2017(Maggio 2018) – Un anno di tempo per cercare e trovare il Data Protection Officer (DPO) adatto alla vostra attività

countdown

Le Aziende, che trattano dati su larga scala o sensibili e/o giudiziari, gli Enti Pubblici, gli studi professionali devono nominare il Responsabile della Protezione dei Dati (Data Protection Officer «Dpo»). Lo prevede il regolamento UE 2016/679 sulla Privacy Europea e Data Protection.

Un anno è già passato, rispetto ai due concessi dall’Unione Europa per comprendere ed analizzare il nuovo GDPR2016.

Il prossimo sarà dedicato alla giusta interpretazione degli elementi descritti dal Gruppo di lavoro ex articolo 29 della Commissione Europea (siglabile «WP29»), nelle Linee guida del 13 dicembre 2016, e degli altri documenti che saranno prodotti anche dal nostro Garante nazionale in Roma per “centrare maggiormente” i casi di obbligatorietà di nomina del DPO, ed i casi lasciati alla personale iniziativa dei titolari e/o responsabili del trattamento, ma nomina fortemente consigliata anche dai dati di fatto relativi agli impegni tecnici delle attuali azienda moderne.

L’impresa obbligata e la pubblica amministrazione devono scegliere un Dpo preparato e affidabile e devono, per il loro stesso bene, guardare di buon occhio al fatto che il DPO dovrà valutare autonomamente se qualcosa, nel trattamento dei dati, non va per il verso giusto.

La stessa mancata nomina del Dpo, di per sé, può costare caro: fino a 10 milioni di euro; o, se superiore, per le imprese, fino al 2% del fatturato totale mondiale annuo

Il DPO quindi risulterà una funzione aziendale o dell’ente pubblico ( ma come chiarito anche da recenti casi è incompatibile con le figure già presenti in Azienda/Ente di Amministratore ICT, Ufficio Legale, Commerciale-Marketing, etc.., meno che mai con la figura di titolare o responsabile) investita di compiti consultivi, di assistenza e di vigilanza del rispetto della disciplina del regolamento Ue sulla privacy. Può essere contattato direttamente dagli interessati e dal Garante della privacy. I compiti sono descritti nell’art. 39 del Regolamento Ue. Al DPO sono assegnati diversi compiti: informare e fornire consulenza sugli obblighi derivanti dalla normativa sulla protezione dei dati GDPR2016; sorvegliare l’osservanza delle norme, compresi l’attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo; fornire pareri in merito alla valutazione d’impatto sulla protezione dei dati e sorvegliarne lo svolgimento; cooperare con il Garante e fungere da punto di contatto con lo stesso.

Aziende, Studi Professionali ed Enti Pubblici devono stare attenti a individuare bene i soggetti idonei: se si affidano a chi dà loro consigli improvvisati o non adeguati ( come spesso accade per i factotum e smanettoni informatici interni all’azienda troppo spesso), questo non eliminerà la responsabilità verso clienti, utenti o la responsabilità amministrativa o penale,

In caso di trattamenti non conformi al regolamento europeo, il Gruppo di lavoro WP29 afferma che il DPO non è personalmente responsabile, richiamando il fatto che il regolamento esige la dimostrazione di osservanza del regolamento stesso solo a carico del titolare e del responsabile del trattamento.

Il DPO dovrebbe avere sufficiente conoscenza delle operazioni di trattamento dei dati, e altrettanta sufficiente conoscenza del sistema informativo (computer sistemi web app), della sicurezza dei dati (ISO/27001) e delle esigenza di protezione dei dati ( CyberSecurity).

Nel caso di Ente Pubblico, il DPO dovrebbe avere una solida conoscenza dell’ordinamento e dell’organizzazione delle Pubbliche Amministrazioni (specie locali e partecipate) e competenza sulla normativa nazionale ed europea GDPR2016.

Il DPO, qualunque siano il curriculum degli studi e i titoli formativi posseduti ( non essendo attualmente legato ad iscrizione ad ordini professionali e/o certificazioni obbligatorie di sorta per adempiere ai compiti), deve sapere manovrare ed interpretare i testi e le norme giuridiche: regolamento e direttive europee, normativa nazionale e provvedimenti e linee guida delle Autorità Garanti.

Questa competenza giuridico-tecnica il DPO la deve soprattutto a se stesso per non assumere compiti che potrebbe non essere in grado di svolgere adeguatamente:”se sottovaluterà questo aspetto si renderà responsabile per colpa e destinato a pagare i danni al proprio committente” (anche se non è da escludere una responsabilità diretta a favore degli interessati).

Le Linee guida evidenziano che la funzione di DPO può anche essere svolta da un consulente esterno ( data la incompatibilità obbligatoria di incarico con la maggior parte delle figure aziendali interne) o da una organizzazione esterna (ad esempio, una società) sulla base di un “contratto di servizi”. Nel caso di società è essenziale che ogni componente dell’organizzazione esterna possieda i requisiti di conoscenza e competenza sia tecnica che normativa sul GDPR2016.

Sempre nel caso di società di Dpo, il Gruppo di lavoro ex art. 29 esige che si debba assegnare a ogni cliente un singolo Dpo e che sia facilmente raggiungibile da ogni stabilimento e/o sede, come referente specifico, che ha in carico quel particolare titolare di trattamento.

Di tutto ciò si deve dare conto nel contratto di servizio; come risulta necessario tenere conto che essendo un rapporto anche molto “fiduciario”, potrebbe non essere ottimale per le esigenze dell’Azienda o dello Studio ricorrere a tipiche società di consulenzaBody Rental”, che potrebbero inviare una persona sconosciuta, demotivata, teoricamente capace ma magari di “difficile convivenza” con l’organico aziendale consolidato, il tutto per un vincolo almeno biennale ( dato che non può essere estromesso e penalizzato dai suoi compiti con licenziamenti ad hoc) e dai costi spesso sproporzionati. Data la tipicità delle PMI italiane, iniziare da DPO locali, di vicinanza e di comprovata fiducia può essere la scelta più adatta.

O.L.I.T. Informatica

Licenza Creative Commons
Quest’opera è distribuita con Licenza Creative Commons Attribuzione – Non commerciale – Condividi allo stesso modo 4.0 Internazionale.

Annunci