GDPR e il ruolo del responsabile della protezione dei dati

Businessman hand holding sign general data protection regulation (GDPR) and shield with key icon

La Sezione 4 del GDPR introduce la posizione legale del Responsabile della protezione dei dati (DPO) che svolge un ruolo chiave nel garantire la conformità con GDPR. Ma chi ha esattamente bisogno di un DPO e qual è il suo ruolo? L’articolo 29 sulla protezione dei dati ha ora chiarito questo aspetto nella sua guida pubblicata di recente (la Guida A29) e in una utile FAQ.

Chi ha bisogno di un DPO?

Per la prima volta, i responsabili del trattamento dei dati e i responsabili del trattamento dei dati sono tenuti a nominare un responsabile della protezione dei dati in tre situazioni (articolo 37, paragrafo 1):

  1. Il trattamento è effettuato da un’autorità pubblica o da un organismo

Le autorità pubbliche e gli organismi non sono definiti all’interno della legislazione. La guida dice che questa è una questione di diritto nazionale. È giusto dire che tutti gli organismi soggetti alla legge sulla libertà di informazione saranno coperti da questo requisito, ad esempio consigli, dipartimenti governativi, settore sanitario, scuole, servizi di emergenza, ecc.

Tuttavia è probabile che copra anche le società private che svolgono funzioni pubbliche o forniscono servizi pubblici nel settore dell’acqua, dei trasporti, dell’energia, degli alloggi ecc.

Le società puramente private non coinvolte in funzioni pubbliche o nella fornitura di servizi dovranno nominare un responsabile della protezione dei dati solo se si impegnano in determinati tipi di operazioni di trattamento dei dati illustrate all’articolo 37:

  1. Attività principali del controllore o del processore consistono in operazioni di trattamento, che richiedono un monitoraggio regolare e sistematico degli interessati su vasta scala

In base a tale disposizione, riguarda quindi le società le cui attività principali implicano l’elaborazione di dati personali su larga scala per scopi pubblicitari comportamentali, monitoraggio online, prevenzione di frodi, rilevamento di riciclaggio di denaro sporco, gestione di programmi di fidelizzazione, gestione di sistemi TVCC ecc.

DPO

Data protection officer: i requisiti

  1. c) Attività principali del responsabile del trattamento (data protection officer) che consistono nell’elaborazione su larga scala di speciali categorie di dati o dati personali relativi a condanne penali e reati

Le categorie speciali di dati sono sostanzialmente identiche ai dati personali sensibili ai sensi della legge sulla protezione dei dati del 1998, ad esempio origine etnica, opinioni politiche, credenze religiose, dati sanitari, ecc. Questa disposizione coprirà, tra gli altri, le società di sondaggi, i sindacati e i fornitori di servizi di archiviazione.

A meno che non sia ovvio, le organizzazioni che non hanno bisogno di nominare un responsabile della protezione dei dati dovrebbero tenere un registro del processo decisionale.

L’Orientamento A29 suggerisce che in alcuni casi sarà comunque buona norma nominare un responsabile della protezione dei dati; per esempio, dove le organizzazioni private svolgono compiti pubblici. Ciò potrebbe includere società che erogano servizi pubblici di base nell’ambito di un accordo di esternalizzazione, ad esempio società di manutenzione di alloggi, enti di beneficenza che forniscono servizi sociali, ecc.

Un gruppo di imprese può nominare un unico responsabile della protezione dei dati a condizione che sia facilmente accessibile e che non vi siano conflitti di interesse.

Anche le organizzazioni non con sede nell’UE deveno seguire il GDPR e l’obbligo di nominare un responsabile della protezione dei dati. Il GDPR si applicherà a qualsiasi entità che offre beni o servizi (indipendentemente dal pagamento effettuato) e qualsiasi entità che monitora i comportamenti dei cittadini residenti nell’UE. Le aziende sono ora direttamente responsabili della conformità della protezione dei dati ovunque si trovino (e non solo nei loro uffici con sede nell’UE), purché elaborino i dati personali dei cittadini dell’UE.

I compiti del data protection officer

Ai sensi dell’articolo 37, paragrafo 5, il DPO, che può essere un membro del personale o un contraente, è designato in base alle qualità professionali e, in particolare, alle conoscenze specializzate in materia di diritto e pratiche di protezione dei dati e alla capacità di adempiere ai compiti di cui all’articolo all’articolo 39. Questi sono:

  • informare e consigliare il responsabile del trattamento o l’incaricato del trattamento e i dipendenti che trattano dati personali degli obblighi ai sensi del presente regolamento;
  • monitorare il rispetto del presente regolamento, compresa l’assegnazione delle responsabilità, la sensibilizzazione e la formazione del personale coinvolto nelle operazioni di trattamento e i relativi audit;
  • fornire consulenza ove richiesto per quanto riguarda la valutazione dell’impatto sulla protezione dei dati e controllarne il rendimento ai sensi dell’articolo 35;
  • cooperare con l’autorità di vigilanza (l’ICO nel Regno Unito);
  • agire come punto di contatto per l’autorità di vigilanza su questioni relative al trattamento di dati personali

Circa la qualità la guida A29 afferma:

“Sebbene l’articolo 37 non specifichi le qualità professionali che dovrebbero essere considerate nella designazione del responsabile della protezione dei dati, è un elemento pertinente che le organizzazioni di protezione dei dati dovrebbero avere esperienza in leggi e pratiche nazionali e europee sulla protezione dei dati e una comprensione approfondita del GDPR. È inoltre utile se le autorità di vigilanza promuovono una formazione adeguata e regolare per i DPO. ”

Il livello necessario di conoscenze specialistiche dovrebbe essere determinato in base alle operazioni di trattamento dei dati effettuate e alla protezione richiesta per i dati personali trattati. Ad esempio, quando un’attività di elaborazione dei dati è particolarmente complessa o in cui è coinvolta una grande quantità di dati sensibili, il responsabile della protezione dei dati può aver bisogno di un livello più elevato di esperienza e supporto. Le competenze e le competenze necessarie includono:

  • esperienza in leggi e pratiche nazionali e europee sulla protezione dei dati, incluso un approfondimento
  • comprensione del GDPR
  • comprensione delle operazioni di trattamento effettuate
  • comprensione delle tecnologie dell’informazione e della sicurezza dei dati
  • conoscenza del settore commerciale e dell’organizzazione
  • capacità di promuovere una cultura della protezione dei dati all’interno dell’organizzazione

Il responsabile della protezione dei dati deve poter svolgere le attività in modo indipendente e non deve ricevere alcuna istruzione relativa all’esercizio delle proprie attività. Lui / lei riporta al massimo livello manageriale nell’organizzazione e non può essere licenziato o penalizzato per aver fatto il proprio lavoro.

L’articolo 38, paragrafo 2, del GDPR richiede che l’organizzazione sostenga il suo DPO “fornendo le risorse necessarie per svolgere [i loro] compiti e l’accesso ai dati personali e alle operazioni di trattamento e per mantenere le proprie conoscenze specialistiche.” La Guida A29 afferma che , in base alla natura delle operazioni di elaborazione e alle attività e alle dimensioni dell’organizzazione, è necessario fornire al responsabile della protezione dei dati le seguenti risorse:

  • Supporto attivo della funzione di DPO da parte del senior management
  • Tempo sufficiente per i DPO per adempiere ai loro doveri
  • Sostegno adeguato in termini di risorse finanziarie, infrastrutture (locali, strutture, attrezzature) e personale, se del caso
  • Comunicazione ufficiale della designazione dell’RPD a tutto il personale
  • Accesso ad altri servizi all’interno dell’organizzazione in modo che i DPO possano ricevere supporto, input o informazioni essenziali da quegli altri servizi
  • Allenamento continuo

Il DPO è al centro del quadro di protezione dei dati per molte organizzazioni, facilitando il rispetto delle disposizioni del GDPR. È quindi il momento di nominarne uno per assicurarti di ottenere la qualifica più adeguata!

 

Vuoi approfondire le tematiche di digital marketing?

Scopri il corso di Digital Marketing for Growth Hacker targato Musa Formazione.