Il DPO è obbligatorio secondo l’art. 37 del GDPR in tre casi::
-se il trattamento è svolto da un’autorità pubblica o da un organismo pubblico;
-se le attività principali del titolare del trattamento o del responsabile del trattamento consistono in trattamenti che richiedono il monitoraggio regolare e sistematico di interessati su larga scala;
-se le attività principali del titolare del trattamento o del responsabile del trattamento consistono nel trattamento su larga scala di categorie particolari di dati o di dati personali relativi a condanne penali e reati.
I compiti del DPO sono elencati dall’art. 39 del GDPR, il quale stabilisce che tale figura debba:
-informare il Titolare ed il responsabile del trattamento relativamente agli obblighi di legge previsti dal Regolamento o da ulteriori normative dell’Unione in materia di dati personali;
- controllare l’osservanza del Regolamento da parte del Titolare del trattamento o del Responsabile del trattamento;
-fornire pareri circa la valutazione d’impatto sulla protezione dei dati;
-collaborare con l’autorità di controllo, effettuando consultazioni su qualsiasi altra eventuale questione.
Carica del DPO: Il DPO rimarrà in carica, come minimo, due anni, rinnovabili alla scadenza (il regolamento stabilisce quanto segue : "The DPO can be appointed between 2 and 5 years and is eligible for reappointment up to a maximum of 10 years."). L’incarico potrà essere affidato ad un soggetto terzo laddove, il precedente DPO, non detenga più le qualità richieste dalla norma. Un DPO dovrà detenere qualità di natura professionale, esperienza ed abilità nell’area “legge sulla privacy”, nonché rispettare i compiti (o parte di essi come da accordi presi con l’amministrazione del titolare) previsti per detta figura. Il DPO non dovrà avere conflitti di interesse in azienda e dovrà essere coinvolto preventivamente nelle decisioni del management. Il DPO potrà anche essere un dipendente interno all'azienda oppure esterno in forza di un contratto di servizi.
I requisiti del DPO, Responsabile della protezione dei dati personali, nominato dal titolare del trattamento o dal responsabile del trattamento, dovrà: 1. possedere un'adeguata conoscenza della normativa e delle prassi di gestione dei dati personali; 2. adempiere alle sue funzioni in piena indipendenza ed in assenza di conflitti di interesse; 3. operare alle dipendenze del titolare o del responsabile oppure sulla base di un contratto di servizio. Il titolare o il responsabile del trattamento dovranno mettere a disposizione del Responsabile della protezione dei dati personali le risorse umane e finanziarie necessarie all’adempimento dei suoi compiti.
Come scegliere un DPO. Avete intenzione di assumere un responsabile della protezione dei dati (RPD) interno od esterno ? Sappiate che si prevede che il DPO rimarrà nella sua posizione per almeno due anni (il regolamento stabilisce quanto segue : "The DPO can be appointed between 2 and 5 years and is eligible for reappointment up to a maximum of 10 years."), e può essere espulso solo se non può svolgere le sue funzioni, motivo per il quale occorre sceglire il vostro DPO con molta saggezza. Il DPO deve avere esperienza e competenze professionali nella protezione dei dati e una profonda conoscenza del regolamento sulla protezione dei dati. Il livello richiesto di competenza non è strettamente definito, ma deve essere commisurato con la sensibilità e la quantità di dati organizzativi da processare. Anche se questo non è indicato nel regolamento, il DPO dovrebbe essere un comunicatore chiaro e capace. Non è sufficiente conoscere le normative; ha bisogno anche di essere in grado di condividere in modo efficace la sua conoscenza. Inoltre, il DPO ha bisogno di essere abile nello sviluppare e implementare le pratiche di protezione dei dati in ambiti che richiedono un'ottima gestione del cambiamento. Un DPO riferisce alla direzione, ma deve lavorarere in modo indipendente. Egli deve essere coinvolto in tutte le aree di protezione dei dati all'interno dell'organizzazione in cui lavora, e deve essere informato di tutti i problemi di elaborazione dei dati e protezione degli stessi in modo tempestivo. Il DPO è, ovviamente, la persona che dirige e supervisiona tutte le attività di protezione dei dati all'interno di una società. Egli elabora le politiche e le procedure che portano l'organizzazione ad agire in conformità con il regolamento, controlla l'attuazione di tali politiche, assicura che tutto il personale sia pienamente consapevole per quanto riguarda i dati che si proteggono, assegna le responsabilità e gestisce le richieste degli utenti in materia dei dati personali. Il DPO ed è il punto di contatto principale per le autorità di vigilanza. Il DPO è anche responsabile per il monitoraggio, la notifica e la comunicazione delle eventuali violazioni dei dati personali (come indicato negli articoli 31 e 32), oltre ad offrire la documentazione pubblica e rispondere allle richieste dei regolatori per quanto riguarda la sottrazione, la distruzione e l'accessibilità dei dati.
I compiti del DPO più nel dettaglio :
-Informare il titolare e gli incaricati, circa gli obblighi derivanti dai dati trattati;
-Monitorare l’implementazione ed applicazione delle politiche adottate dal titolare in materia di protezione dei dati, assegnazione delle responsabilità, formazione delle risorse umane (in materia di protezione dei dati) ed in materia di verifiche derivanti da quanto sopra;
-Assicurare che la “documentazione” di cui ai precedenti punti (l’equivalente del nostro DPS) sia redatta ed efficacemente aggiornata. Vengono riconosciuti importanti principi come l'accountability, ovvero un obbligo del rendiconto delle attività che incidono sulla protezione dei dati personali ma in un'ottica proattiva, per esempio il considerando n. 74 asserisce che "il titolare del trattamento dovrebbe essere tenuto a mettere in atto misure adeguate ed efficaci ed essere in grado di dimostrare la conformità delle attività di trattamento con il presente regolamento, compresa l'efficacia delle misure", inoltre, è previsto che "Per dimostrare che si conforma al presente regolamento, il titolare del trattamento o il responsabile del trattamento dovrebbe tenere un registro delle attività di trattamento effettuate sotto la sua responsabilità" (considerando n. 82 e art. 30). In questo contesto viene quindi previsto un obbligo di tenere un registro delle attività del trattamento dei dati personali, adempimento solo per alcuni limitati profili simile al Documento Programmatico per la Sicurezza (c.d. D.P.S.) previsto fino al 2012 nel Codice della Privacy (disposizioni abrogate all'art. 34 lett. g e punto 19 dell'Allegato B del Codice della Privacy).
-Monitorare che accessi illeciti ai dati siano notificati (ricordiamo che le violazioni di dati personali o data breach devono essere notificate dal controller, senza ritardo, alle autorità competenti ), nel rispetto della norma, all’autorità Garante. Il Garante per la protezione dei dati personali ha adottato una serie di provvedimenti che fissano per amministrazioni pubbliche e aziende l’obbligo di comunicazione nei casi in cui a seguito di attacchi informatici, accessi abusivi, incidenti o eventi avversi, come incendi o altre calamità si dovesse verificare la perdita, la distruzione o la diffusione indebita di dati personali conservati, trasmessi o comunque trattati. In riferimento agli incidenti informatici, la procedura di garanzia degli interessati (contraenti) coinvolti nella violazione dei dati personali (c.d. Data Breach Notification) non sarà più solo limitata ai soli fornitori di servizi di comunicazioni elettroniche, ma avrà una portata estesa che potrà riguardare sia i diversi operatori dalla sanità che tutti gli operatori di internet e altri.
Monitorare l’efficacia, l’adeguatezza e l’applicazione del DPIA (Data protection impact assessment ovvero l’obbligo di effettuare una valutazione d'impatto sulla protezione dei dati personali) nonché la sistematica autorizzazione e consultazione del titolare al trattamento verso il DPO prima di adottare una decisione che coinvolga il trattamento dati e la privacy;
-Rispondere e cooperare con le richieste dell’autorità Garante per la Privacy;
-Agire come punto di contatto per le questioni, sollevate dal Garante, correlate ai trattamenti svolti in azienda.