News‎ > ‎

Il WP29 getta luce sul DPO

pubblicato 18 dic 2016, 14:42 da Paolo Calvi   [ aggiornato in data 3 gen 2017, 13:47 ]

Il WP29 ha adottato il 13 dicembre una linea guida dedicata al ruolo del DPO.

Non si tratta ovviamente di nuove normative ma di interpretazioni, esempi e best practices, estremamente opportune in quanto (come dichiarato dal WP29 Stesso) Il GDPR contiene diverse ambiguità.

        1. INTRO

WP29 incoraggia l’adozione del DPO anche dove non è obbligatorio, lo definisce un elemento fondamentale nel processo di compliance ed un intermediario fondamentale verso diversi interlocutori [come dire: se ti mando un’ispezione mi aspetto di parlare con un DPO; se non c’è, cominciamo male…].

Il DPO non è una novità per molti paesi [come dire: se volete capire cos’è e come funziona, guardate alla Germania].

 

2. DESIGNAZIONE

Designazione obbligatoria 

[NB: Sulle regole di obbligatorietà della nomina, a mio parere prevarranno norme nazionali].

Se l’azienda decide di non designare un DPO deve dimostrare di avere esaminato la questione e documentare le motivazioni che hanno condotto alla decisione.

La designazione obbligatoria per enti pubblici non si estende alle aziende private che erogano servizi pubblici (energia, trasporti ecc.) ma è caldamente raccomandata.

Le “attività principali” vanno intese in senso lato: la AP di un ospedale è la sanità, che però non può essere erogata senza un massiccio trattamento dati, quindi scatta obbligo DPO.

Il “trattamento su larga scala” non è definito quantitativamente ma vanno tenuti in considerazione alcuni aspetti quantitativi: numero degli interessati, percentuale della popolazione, durata/permanenza, estensione geografica.

Il “monitoraggio regolare e sistematico” non è definito, include essenzialmente la profilazione online (ma non solo).

 

Caratteristiche Sulle caratteristiche professionali della figura si dicono solo cose scontate tipo che “maggiore è la complessità del trattamento, maggiori dovranno essere le competenze e l’esperienza del DPO”.

 

Outsourcing Interessante invece l’attesa precisazione sulla possibilità di nominare DPO non solo una persona (interna o esterna) ma anche un’entità esterna: “La funzione del DPO può essere esercitata anche sulla base di un contratto di servizio stipulato con un individuo o di un organizzazione al di fuori dell’organizzazione del Titolare o del Responsabile”; tanto e vero che non sarà indispensabile indicare il nome di una persona fra i riferimenti di contatto da rendere pubblici: “I dati di contatto del DPO dovrebbero includere informazioni che consentano alle persone interessate e alle autorità di controllo di raggiungere il DPO in modo semplice (un indirizzo postale, un numero di telefono dedicato e un indirizzo di posta elettronica dedicato)”.

 

3. POSIZIONE

Sulla questione se il DPO sia responsabile in prima persona dell’implementazione della privacy in azienda (coincidendo quindi con il Privacy Officer o il Compliance Manager) o se sia invece una figura di controllo (necessariamente distinta dalle precedenti, per evitare di controllare sé stesso) sembrerebbe che il WP29 prenda posizione a favore della seconda ipotesi. Già nell’introduzione si legge infatti “i DPO non sono personalmente responsabili in caso di mancato rispetto del GDPR […]. è il Titolare o il Responsabile che è tenuto a garantire ed essere in grado di dimostrare che il trattamento viene eseguito in conformità con le sue disposizioni “.

 

Quanto alla posizione, si legge che il DPO dovrà essere “coinvolto” su tutte le questioni che si riferiscono alla protezione dei dati: se ne deduce che sarà coinvolto in attività in carico ad altre figure. Per lo svolgimento di Valutazioni di Impatto sulla Protezione dei Dati, “il GDPR prevede esplicitamente il precoce coinvolgimento del DPO e specifica che il Titolare deve chiedere il parere del DPO nello svolgimento di tali valutazioni d’impatto”: siamo di nuovo al “coinvolgimento” ed alla richiesta di un “parere”. Per facilitare la conformità al GDPR bisognerà “informare e consultare” il DPO. Nel caso l’organizzazione decida di non seguire le raccomandazioni del DPO, si raccomanda di documentare le ragioni del disaccordo; ne discende che il DPO è visto in qualche modo come terzo rispetto all’azienda, in quanto difficilmente potrebbe essere in disaccordo con sé stesso… Nel paragrafo sull’autonomia del DPO, si stabilisce poi che “il Titolare o il Responsabile rimane responsabile per il rispetto della normativa sulla protezione dei dati e deve essere in grado di dimostrare la conformità. Se il Titolare o il Responsabile prende decisioni che sono incompatibili con il GDPR e il consiglio del DPO, al DPO dovrebbe essere data la possibilità di chiarire la propria opinione dissenziente a quelli che prendono le decisioni”. Sembrerebbe che il DPO esprima solo un parere ma le decisioni le prendano altri, quindi saremmo di fronte ad una figura di controllo, priva di responsabilità esecutive.

 

Va tuttavia rimarcato che nel paragrafo sul conflitto di interesse, elencando (a titolo di esempio) le figure incompatibili col ruolo, si citano “amministratore delegato, direttore generale, direttore finanziario, direttore sanitario, direttore marketing, risorse umane e IT” e altre figure non apicali, se tali posizioni portano alla determinazione delle finalità e modalità del trattamento: dalla lista sono assenti Privacy Officer o Compliance Manager, che quindi potrebbero apparire figure non incompatibili con il DPO in quanto non determinano finalità e modalità del trattamento.

 

4. COMPITI

Venendo ai compiti, torniamo esplicitamente ad un “controllo del rispetto del GDPR”, azione nel corso della quale il DPO può raccogliere dati, analizzare la compliance e infine “informare, consigliare e formulare raccomandazioni al Titolare o al Responsabile”. Qui la posizione del WP29 si fa perentoria: “Il controllo della conformità non significa che sia il DPO che è personalmente responsabile nel momento in cui vi è un caso di non conformità. Il GDPR rende chiaro che è il Titolare, non il DPO, che è tenuto ad ‘attuare misure tecniche e organizzative per garantire e per essere in grado di dimostrare che il trattamento viene eseguito in conformità del presente regolamento’. Il rispetto della protezione dei dati è una responsabilità aziendale del Titolare del trattamento, non del DPO “.

Analogo approccio è tenuto riguardo al ruolo del DPO nei confronti dello svolgimento di Valutazioni di Impatto sulla Protezione dei Dati. Più sfumata invece la posizione riguardo alla tenuta del Registro dei Trattamenti: pur ribadendo che la responsabilità di questo adempimento è in carico al Titolare o al Responsabile e non al DPO, si riconosce che di fatto sarà lui a tenere il registro “come uno degli strumenti che permettono al DPO di svolgere i suoi compiti di controllo della conformità “.

Interessante infine il cenno alla prioritizzazione delle azioni in base ad un approccio risk-based: come mi è capitato di rispondere nel corso di una lezione alla domanda di uno studente “ma come faccio a fare tutto subito?”, si suggerisce di definire un piano di azione che attribuisca priorità alla messa in compliance dei trattamenti che presentano maggiori rischi per la protezione dei dati “tenendo conto della natura, la portata, il contesto e le finalità del trattamento”. Il WP29 lascia intendere che un approccio selettivo e pragmatico consentirà alle aziende di raggiungere buoni risultati in termini di accountability.

e qui le FAQ (che non aggiungono molto) WP243 ANNEX - FREQUENTLY ASKED QUESTIONS

Comments