Responsabile Protezione Dati (RPD): chi non può farne a meno?

bg-1280x667.jpg
Quali sono le qualità professionali da valutare nella nomina di un RPD? Sono certamente indispensabili la conoscenza della normativa in materia di protezione dei dati e del RGPD...

Data Protection Officer (DPO) (in italiano Responsabile Protezione Dati (RPD)): ecco la nuova figura professionale introdotta dal Regolamento 2016/679 che molti titolari del trattamento dovranno individuare e nominare all’interno o all’esterno della propria struttura organizzativa.

Chi può assumere il ruolo di DPO? Quale formazione deve avere?

DPO

Il DPO può essere un dipendente dell’azienda o un soggetto esterno: un avvocato, un ingegnere o comunque un soggetto dotato di idonee competenze.

L’articolo 37 non specifica le qualità professionali da valutare nella nomina di un RPD. Sono certamente indispensabili la conoscenza della normativa in materia di protezione dei dati e del RGPD.

E, come se il Regolamento Europeo non richiedesse già conoscenze specialistiche e capacità sufficientemente elevate al soggetto che deve rivestire il ruolo di DPO, la Norma UNI 11697:2017 ha prospettato un percorso formativo di ben 80 ore.

La norma UNI ha carattere volontario e non prescrittivo come lo è invece il Regolamento UE, per cui si ribadisce che non è assolutamente obbligatorio questo percorso formativo per svolgere il ruolo di DPO.

 

Bisogna essere iscritti ad un albo?

Per diventare DPO non è necessario avere un titolo particolare oppure essere iscritti ad un albo; bisogna però essere in grado di dimostrare la conoscenza della normativa e di avere esperienza pregressa nel campo “privacy”.

Il Titolare del trattamento deve essere in grado di dimostrare di aver scelto un soggetto adeguato a ricoprire il ruolo. Pertanto, la qualifica professionale del soggetto incaricato, la partecipazione a corsi di formazione sono criteri che si consiglia di tenere in considerazione nella scelta di un DPO.

Oltre alle attestazioni e qualifiche in possesso del tecnico, è fondamentale la conoscenza dello specifico settore di attività e della struttura organizzativa del titolare; inoltre il RPD dovrebbe avere sufficiente familiarità con le operazioni di trattamento svolte nonché con i sistemi informativi e le esigenze di sicurezza e protezione dati dell’organizzazione.

È sempre obbligatorio nominare un RPD?

In base all’articolo 37 del RGPD, la nomina di un RPD è obbligatoria in tre casi specifici:

  • se il trattamento è svolto da un’autorità pubblica o da un organismo pubblico, con l’eccezione delle autorità giudiziarie nell’esercizio delle funzioni giurisdizionali
  • se le attività principali del titolare o del responsabile consistono in trattamenti che richiedono il monitoraggio regolare e sistematico di interessati su larga scala
  • se le attività principali del titolare o del responsabile consistono nel trattamento su larga scala di categorie particolari di dati (dati personali che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni filosofiche o religiose, o l’appartenenza sindacale, oltre al trattamento di dati genetici, dati biometrici al fine dell’identificazione univoca di una persona fisica, e di dati relativi alla salute, alla vita sessuale o all’orientamento sessuale di una persona fisica) o di dati personali relativi a condanne penali e reati.

 

Come posso individuare le attività su larga scala?

Il concetto di larga scala è del tutto generico per cui, anche se il Regolamento fornisce alcune indicazioni, restano molteplici zone grigie di cui probabilmente avremo chiarimenti quando le attività saranno a regime.

In linea di massima per trattamenti su larga scala si intende la gestione di una notevole quantità di dati personali a livello regionale, nazionale o sovranazionale che potrebbero incidere su un vasto numero di interessati e che potenzialmente presentano un rischio elevato. Esiste, però, un’ampia zona “di attenzione” in cui si collocano attività per cui risulta impossibile precisare la quantità di dati oggetto di trattamento o il numero di interessati.

Ad ogni modo, nel definire i propri trattamenti ed i relativi campi di azione è buona norma considerare:

  • il numero di soggetti interessati dal trattamento rispetto alla popolazione di riferimento
  • il volume dei dati e/o le diverse tipologie di dati oggetto di trattamento
  • la durata dell'attività di trattamento
  • l’estensione geografica dell'attività di trattamento.

 

Di sicuro rientrano nei trattamenti su larga scala le attività di trattamento di:


Dati relativi a pazienti, svolte da un ospedale

nell’ambito delle ordinarie attività

servizio di trasporto pubblico cittadino


Dati relativi agli spostamenti di utenti di un servizio di trasporto pubblico cittadino

(per esempio il loro tracciamento attraverso titoli di viaggio)

fast food


Dati di geolocalizzazione

raccolti in tempo reale per finalità statistiche da un responsabile specializzato nella prestazione di servizi di questo tipo rispetto ai clienti di una catena internazionale di fast food

Trattamenti su larga scala


Dati relativi alla clientela da parte di una compagnia assicurativa o di una banca

nell’ambito delle ordinarie attività

Motori di ricerca


Dati personali da parte di un motore di ricerca

per finalità di pubblicità comportamentale

DPO


Metadati, contenuti, ubicazione da parte di fornitori di servizi telefonici o telematici

Quali attività sono da intendersi regolari e sistematiche?

Rientrano ad esempio in questa accezione tutte le forme di tracciamento e profilazione per finalità di pubblicità comportamentale, in particolare per analizzare o prevedere le preferenze ed i comportamenti degli interessati.

Un’attività è REGOLARE se avviene in modo continuo ovvero a intervalli definiti per un arco di tempo definito.

È SISTEMATICA se ha luogo nell’ambito di un progetto complessivo di raccolta di dati, predeterminata, organizzata e periodica.

Ma il DPO è la sola figura centrale del nuovo sistema privacy?

Assolutamente NO! Attorno al DPO è importante individuare altre figure in staff che garantiscano la piena conoscenza delle attività e delle modalità di trattamento dei dati personali di un’organizzazione.

Mettere in piedi un vero e proprio sistema di gestione della protezione dei dati è la scelta vincente per dimostrare di essere compliance al nuovo Regolamento.

 

In quest’ottica, Blumatica ha implementato un innovativo sistema di gestione, Blumatica GDPR, che permette di adeguare qualunque tipo di Organizzazione ai nuovi requisiti privacy, rivolgendosi sia al consulente che presta il proprio servizio ad un numero indefinito di aziende sia alla grande Organizzazione che intende gestire all’interno il trattamento dati.

Partendo da una check list di autovalutazione che consente di individuare tutte le operazioni allinearsi ai nuovi requisiti normativi, è possibile elaborare tutta la documentazione obbligatoria e, soprattutto, analizzare le attività di trattamento dati usufruendo dell’unica metodologia oggettiva per la DPIA, Data Protection Impact Assessment.

 

Francesca De Santis

Francesca De Santis

Responsabile tecnico presso Blumatica S.r.l.