informatiche,manageriali e di comunicazione. Non male per una sola figura!

Oltre agli articoli già citati del GDPR la figura del DPO è meglio definita nel considerando 97 e nelle linee guida a riguardo emesse dal WP ex art. 29.

In questi documenti si sottolinea anche la necessità di continuo aggiornamento da parte del DPO.
Tale aggiornamento potrà essere svolto anche presso il Garante.
Una ipotesi interessante è quella di inserire l’obbligo di formazione all’interno del contratto con relativa cifra da stanziare.

Certificazione DPO

Come più volte chiarito dal Garante non esiste alcuno schema di certificazione DPO e nessun albo dei DPO.

E’ ovviamente possibile, se lo si ritiene opportuno, certificare le proprie competenze e in parte può essere utile ma questa non è ne una condizione necessarie né sufficiente per svolgere questo ruolo.

Obbligatorietà del DPO

L’articolo 37 del GDPR riporta chiaramente quali sono i contesti in cui il DPO è obbligatorio.
Meno chiaro e lasciata in parte alla legislazione nazionale, in parte alla giurisprudenza l’interpretazione dei termini che definiscono il contesto stesso.

In Italia la prima problematica riguarda la definizione precisa di amministrazione pubblica.
L’intervento del legislatore è fondamentale per chiarire questo punto permettendo di definire ad esempio se le aziende controllate/partecipate dal pubblico. Questo è sicuramente un aspetto fondamentale che modifica in modo sostanziale il numero di soggetti obbligati a nominare il DPO.
Rimane comunque il pronunciamento del WP 29 che consiglia fortemente la nomina del DPO per tutte le aziende che svolgono servizio pubblico.

Un altro aspetto da definire è quello di larga scala che non può avere una definizione oggettiva e questo, devo dire, mi lascia molto perplesso.
A definire quali saranno i limiti saranno la giurisprudenza e, sopratutto, le sanzioni.
A parer mio quindi, nel dubbio, è meglio tutelarsi nominandolo.

Per le organizzazioni che decidono di nominare un DPO anche in assenza di obbligo valgono comunque tutte le regole defnite dall’articolo 37.

Durata dell’incarico

Nel GDPR non è prevista un’indicazione della durata dell’incarico anche se analizzando altri documenti e pronunciamenti è consigliabile una nomina della durata da 2 a 5 anni, rinnovabile.

 

Un ultimo consiglio: è meglio che il titolare tenga traccia delle scelte fatte a supporto della nomina del Data Protection Officer.