Privacy - GDPR

News

Tutela della Privacy: Autorità Garante ha pubblicato FAQ sul Responsabile della Protezione dei Dati (DPO)

Il Garante della Privacy ha pubblicato nuove FAQ in tema di Responsabile della Protezione (DPO) ed un modello di comunicazione dei dati di contatto del medesimo DPO che, qualora ne ricorrano le condizioni, ogni titolare del trattamento dovrà comunicare all'Autorità di controllo. Il documento, che integra quanto già stabilito dalle Linee Guida adottate dal Gruppo di Lavoro delle Autorità di Controllo Europee "ex art. 29", si pone l'obiettivo di identificare i soggetti che potranno essere designati dal titolare per assolvere le funzioni proprie del DPO e definirne i compiti. Viene identificato il grado di professionalità ritenuto adeguato alla complessità del compito, le risorse personali, i locali e le attrezzature di cui il DPO deve disporre per potere assolvere correttamente alle proprie funzioni, nonché le garanzie di indipendenza ed autonomia che devono essere adeguate al contesto nel quale dovrà operare. Il Garante individua, anche attraverso alcune esemplificazioni, i titolari che sono tenuti alla designazione del Responsabile della protezione dei dati, qualora il trattamento effettuato richieda il "monitoraggio regolare e sistematico degli interessati su larga scala" o consista in "trattamenti su larga scala di categorie particolari di dati personali o di dati relativi a condanne penali e a reati". Le risposte ai quesiti frequenti riportano, tra l'altro, un elenco esemplificativo e non esaustivo di soggetti che sono tenuti alla nomina del DPO, quali:
  • società che forniscono servizi informatici;
  • società operanti nel settore della cura della salute, della prevenzione/diagnostica sanitaria (quali ospedali privati, laboratori di analisi mediche e centri di riabilitazione);
  • imprese di somministrazione di lavoro e ricerca del personale;
  • società di recupero crediti e di informazione creditizia;
  • istituti di vigilanza;
  • istituti di credito e imprese assicurative;
  • società finanziarie;
  • società di informazioni commerciali;
  • società di revisione contabile e società di recupero crediti;
  • società operanti nel settore delle "utilities" (telecomunicazioni, distribuzione di energia elettrica o gas);
  • società di call center.
 Vengono identificati anche trattamenti che non comportano la nomina del DPO, nonostante sia raccomandata, quali ad esempio  imprese individuali o familiari, piccole e medie imprese, con riferimento ai trattamenti dei dati personali connessi alla gestione corrente dei rapporti con fornitori e dipendenti. L'autorità Garante ribadisce come il ruolo di DPO possa essere ricoperto da una figura che abbia un'approfondita conoscenza della normativa e delle prassi in tema di privacy, ma del quale non sono richieste specifiche attestazioni formali o l'iscrizione ad albi professionali. I dati di contatto del responsabile designato dovranno essere comunicati all'Autorità utilizzando il modello che segue:http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/7322292 Tale figura può fare parte del personale dipendente del titolare o del responsabile del trattamento (non in conflitto di interessi) ovvero un soggetto esterno. Il Garante precisa che "il titolare o il responsabile del trattamento che abbia designato un DPO resta comunque responsabile dell'osservanza della normativa in materia di protezione dei dati e deve essere in grado di dimostrarla".
Il DPO individuato all'interno dell'impresa, deve essere nominato mediante uno specifico atto di designazione, avente forma scritta e in cui siano indicati espressamente i compiti attribuiti, le risorse assegnate per il loro svolgimento, nonché ogni altra utile informazione in rapporto al contesto di riferimento. Per evitare possibili conflitti di interesse, Il Garante suggerisce di non assegnare il ruolo di DPO a soggetti con incarichi di alta direzione (amministratore delegato, membro del consiglio di amministrazione; direttore generale, etc.) ovvero nell'ambito di strutture/uffici che hanno potere decisionale sulle finalità e le modalità del trattamento (direzione risorse umane, direzione marketing, direzione finanziaria, responsabile IT, etc.). Il DPO individuato all'esterno dell'impresa, potrà essere anche una persona giuridica, ai sensi del punto 2.4 delle Linee Guida. Tuttavia, Il Garante raccomanda di procedere a una chiara ripartizione di competenze, individuando una sola persona fisica che possa svolgere la funzione di contatto con gli interessati e l'Autorità di controllo. Fonte: CONFINDUSTRIA