DLService di Daniele Lorefice - Software e Consulenza per l'Informatica e la Sicurezza - Siracusa

Software e Consulenza
per l'Informatica e la Sicurezza

GDPR Torna alla pagina precedente


 
GDPR DPO

(Data Protection Officer)

La nomina del Data Protecion Officer (DPO) è una delle novità più importanti introdotte dal Regolamento europeo sulla protezione dei dati, che è applicabile dal 25 maggio 2018. Nominato dal Titolare e dal Responsabile del trattamento, ha il compito di assistere e vigilare sul trattamento dei dati, oltre ad essere il punto di contatto tra la struttura e l’autorità di controllo.

Il DPO è una figura obbligatoria per le strutture sanitarie pubbliche e private. Ecco chi è, in quali casi è obbligatorio e quali sono le sue funzioni.

 

Responsabile della Protezione dei Dati (RPD) o Data Protection Officer (DPO): chi è?

Il Data Protection Officer è un professionista dalle competenze trasversali: giuridiche, informatiche, di analisi dei processi e gestione del rischio. Può essere interno all’azienda o esterno ed ha il compito di osservare, valutare e organizzare le attività di trattamento dei dati personali raccolti, e proteggerli, nel rispetto delle norme europee e nazionali sulla privacy.

 

È una figura introdotta dal Regolamento generale sulla protezione dei dati 2016/679 (GDPR privacy), quindi una novità per molti paesi, anche se in alcuni Stati membri dell’Unione Europea è già presente da tempo. Nei paesi anglosassoni è chiamato generalmente Chief Privacy Officer (CPO) o Data Security Officer.

 

Quando è obbligatorio?

Non tutte le aziende devono necessariamente avere un Data Protection Officer, ma in alcuni casi è il GDPR sulla privacy ad imporlo. Ecco in quali casi è obbligatorio:

  1. va nominato se chi tratta i dati personali è un’autorità pubblica o un organismo pubblico

  2. il DPO è necessario se le attività principali di chi tratta i dati (il Titolare o il Responsabile del trattamento) riguardano trattamenti dei dati personali che richiedono il monitoraggio regolare e sistematico degli interessati su larga scala.
    Per esempio: l’attività principale di un ospedale è dare assistenza sanitaria. Per adempiere a questa funzione, la struttura tratta molti dati sulla salute dei suoi pazienti, perciò c’è un nesso stretto tra l’attività principale dell’ospedale e l’attività di trattamento dei dati personali. Di conseguenza l’ospedale deve obbligatoriamente nominare un DPO (fonte: Data Protection Officer: le linee guida sulla nuova figura introdotta dal Regolamento UE 679/2016)

  3. va nominato se le attività principali di chi tratta i dati consistono nel trattamento su larga scala dei dati personali elencati all’art. 9 del Regolamento, cioè i dati sensibili (origine razziale o etnica, opinioni politiche, convinzioni religiose o filosofiche, appartenenza sindacale, dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona), oppure i dati relativi a condanne penali e reati elencati all’art. 10 del Regolamento.

    Per esempio: l’elaborazione dei dati dei pazienti di un ospedale è un trattamento su larga scala, invece non lo sono i trattamenti di dati personali relativi ai pazienti di un singolo medico (fonte: Data Protection Officer: le linee guida sulla nuova figura introdotta dal Regolamento UE 679/2016).

Rispetto alla definizione di "attività principale", le linee guida forniscono alcune esemplificazioni sia in senso positivo che negativo: l'attività principale di un ospedale è fornire assistenza sanitaria. Tale assistenza, però, non può essere fornita senza che si elaborino e si trattino dati sulla salute dei pazienti.

Essendoci un così stretto legame tra il "core business" e l'attività di trattamento, anche quest'ultima viene fatta rientrare nell'alveo delle attività principali e, di conseguenza, ogni ospedale dovrà designare un DPO. Un simile ragionamento si può fare con una società di vigilanza privata: l'attività di sorveglianza è indissolubilmente legata all'attività di trattamento dei dati personali relativi e, quindi, l'attività principale comprenderà non solo la prima attività, ma anche la seconda.

Diversamente, sebbene tutte le imprese trattino necessariamente dei dati personali (ad esempio per i pagamenti dei dipendenti…), tuttavia non ricade su di esse l'obbligo di nominare il DPO: le citate attività di trattamento dati, per quanto indispensabili ed essenziali, sono considerate "ancillary" e quindi di supporto al "core business".

 

Per quanto riguarda invece il concetto di "monitoraggio regolare e sistematico", tale nozione include non solo tutti i vari strumenti di tracciatura elettronica e profilazione on line, ma anche qualsiasi forma di tracciatura in un ambiente off-line.

Il WP29 definisce "regolare" quel monitoraggio che avviene di continuo o ad intervalli particolari per un certo periodo e quello che si ripete sempre in un dato momento.

Il monitoraggio è poi "sistematico" quando si verifica in base ad uno schema o ad un modello o quando è organizzato, metodico, prestabilito, o quando rientra a far parte di un piano generale o di una strategia.

 

Vengono in seguito esplicitati quattro elementi da tenere in considerazione per valutare se il trattamento viene effettuato o meno su "larga scala":

  1. il numero degli interessati coinvolti;

  2. la quantità dei dati e/o il tipo dei dati oggetto di trattamento;

  3. la durata o la permanenza del processo di trattamento dei dati;

  4. l'estensione geografica del trattamento.

Infine, per chiarire ancor meglio la portata di tale nozione, vengono fatte alcune esemplificazioni: sono da considerarsi trattamenti su larga scala l'elaborazione dei dati dei pazienti di un ospedale, il trattamento dei dati di viaggio dei soggetti che utilizzano un sistema di trasporto pubblico di una città (ad esempio il monitoraggio attraverso carte di viaggio), l'elaborazione in tempo reale dei dati di geo-localizzazione della clientela per fini statistici, il trattamento dei dati dei clienti da parte di una banca o di un'assicurazione, il trattamento dei dati personali per la pubblicità comportamentale (cookies di profilazione) e il trattamento dei dati da parte dei fornitori di servizi telefonici e/o internet (contenuti, traffico, posizioni…).

Non sono invece da ritenere elaborazioni su larga scala quei trattamenti di dati personali relativi ai pazienti di un singolo medico o ai clienti di un singolo avvocato.
Saranno poi le pronunce e i provvedimenti delle autorità di controllo nazionali ed europee a sviluppare una prassi e una giurisprudenza rispetto agli ulteriori e più specifici casi che di volta in volta si presenteranno alla loro attenzione.

 

Per approfondire leggi il testo del Regolamento: REGOLAMENTO (UE) 2016/679

 

Quali sono i compiti del DPO?

 

Il DPO deve:

  1. informare e dare consulenza al Titolare del trattamento, al Responsabile e ai i dipendenti che trattano i dati su quali sono gli obblighi di legge relativi alla protezione dei dati

  2. verificare che le norme in materia di trattamento dei dati siano rispettate dall’organizzazione e se richiesto, deve dare un parere in merito alla valutazione d’impatto sulla protezione dei dati e sorvegliarne lo svolgimento

  3. cooperare con l’autorità di controllo ed essere il punto di contatto fra quest’ultima e l’organizzazione per cui presta la sua attività.

Non preoccuparti ci pensiamo noi...

DLService offre anche un servizio di assistenza per rendere agevole l'adempimento alle Normative appena descritte.

Per ulteriori informazioni non esitate a contattarci:
indirizzo e-mail: Info@dlservice.it
recapito telefonico: Tel./Fax +39 0931 783411 - Cell. +39 349 1748004

 
DLService Software e Consulenza per l'Informatica e la Sicurezza - P.Iva: 01734990896
Copyright © 2010/2018 DLService (Release 3.2 Luglio 2018)