Torna a Eventi FPA

News

Photo by moren hsu on Unsplash

“Data protection officer”: quali conseguenze per chi non lo nomina?

di Francesca Lonardo, Avvocato specializzato in diritto delle nuove tecnologie e data protection – P4I (Partners for Innovations).

Dal 25 maggio 2018 sarà applicabile (non solo in Italia, ma in tutti gli Stati Membri UE) la nuova normativa europea in materia di protezione dati personali, il Regolamento (UE) 2016/679 del 27 aprile 2016, più noto con l’acronimo inglese “GDPR”. Tale normativa, oltre a prevedere un nuovo quadro giuridico in materia di data protection, fondato sul concetto anglosassone di accountability (responsabilizzazione), nonché un approccio basato sul rischio, ha introdotto nuovi adempimenti in capo alle organizzazioni che trattano dati personali. Fra gli obblighi di maggiore impatto vi è quello di nominare un “ Responsabile della protezione dei dati ” o, all’inglese, “Data protection officer ” (c.d. DPO). Figura obbligatoria, in particolare, quando il trattamento di dati personali è effettuato da un’autorità pubblica o da un organismo pubblico[1].

Ma chi è il DPO? Quali sono i suoi compiti? Che qualità ed esperienze deve possedere? Deve essere un dipendente o può essere nominato anche un esterno? Risponde nei confronti dei terzi e/o degli interessati in caso di violazione del GDPR? Quali sono le conseguenze se non è nominato? Queste sono solo alcune delle tante domande che si stanno ponendo aziende ed enti pubblici, su cui il webinar di FPA del 30 novembre cercherà di fare chiarezza. Si tratta del secondo appuntamento di un ciclo di formazione che seguirà il webinar del 23 novembre “Regolamento GDPR: come prepararsi alla scadenza di maggio 2018. Una guida per le PA”.

Conoscere tutti i passi da compiere è davvero importante per le pubbliche amministrazioni, dato che non nominare il DPO non è un’opzione percorribile. A prescindere dalla circostanza che scegliere una figura preparata ed affidabile consente di supportare gli enti pubblici (e le imprese) nell’ambito del mercato digitale unico europeo, non si può non considerare che la sua mancata designazione nei casi di obbligatorietà [2] può comportare l’applicazione di una sanzione amministrativa fino a 10 milioni di euro (o, per le imprese, se superiore, al 2% del fatturato mondiale totale annuo dell’esercizio precedente dell’impresa).

Ecco qualche spunto, che verrà approfondito nel corso del seminario on line del 30 novembre.

Innanzitutto, il Responsabile della protezione dei dati è un soggetto con un ruolo misto di consulenza e controllo: deve verificare l’applicazione del GDPR, informare, consigliare le PA e le imprese, fungere da punto di contatto per le Autorità di controllo e gli interessati.

Data l’importanza del suo ruolo, gli enti pubblici non potranno limitarsi ad attribuire il ruolo di DPO ad uno qualunque dei loro impiegati. Come recentemente precisato dal Garante Privacy, la scelta di tale figura dovrà essere effettuata con particolare attenzione, verificando il possesso di competenze ed esperienze specifiche. In mancanza di competenze specialistiche all’interno della singola struttura, sarà in ogni caso possibile avvalersi di soggetti esterni, mentre gli enti o gli organismi di piccole dimensioni potranno anche designare congiuntamente un unico Data Protection Officer.

Competenze ed esperienze specifiche non sono comunque sufficienti. Sono previsti ulteriori requisiti normativi relativi alla sua posizione, indipendenza e autonomia. Essendogli attribuiti poteri di controllo solitamente affidati alle autorità, fondamentale è anche l’assenza di conflitto di interessi.

L’individuazione della persona adatta a svolgere tale ruolo non consente però agli enti pubblici di “dormire sonni tranquilli”. Il DPO, infatti, è una figura di controllo priva di responsabilità esecutive, che esprime solo pareri, ma le decisioni (anche eventualmente in contrasto con il suo parere) e le conseguenti responsabilità sono assunte dal Titolare del trattamento dei dati (nel nostro caso, dall’autorità o dall’organismo pubblico). Come precisato dal Gruppo dei Garanti europei, nelle Linee Guida sul DPO del 13 dicembre 2016, emendate e revisionate il 5 aprile 2017, il Responsabile della protezione dei dati non risponde personalmente in caso di inosservanza del GDPR: “Data protection compliance is a corporate responsibility of the data controller, not of DPO”.

Per approfondire tutti questi aspetti, appuntamento quindi il 30 novembre con il focus dedicato al Data Protection Officer.


[1] Nonché quando il “core business” dell’azienda consiste in attività che richiedono il monitoraggio regolare e sistematico di dati “su larga scala” o nel trattamento “su larga scala” di dati “sensibili” e “giudiziari”.
[2] Oltre che il mancato rispetto dei requisiti normativi relativi alla sua posizione ed ai suoi compiti
Foto di Photo by moren hsu on Unsplash