Regolamento privacy, come scegliere il DPO (Data Protection Officer)

European Union High Resolution No ConceptLe prime indicazioni del Garante: necessarie competenze specifiche non attestati formali.

Le pubbliche amministrazioni, così come i soggetti privati, dovranno scegliere il Responsabile della protezione dei dati personali (RPD) con particolare attenzione, verificando la presenza di competenze ed esperienze specifiche.

Non sono richieste attestazioni formali sul possesso delle conoscenze o l’iscrizione ad appositi albi professionali.

Queste sono alcune delle indicazioni fornite dal Garante della privacy alle prime richieste di chiarimento in merito alla nomina di questa nuova  importante figura  – introdotta dal Regolamento UE 2016/679 –  che tutti gli enti pubblici e anche molteplici soggetti privati dovranno designare non più tardi del prossimo maggio 2018.

Nella nota  inviata a un’azienda ospedaliera l’Ufficio del Garante ricorda che i Responsabili della protezione dei dati personali – spesso indicati con l’acronimo inglese DPO (Data Protection Officer) – dovranno avere un’approfondita conoscenza della normativa e delle prassi in materia di privacy, nonché delle norme e delle procedure amministrative che caratterizzano lo specifico settore di riferimento.

Nella selezione sarà poi opportuno privilegiare soggetti che possano dimostrare qualità professionali adeguate alla complessità del compito da svolgere, magari documentando le esperienze fatte, la partecipazione a master e corsi di studio/professionali (in particolare se risulta documentato il livello raggiunto).

Gli esperti individuati dalle aziende ospedaliere, ad esempio, in considerazione della delicatezza dei trattamenti di dati effettuati (come quelli sulla salute o quelli genetici) dovranno preferibilmente vantare una specifica esperienza al riguardo e assicurare un impegno pressoché esclusivo nella gestione di tali compiti.

L’Autorità ha inoltre chiarito che la normativa attuale non prevede l’obbligo per i candidati di possedere attestati formali delle competenze professionali.

Tali attestati, rilasciati anche all’esito di verifiche al termine di un ciclo di formazione, possono rappresentare un utile strumento per valutare il possesso di un livello adeguato di conoscenza  della disciplina ma, tuttavia, non equivalgono a una “abilitazione” allo svolgimento del ruolo del RPD.

La normativa attuale, tra l’altro, non prevede l’istituzione di un albo dei “Responsabili della protezione dei dati” che possa attestare i requisiti e le caratteristiche di conoscenza, abilità e competenza di chi vi è iscritto.

Enti pubblici e società private dovranno quindi comunque procedere alla selezione del RPD, valutando autonomamente il possesso dei requisiti necessari per svolgere i compiti da assegnati.

Il Garante si riserva di fornire ulteriori orientamenti, che saranno pubblicati sul sito istituzionale, anche all’esito dei quesiti e delle richieste di approfondimento sul Regolamento privacy, raccolti nell’ambito di specifici incontri che l’Autorità ha in corso con imprese e Pubblica Amministrazione.

Annunci

Il Privacy Officer quale figura obbligatoria

imagesAutonomo, specializzato e con un budget di spesa. Sono le caratteristiche principali del responsabile della protezione dei dati personali (Data Protection Officer, DPO) presentate in una scheda diffusa dal Garante della privacy sul suo sito.

Il DPO è previsto nella proposta di regolamento Com(2012)11, destinato a sostituire la direttiva 95/46 e con essa il Codice italiano della privacy (dlgs 196/2003). L’iter per l’approvazione definitiva del regolamento dovrebbe concludersi nei primi mesi del 2016. Ci sarà poi tempo per adeguarsi.

Nel frattempo la figura del responsabile privacy comincia a farsi strada anche a legislazione vigente. Nella scheda sul DPO si spiega, salvo modifiche, quando sarà prevista la nomina, come deve essere scelto e che compiti avrà.

Va, però, ricordato che già, a legislazione vigente, è possibile istituire una figura assimilabile al DPO, con deleghe specifiche nella materia della protezione dei dati. Si tratta di una opzione organizzativa, che ha trovato applicazione in realtà aziendali medio-grandi.

Qualche esperienza analoga (creazione di uffici ad hoc per la privacy) si trova anche nel settore pubblico, ma si tratta di unità organizzative che molto spesso accorpano più funzioni, tra cui quello relativo alla gestione dei trattamenti. Vediamo in sintesi il contenuto della scheda predisposta dal garante.

NOMINA OBBLIGATORIA

Secondo la proposta di regolamento (suscettibile di emendamenti) dovranno designare obbligatoriamente un responsabile della protezione dei dati:

  • tutte le amministrazioni e gli enti pubblici;
  • le imprese con 250 o più dipendenti;
  • tutti i soggetti la cui attività principale consiste in trattamenti che richiedono il controllo regolare e sistematico degli interessati.

Ciò non toglie che possa essere nominato un DPO anche fuori da questi casi, per scelta dell’impresa.

Va sottolineato che nel settore pubblico non vi sarà esonero in base al numero dei dipendenti e che, quindi, tutte le p.a. dovranno dotarsene, valorizzando propri dipendenti o ricorrendo a consulenze esterne.

REQUISITI

Il responsabile della protezione dei dati deve essere uno specialista della privacy e deve essere collocato in una posizione di autonomia, visto che esercita funzioni di controllo e vigilanza.

Godrà di una relativa inamovibilità per un termine di due anni e dovrà avere a disposizione risorse umane e finanziarie necessarie all’adempimento dei suoi compiti.

COMPITI

Il DPO dovrà:

  • gestire tutti gli adempimenti di privacy, svolgendo formazione e consulenza, vigilando anche su attività di controllo interno;
  • avere parola anche sulle decisioni organizzative e sull’attribuzione dei compiti e delle responsabilità
  • curare l’attuazione delle misure di sicurezza e dovrà predisporre il sistema informativo in maniera tale da essere conforme alla disciplina della protezione dei dati.

Il DPO avrà il compito di:

  • garantire la conservazione della documentazione relativa ai trattamenti effettuati;
  • controllare che le violazioni dei dati personali siano documentate, notificate e comunicate (data breach).

Il DPO avrà la responsabilità della valutazione d’impatto dei trattamenti sulla protezione dei dati e sarà il punto di contatto per il Garante per la protezione dei dati personali.

Se poi il Garante rivolge richieste alla p.a. o all’impresa, il DPO dovrà curare che venga data tempestiva risposta.

Sull’inquadramento della figura si discute:

  • se si tratterà di una funzione con compiti gestionali (con conseguente coinvolgimento nelle responsabilità) o
  • se invece sarà una funzione di controllo esterno.