Data Protection Officer (DPOData Protection Officer Figura introdotta dal Regolamento generale sulla protezione dei dati 2016/679, è un professionista con conoscenze specialistiche della normativa e delle prassi in materia di protezione dati. Viene designato obbligatoriamente quando: • un trattamento è effettuato da un'autorità pubblica o da un organismo pubblico (ad eccetto delle autorità giurisdizionali nell'esercizio delle loro funzioni); • i trattamenti consistono e richiedono il monitoraggio regolare e sistematico degli interessati su larga scala; • quando il trattamento riguarda, su larga scala, dati...) (in italiano Responsabile Protezione Dati (RPD)): ecco la nuova figura professionale introdotta dal Regolamento 2016/679 che molti titolari del trattamento dovranno individuare e nominare all’interno o all’esterno della propria struttura organizzativa.
Chi può assumere il ruolo di DPOData Protection Officer Figura introdotta dal Regolamento generale sulla protezione dei dati 2016/679, è un professionista con conoscenze specialistiche della normativa e delle prassi in materia di protezione dati. Viene designato obbligatoriamente quando: • un trattamento è effettuato da un'autorità pubblica o da un organismo pubblico (ad eccetto delle autorità giurisdizionali nell'esercizio delle loro funzioni); • i trattamenti consistono e richiedono il monitoraggio regolare e sistematico degli interessati su larga scala; • quando il trattamento riguarda, su larga scala, dati...? Quale formazione deve avere?
Il DPOData Protection Officer Figura introdotta dal Regolamento generale sulla protezione dei dati 2016/679, è un professionista con conoscenze specialistiche della normativa e delle prassi in materia di protezione dati. Viene designato obbligatoriamente quando: • un trattamento è effettuato da un'autorità pubblica o da un organismo pubblico (ad eccetto delle autorità giurisdizionali nell'esercizio delle loro funzioni); • i trattamenti consistono e richiedono il monitoraggio regolare e sistematico degli interessati su larga scala; • quando il trattamento riguarda, su larga scala, dati... può essere un dipendente dell’azienda o un soggetto esterno: un avvocato, un ingegnere o comunque un soggetto dotato di idonee competenze.
L’articolo 37 non specifica le qualità professionali da valutare nella nomina di un RPD. Sono certamente indispensabili la conoscenza della normativa in materia di protezione dei dati e del RGPD.
E, come se il Regolamento Europeo non richiedesse già conoscenze specialistiche e capacità sufficientemente elevate al soggetto che deve rivestire il ruolo di DPOData Protection Officer Figura introdotta dal Regolamento generale sulla protezione dei dati 2016/679, è un professionista con conoscenze specialistiche della normativa e delle prassi in materia di protezione dati. Viene designato obbligatoriamente quando: • un trattamento è effettuato da un'autorità pubblica o da un organismo pubblico (ad eccetto delle autorità giurisdizionali nell'esercizio delle loro funzioni); • i trattamenti consistono e richiedono il monitoraggio regolare e sistematico degli interessati su larga scala; • quando il trattamento riguarda, su larga scala, dati..., la Norma UNI 11697:2017 ha prospettato un percorso formativo di ben 80 ore.
La norma UNI ha carattere volontario e non prescrittivo come lo è invece il Regolamento UE, per cui si ribadisce che non è assolutamente obbligatorio questo percorso formativo per svolgere il ruolo di DPOData Protection Officer Figura introdotta dal Regolamento generale sulla protezione dei dati 2016/679, è un professionista con conoscenze specialistiche della normativa e delle prassi in materia di protezione dati. Viene designato obbligatoriamente quando: • un trattamento è effettuato da un'autorità pubblica o da un organismo pubblico (ad eccetto delle autorità giurisdizionali nell'esercizio delle loro funzioni); • i trattamenti consistono e richiedono il monitoraggio regolare e sistematico degli interessati su larga scala; • quando il trattamento riguarda, su larga scala, dati....
Bisogna essere iscritti ad un albo?
Per diventare DPOData Protection Officer Figura introdotta dal Regolamento generale sulla protezione dei dati 2016/679, è un professionista con conoscenze specialistiche della normativa e delle prassi in materia di protezione dati. Viene designato obbligatoriamente quando: • un trattamento è effettuato da un'autorità pubblica o da un organismo pubblico (ad eccetto delle autorità giurisdizionali nell'esercizio delle loro funzioni); • i trattamenti consistono e richiedono il monitoraggio regolare e sistematico degli interessati su larga scala; • quando il trattamento riguarda, su larga scala, dati... non è necessario avere un titolo particolare oppure essere iscritti ad un albo; bisogna però essere in grado di dimostrare la conoscenza della normativa e di avere esperienza pregressa nel campo “privacy”.
Il Titolare del trattamento deve essere in grado di dimostrare di aver scelto un soggetto adeguato a ricoprire il ruolo. Pertanto, la qualifica professionale del soggetto incaricato, la partecipazione a corsi di formazione sono criteri che si consiglia di tenere in considerazione nella scelta di un DPOData Protection Officer Figura introdotta dal Regolamento generale sulla protezione dei dati 2016/679, è un professionista con conoscenze specialistiche della normativa e delle prassi in materia di protezione dati. Viene designato obbligatoriamente quando: • un trattamento è effettuato da un'autorità pubblica o da un organismo pubblico (ad eccetto delle autorità giurisdizionali nell'esercizio delle loro funzioni); • i trattamenti consistono e richiedono il monitoraggio regolare e sistematico degli interessati su larga scala; • quando il trattamento riguarda, su larga scala, dati....
Oltre alle attestazioni e qualifiche in possesso del tecnico, è fondamentale la conoscenza dello specifico settore di attività e della struttura organizzativa del titolare; inoltre il RPD dovrebbe avere sufficiente familiarità con le operazioni di trattamento svolte nonché con i sistemi informativi e le esigenze di sicurezza e protezione dati dell’organizzazione.
È sempre obbligatorio nominare un RPD?
In base all’articolo 37 del RGPD, la nomina di un RPD è obbligatoria in tre casi specifici:
- se il trattamento è svolto da un’autorità pubblica o da un organismo pubblico, con l’eccezione delle autorità giudiziarie nell’esercizio delle funzioni giurisdizionali
- se le attività principali del titolare o del responsabile consistono in trattamenti che richiedono il monitoraggio regolare e sistematico di interessati su larga scala
- se le attività principali del titolare o del responsabile consistono nel trattamento su larga scalaQuando un’attività è su larga scala? Il concetto di “larga scala” è del tutto generico per cui, anche se il Regolamento fornisce alcune indicazioni, restano molteplici zone grigie di cui probabilmente avremo chiarimenti quando le attività saranno a regime. In linea di massima si intende per trattamenti su larga scala la gestione di una notevole quantità di dati personali a livello regionale, nazionale o sovranazionale e che potrebbero incidere su un vasto numero di interessati e che potenzialmente presentano un... di categorie particolari di dati (dati personali che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni filosofiche o religiose, o l’appartenenza sindacale, oltre al trattamento di dati genetici, dati biometrici al fine dell’identificazione univoca di una persona fisica, e di dati relativi alla salute, alla vita sessuale o all’orientamento sessuale di una persona fisica) o di dati personali relativi a condanne penali e reati.
Come posso individuare le attività su larga scala?
Il concetto di larga scala è del tutto generico per cui, anche se il Regolamento fornisce alcune indicazioni, restano molteplici zone grigie di cui probabilmente avremo chiarimenti quando le attività saranno a regime.
In linea di massima per trattamenti su larga scala si intende la gestione di una notevole quantità di dati personali a livello regionale, nazionale o sovranazionale che potrebbero incidere su un vasto numero di interessati e che potenzialmente presentano un rischio elevato. Esiste, però, un’ampia zona “di attenzione” in cui si collocano attività per cui risulta impossibile precisare la quantità di dati oggetto di trattamento o il numero di interessati.
Ad ogni modo, nel definire i propri trattamenti ed i relativi campi di azione è buona norma considerare:
- il numero di soggetti interessati dal trattamento rispetto alla popolazione di riferimento
- il volume dei dati e/o le diverse tipologie di dati oggetto di trattamento
- la durata dell’attività di trattamento
- l’estensione geografica dell’attività di trattamento.
Di sicuro rientrano nei trattamenti su larga scala le attività di trattamento di:
Dati relativi a pazienti, svolte da un ospedale
nell’ambito delle ordinarie attività
Dati relativi agli spostamenti di utenti di un servizio di trasporto pubblico cittadino
(per esempio il loro tracciamento attraverso titoli di viaggio)
Dati di geolocalizzazione
raccolti in tempo reale per finalità statistiche da un responsabile specializzato nella prestazione di servizi di questo tipo rispetto ai clienti di una catena internazionale di fast food
Dati personali da parte di un motore di ricerca
per finalità di pubblicità comportamentale
Metadati, contenuti, ubicazione da parte di fornitori di servizi telefonici o telematici
Quali attività sono da intendersi regolari e sistematiche?
Rientrano ad esempio in questa accezione tutte le forme di tracciamento e profilazioneSi definisce profilazione qualsiasi forma di trattamento automatizzato di dati personali consistente nell’utilizzo di tali dati personali per valutare determinati aspetti personali relativi a una persona fisica, in particolare per analizzare o prevedere aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze personali, gli interessi, l’affidabilità, il comportamento, l’ubicazione o gli spostamenti di detta persona fisica. per finalità di pubblicità comportamentale, in particolare per analizzare o prevedere le preferenze ed i comportamenti degli interessati.
Un’attività è REGOLARE se avviene in modo continuo ovvero a intervalli definiti per un arco di tempo definito.
È SISTEMATICA se ha luogo nell’ambito di un progetto complessivo di raccolta di dati, predeterminata, organizzata e periodica.
Ma il DPO è la sola figura centrale del nuovo sistema privacy?
Assolutamente NO! Attorno al DPOData Protection Officer Figura introdotta dal Regolamento generale sulla protezione dei dati 2016/679, è un professionista con conoscenze specialistiche della normativa e delle prassi in materia di protezione dati. Viene designato obbligatoriamente quando: • un trattamento è effettuato da un'autorità pubblica o da un organismo pubblico (ad eccetto delle autorità giurisdizionali nell'esercizio delle loro funzioni); • i trattamenti consistono e richiedono il monitoraggio regolare e sistematico degli interessati su larga scala; • quando il trattamento riguarda, su larga scala, dati... è importante individuare altre figure in staff che garantiscano la piena conoscenza delle attività e delle modalità di trattamento dei dati personali di un’organizzazione.
Mettere in piedi un vero e proprio sistema di gestione della protezione dei dati è la scelta vincente per dimostrare di essere compliance al nuovo Regolamento.
In quest’ottica, Blumatica ha implementato un innovativo sistema di gestione, Blumatica GDPR, che permette di adeguare qualunque tipo di Organizzazione ai nuovi requisiti privacy, rivolgendosi sia al consulente che presta il proprio servizio ad un numero indefinito di aziende sia alla grande Organizzazione che intende gestire all’interno il trattamento dati.
Partendo da una check list di autovalutazione che consente di individuare tutte le operazioni allinearsi ai nuovi requisiti normativi, è possibile elaborare tutta la documentazione obbligatoria e, soprattutto, analizzare le attività di trattamento dati usufruendo dell’unica metodologia oggettiva per la DPIAData Protection Impact Assessment La DPIA è un processo che deve essere condotto dal titolare e/o dal responsabile, consultando il DPO, per eseguire una valutazione delle attività di trattamento a rischio elevato a valle della quale, eventualmente, si rende necessario richiedere un parere del Garante per la Protezione dei Dati Personali., Data Protection Impact Assessment.