slide 8 inside 1

Obiettivi e destinatari

logo unitelma sapienza


Destinatari

Il corso, realizzato da Unitelma Sapienza - Università degli Studi Roma in collaborazione con ClioEdu e D&L Department, è rivolto a tutti i dirigenti e funzionari della Pubblica Amministrazione, imprese, ditte individuali e professionisti che trattano dati all’interno della loro struttura o che si propongono come DPO per enti terzi.

A chi è rivolto il corso

Il corso per il “Data Protection Officer” fornirà ai partecipanti una preparazione manageriale completa e multidisciplinare secondo quanto previsto dal Regolamento EU per la protezione dei dati personali.

Il DPO è, di fatto, un professionista che ha competenze nella normativa oltre che esperienze informatiche e di gestione del rischio. Il suo compito è quello di assistere il titolare o il responsabile del trattamento dei dati all'interno dell'organizzazione, al fine di assicurare che il trattamento stesso sia conforme e rispetti la normativa in materia di privacy. Il DPO può essere un dipendente dell’organizzazione oppure un soggetto esterno.

Individuazione e designazione del DPO

Uno dei primissimi argomenti esaminati nel documento in commento riguarda la “designazione DPO”. Il DPO è definibile come un “attore chiave” nel nuovo sistema di governance dei dati all’interno di PA e imprese ed è importante analizzare i casi in cui sia obbligatoria la nomina e quali siano gli adempimenti, nonché le “attività principali” che ne derivano. Anzitutto occorre operare una distinzione tra i due contesti: mentre per le amministrazioni e gli enti pubblici è obbligatorio nominare il DPO, le organizzazioni private dovranno designarlo solo qualora la loro attività principale consista in trattamenti che richiedano il controllo regolare e sistematico degli interessati o interessino dati di tipo sensibile. Alla luce di tale considerazione, anche qualora le organizzazioni private non rientrino nell’obbligo, è necessario rimarcare come lo stesso Gruppo dei Garanti europei (WP 29) esorti ad avvalersi di un DPO.

La motivazione è semplice: da una parte il DPO può favorire all’interno del contesto organizzativo in cui opera il rispetto del Regolamento e, dall’altra, la sua presenza può generare un vantaggio competitivo per le imprese (in quanto soggetto posto a garanzia dei diritti e della tutela dei dati degli interessati, anche in virtù del suo ruolo di intermediario tra l’Autorità di controllo/interessati e l’organizzazione presso la quale svolge la propria attività professionale).

I Garanti europei hanno ulteriormente chiarito che, in base alla valutazione di alcune circostanze, il Titolare o il Responsabile del trattamento potranno essere obbligati, singolarmente o congiuntamente, alla nomina del DPO (in tal caso, i rispettivi DPO avranno l’obbligo di cooperare tra loro). Tuttavia, qualora l’obbligo ricada sul solo Titolare, non è detto che anche il Responsabile del trattamento sia, a sua volta, obbligato automaticamente alla nomina (sebbene ciò potrebbe costituire una buona prassi).

Il profilo del DPO: ruolo e compiti

Il ruolo di DPO, può essere rivestito da una persona fisica, da un’organizzazione o da un team, in possesso di idonee competenze professionali. Ai sensi all’art. 37, par. 6 del Regolamento, il Responsabile della Protezione dei dati: “può essere un dipendente del Titolare del trattamento o del Responsabile del trattamento oppure assolvere i suoi compiti in base a un contratto di servizi”.

Dalle disposizioni contenute nel Regolamento europeo (art. 39 e Considerando n. 97) e nelle Linee guida del WP 29 emerge che il DPO, in sintesi, dovrebbe:

- raccogliere informazioni per identificare le attività di trattamento;

- analizzare e verificare la conformità delle attività di trattamento;

- informare, consigliare e fornire raccomandazioni al Titolare e al Responsabile del trattamento.

Nello specifico il DPO è tenuto a:

a) informare e consigliare il Titolare o il Responsabile del trattamento, nonché i dipendenti dell’organizzazione di appartenenza, in merito agli obblighi derivanti dal Regolamento europeo e da altre disposizioni dell'Unione o degli Stati membri relative alla protezione dei dati;

b) verificare l’attuazione e l’applicazione del Regolamento, delle altre disposizioni dell'Unione o degli Stati membri relative alla protezione dei dati nonché delle politiche del Titolare o del Responsabile del trattamento in materia di protezione dei dati personali, inclusi l’attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale coinvolto nelle operazioni di trattamento, e i relativi audit;

c) fornire, se richiesto, pareri in merito alla valutazione d'impatto sulla protezione dei dati e sorvegliare i relativi adempimenti;

d) fungere da punto di contatto per gli interessati in merito a qualunque problematica connessa al trattamento dei loro dati o all’esercizio dei loro diritti;

e) fungere da punto di contatto per il Garante per la protezione dei dati personali oppure, eventualmente, consultare il Garante di propria iniziativa.

Il profilo di responsabilità

Dal punto di vista delle responsabilità, un DPO non può personalmente rispondere del mancato rispetto degli adempimenti previsti dal Regolamento per conto dell’organizzazione: sono il Titolare o il Responsabile del trattamento tenuti a garantire – e a dimostrare - che il trattamento avvenga in conformità alle disposizioni della normativa europea (art. 24 del Regolamento) e dunque a rimanere giuridicamente imputabili per eventuali responsabilità amministrative, penali e civili (nei confronti degli interessati).

Quello che resta in ogni caso imprescindibile è il coinvolgimento del DPO in tutte le questioni che potrebbero incidere sul corretto trattamento dei dati e, di conseguenza, il Titolare o il Responsabile devono garantire che:

• il DPO sia invitato a partecipare regolarmente alle riunioni tenute dal vertice gerarchico della struttura (es. dirigenti, quadri, etc.).

• il DPO sia presente nel momento in cui vengono prese determinate decisioni che hanno implicazioni sul trattamento e sulla protezione dei dati (in questo caso al DPO devono essere trasmesse tempestivamente tutte le informazioni necessarie affinché gli sia consentito di fornire una consulenza adeguata);

• siano tenuti nella debita considerazione tutti i pareri e le indicazioni forniti dal DPO (in caso di disaccordo (il WP29 raccomanda inoltre di documentare le ragioni che hanno portato i vertici dell’organizzazione a non seguire il consiglio del DPO);

• il DPO venga tempestivamente consultato qualora si verifichi una violazione dei dati personali o qualsiasi altro incidente che possa incidere sugli stessi (data breaches).

Titolari e Responsabili del trattamento, poi, al fine di rispettare i consigli dei Garanti europei, dovrebbero provvedere ad elaborare linee guida ad hoc o procedure aziendali interne in materia di protezione dei dati (es. Regolamenti interni), che stabiliscano i casi in cui un DPO deve essere obbligatoriamente consultato.

La logica del TEAM

Nelle Linee guida, sul punto si specifica che, considerato le dimensioni e la struttura dell'organizzazione, può essere necessario predisporre un team per il DPO. Allo stesso modo, in caso di esternalizzazione del servizio, il fornitore potrà ugualmente avvalersi di un team in grado di assolvere efficacemente i compiti di DPO, coordinato da figura responsabile di interfacciarsi nei rapporti con il cliente.

Cosa deve assicurare l’organizzazione al suo DPO?

Sia che si tratti di un contesto pubblico o di un contesto privato, il DPO deve godere delle dovute garanzie di indipendenza e inamovibilità nello svolgimento delle attività di indirizzo e controllo e, al contempo, gli devono essere fornite utili indicazioni per il corretto espletamento del suo ruolo. Come già sottolineato all’interno del Regolamento, inoltre, al DPO deve essere assicurato un sostegno adeguato in termini di risorse finanziarie, infrastrutturali (locali, strutture, attrezzature) e, se occorre, di coordinamento, a livello di risorse aziendali (personale).

L’aggiornamento e la formazione continua

L’importante tema delle competenze e della formazione del DPO è oggetto delle menzionate Linee guida, in quanto il Titolare o del Responsabile del trattamento devono garantire un’adeguata e continua formazione in materia di protezione dei dati (mediante corsi di formazione, forum, workshop, etc.), affinché possa incrementare le sue competenze e mantenere adeguati livelli di aggiornamento.

KnowIT è un progetto CLIOedu e Digital & Law Department.
Clio S.r.l. Via 95° Rgt. Fanteria 70 – 73100 Lecce
P.I. 02734350750 - Privacy e Cookie policy
Mappa del sito