OSSERVATORIO PRIVACY

DPO: aggiornate le linee guida sul Data Protection Officer

13/04/2017 16:04


Avv. Cristiano Cominotto – Avv. Anna Minichiello – Dott. Francesco Curtarelli
ALP Assistenza Legale Premium


Il 5 aprile 2017 l' "Article 29 data protection workin party" (organismo consultivo e indipendente dell'Unione Europea sulla protezione e sul trattamento dei dati personali) ha rivisitato e adottato le linee guida sul Data Protection Officer, figura introdotta dal GDPR - Regolamento 679/2016 (si veda a riguardo DPO – Data Protection Officer: il responsabile della protezione dei dati personaliData e Protection Officer: le linee guida sulla nuova figura introdotta dal Regolamento UE 679/2016).

Nella versione definitiva delle guidelines sopra richiamate vengono inserite importanti precisazioni che riguardano direttamente il DPO ma anche il Titolare e/o il Responsabile del trattamento dei dati.

Di seguito gli interventi più significativi.

In merito all'obbligo sistematico di designare un DPO da parte del Titolare e/o Responsabile del trattamento, questi ultimi dovranno necessariamente documentare l'intero processo di analisi interna all'azienda svolto per giungere alla conclusione che un DPO debba o non debba essere designato.

L' attività di documentazione dei vari processi compiuti in ambito di data protection risponde al nuovo fondamentale principio di accountability introdotto dall'art. 5 punto 2 GDPR.

Il punto 2.1.4 delle linee guida riguardante il monitoraggio regolare e sistematico degli interessati viene arricchito con un nuovo elenco esemplificativo di casi pratici in cui la figura del DPO deve essere nominata necessariamente. In particolare viene aggiunto il riferimento alle attività di data-driven marketing ossia quelle attività di marketing che utilizzano i dati degli interessati al fine di comprendere meglio le loro preferenze ed esigenze così da poter in seguito offrire servizi personalizzati.

L'obbligo di nominare il DPO può ricadere anche sul Responsabile del trattamento laddove sussistano le condizioni previste dal dettato normativo dell'art. 37 GDPR. In tal caso le linee guida specificano che il DPO nominato da un Responsabile del trattamento dovrà sorvegliare e occuparsi non solo delle attività svolte dal Responsabile stesso in funzione, appunto, di Responsabile, ma anche di quelle attività che il medesimo Responsabile svolge autonomamente in qualità di Titolare del trattamento (HR, IT, logistica…).
Ad esempio se Tizio, Responsabile del trattamento per conto di Caio, nomina il DPO, tale DPO non sorveglierà soltanto le attività che Tizio compie per conto di Caio, ma anche quelle che Tizio copie per proprio conto e per le quali è Titolare e non Responsabile del trattamento.

Per quanto concerne la designazione del DPO, all'interno delle linee guida viene specificato che tale ruolo e tale figura può essere ricoperta esclusivamente da una persona fisica, supportata, laddove necessario, da un team.

Il DPO, quindi, non può essere una persona giuridica: la nomina deve essere personale.

Viene poi sottolineata ulteriormente l'importanza di riuscire a contattare sempre e con sicurezza il DPO, sia fisicamente che tramite canali di comunicazione sicuri.

L'inserimento del nuovo paragrafo 2.4 "Accessibility and localisation of the DPO" rimarca come la disponibilità del DPO (e quindi anche il luogo in cui questo deve essere localizzato) debba essere effettiva.

A tal proposito il WP29 raccomanda che il DPO sia localizzato entro i confini dell'Unione Europea anche se il titolare e/o il responsabile del trattamento è stabilito al di fuori dell'UE. Non va comunque escluso che, in determinate situazioni, il DPO potrebbe svolgere in maniera più efficace le proprie attività qualora anch'esso localizzato al di fuori dell'Unione.

Per quanto riguarda le qualità professionali che il DPO deve avere per poter assolvere ai suoi compiti, la nuova versione delle linee guida aggiunge all'elenco ulteriori tasks tra cui l'aiutare il titolare nell'implementazione di attività quali il registrare le attività di trattamento, il garantire la sicurezza del trattamento e il notificare/comunicare eventuali data breach.

Ulteriore specificazione è stata fatta circa l'onere in capo al titolare e/o al responsabile del trattamento di comunicare all'autorità garante i dettagli di contatto del DPO, laddove nominato. Tale adempimento è essenziale per fare in modo che il DPO sia l'effettivo punto di contatto tra l'organizzazione e l'autorità. Non esiste espressamente l'obbligo di comunicare all'autorità le generalità del DPO, se non nei casi di cui all'art. 33(3)(b).

Un posto di rilievo viene dato anche alla confidentiality ex art. 38 punto 5 GDPR: il DPO è tenuto al segreto e alla riservatezza in merito all'adempimento dei propri compiti. La riserbatezza è difatti necessaria e indispensabile per il corretto e fisiologico espletamento delle funzioni del DPO dal momento che un suo venir meno comporterebbe una mancanza di fiducia da parte dei lavoratori che potrebbero così non comunicare col DPO.

Anche per quanto riguarda lo svolgimento delle proprie mansioni e compiti, le linee guida aggiornate prevedono che il DPO debba poter manifestare la propria opinione, anche e soprattutto qualora dissenziente, agli alti vertici della società. Tale rapporto diretto assicura che gli alti vertici siano a conoscenza delle raccomandazioni e dei consigli del DPO. Un altro esempio di segnalazione diretta indicato in aggiunta a quelli già previsti, è la stesura di un report annuale delle attività svolte dal DPO da sottoporre all'attenzione del vertice più alto della società.
In merito ai casi esemplificativi di conflitto di interesse, il WP29 ha integrato la lista prevedendo l'esistenza di tale conflitto anche quando al DPO venga chiesto di rappresentare in giudizio il titolare o il rappresentante del trattamento qualora le cause vertano sul trattamento e/o la protezione dei dati.

Da ultimo il WP29 inserisce l'intero paragrafo 4.3 "cooperating with the supervisory authority and acting as a contact point" in cui, dopo aver richiamato l'art. 39,(1)(d)(e), viene approfondito il ruolo di semplificazione svolto dalla figura del DPO. Il DPO deve essere infatti il punto di contatto delle autorità garanti per agevolare operazioni quali:

• l'accesso ai documenti e alle informazioni come previsto dall'art. 57;
• lo svolgimento dell'esercizio di poteri investigativi, correttivi, di autorizzazione e di consiglio previsti dall'art. 58.

Anche in questo suo ruolo il DPO dovrà mantener fede ai propri obblighi di segretezza e riservatezza, obblighi che, tuttavia, non gli impediscono di contattare e richiedere consigli all'autorità Garante.