Chi è e cosa fa il DPO.
Il Data Protection Officer (DPO) è una figura (interna o esterna all’Ente o Azienda, purchè indipendente, imparziale ed esperta in materia di trattamento dei dati personali) preposta alla sorveglianza della politica privacy, con l’obbligo di assistere il titolare del trattamento (e i suoi collaboratori che trattano dati) nell’applicazione del Regolamento UE 2016/679, nonché di fungere da tramite tra il titolare del trattamento e il Garante privacy.
Il Data Protection Officer ha essenzialmente i seguenti compiti:
– informa e consiglia il Titolare del trattamento;
– vigila sull’applicazione della normativa privacy;
– rende pareri sulla valutazione di impatto privacy;
– consulta il Garante per la protezione dei dati personali e coopera con esso.
Chi è obbligato a nominare un DPO?
Secondo l’art. 37 del Regolamento 2016/679, per la verità non chiarissimo, “Il titolare del trattamento e il responsabile del trattamento designano sistematicamente un responsabile della protezione dei dati ogniqualvolta:
a) il trattamento è effettuato da un’autorità pubblica o da un organismo pubblico, eccettuate le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali
b) le attività principali del titolare del trattamento o del responsabile del trattamento consistono in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala; oppure
c) le attività principali del titolare del trattamento o del responsabile del trattamento consistono nel trattamento, su larga scala, di categorie particolari di dati personali di cui all’articolo 9 o di dati relativi a condanne penali e a reati di cui all’articolo 10”.
In attesa di chiarimenti e prassi applicative possiamo dire, a titolo esemplificativo, che devono certamente nominare un DPO:
– un ospedale, in quanto tratta dati dei pazienti su larga scala;
– i Comuni ed ogni altra pubblica amministrazione (eccettuate le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali).
Viceversa non sono tenuti alla nomina di un DPO:
– il professionista singolo, perché i trattamenti di dati relativi a condanne penali e reati svolti da un singolo avvocato non sono trattamenti su larga scala;
– il professionista sanitario singolo (es. il medico di base ma anche lo specialista che abbia uno studio privato) perché i trattamenti di dati relativi a pazienti che svoge non sono trattamenti su larga scala.
L’incarico.
Il DPO (anche se interno all’azienda o ente e dunque già dipendente o collaboratore) deve essere incaricato con apposito contratto di servizi, in cui è opportuno stabilire, tra l’altro:
– l’obbligo di presenza periodica in Azienda;
– l’ obbligo di rendiconto periodico dell’attività svolta;
– l’obbligo di fornire riscontro in tempi brevi e predeterminati agli interessati;
– un preavviso lungo in caso di recesso dal contratto di servizi;
– la pattuizione del corrispettivo e del budget a sua disposizione per attuare le politiche privacy.
Poichè il Regolamento prevede la scelta del DPO tenendo conto della conoscenza specialistica della normativa, nell’ottica della documentazione delle scelte da parte del Titolare, è utile allegare al contratto con il DPO il curriculum vitae del designato (a futura memoria, per difendersi da eventuali accuse di ..culpa in eligendo).
Le incompatibilità.
Il Regolamento privacy vieta la nomina di DPO/RPD in conflitto di interesse (anche solo potenziale) con l’Azienda o Ente.
Non possono pertanto essere nominati DPO, a titolo esemplificativo, il responsabile sanitario, il responsabile delle Risorse Umane nè il responsabile IT.
