responsabile della protezione dei dati
Download
Report
Transcript responsabile della protezione dei dati
Adottato il 13 Dicembere 2016
Gruppo di lavoro ex articolo 29 - European Data Protection Supervisor 16/EN(IT) WP 243
Tradotto da Fabio Zanoli
Revisione di SF
V 2.0
Orientamenti in materia di Data Protection Officers ('DPOs')
[responsabile
della protezione dei dati]
Questo gruppo di lavoro è stato istituito ai sensi dell'articolo 29 della direttiva 95/46 / CE. Si tratta di un organo consultivo europeo indipendente sui dati la
protezione e la privacy. I suoi compiti sono fissati all'articolo 30 della direttiva 95/46 / CE e all'articolo 15 della direttiva 2002/58 / CE.
La segreteria è fornita dalla direzione C (Diritti fondamentali e stato di diritto) della Commissione europea, Direzione Generale Giustizia e consumatori,
B-1049 Bruxelles, Belgio, Ufficio MO59 27/02
Website: http://ec.europa.eu/justice/data-protection/index_en.htm
Il GRUPPO DI LAVORO PER LA TUTELA DELLE PERSONE CON RIFERIMENTO AL IL TRATTAMENTO
DEI DATI PERSONALI
L’istituito dalla direttiva 95/46 / CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995, visti gli articoli 29 e 30,
visto il proprio regolamento
HA ADOTTATO LE PRESENTI LINEE GUIDA
2
INDICE
1 INTRODUZIONE …......................................................................................................................................................... 4
2 DESIGNAZIONE DEL DPO ........................................................................................................................................... 5
2.1. DESIGNAZIONE OBBLIGATORIA ............................................................................................................................. 5
2.1.1 ‘Amministrazione o Istituzione Pubblica..................................................................................................... 6
2.1.2 ‘Attività Principali'....................................................................................................................................... 6
2.1.3 'Larga Scala' ............................................................................................................................................. 7
2.1.4 'Sistematico e regolare monitoraggio'....................................................................................................... 8
2.1.5 ‘Categorie speciali di dati e dati relativi ai reati e alle condanne penali ……............................................ 9
2.2. DPO E RESPONSABILE DEL TRATTAMENTO................................................................................................................... 9
2.3. ' FACILMENTE ACCESSIBILE DA OGNI ISTANZA'.............................................................................................................. 10
2.4. CONOSCENZE E COMPETENZE DEL DPO .......................................................................................................................10
2.5. PUBBLICAZIONE E COMUNICAZIONE DEI DATI DI CONTATTO DEL DPO.............................................................................. 12
3 POSIZIONE DEL DPO ................................................................................................................................................. 13
3.1. COINVOLGIMENTO DEL DPO IN TUTTE LE QUESTIONI RELATIVE ALLA PROTEZIONE DEI DATI PERSONALI........................... 13
3.2. RISORSE NECESSARIE................................................................................................................................................. 13
3.3. INSTRUCTIONS AND 'AGIRE IN MODO INDIPENDENTE’..................................................................................................... 14
3.4. DESTITUZIONE O PENE NELL’ ATTIVITÀ DI DPO................................................................................................................ 15
3.5. CONFLITTO D’INTERESSI............................................................................................................................................... 15
COMPITI DEL DPO...................................................................................................................................................... 16
4.1. CONTROLLO DI CONFORMITÀ RISPETTO AL GDPR......................................................................................................... 16
4.2. Il RUOLO Del DPO NELLA VALUTAZIONE DI IMPATTO DELLA PROTEZIONE DEI DATI............................................................. 16
4.3. APPROCCIO BASATO SUL RISCHIO................................................................................................................................. 17
4.4. IL RUOLO DEL DPO RELATIVAMENTE ALLA TENUTA DEI REGISTRI..................................................................................... 18
3
1 Introduzione
Il Regolamento Generale per la protezione dei dati ('GDPR')1, che entrerà in vigore il 25 maggio 2018, fornirà un quadro di
conformità modernizzato, basato sulla responsabilità per la protezione dei dati in Europa. I Data Protection Officers (' i DPO )
saranno al centro di questo nuovo quadro giuridico per molte organizzazioni, facilitando la conformità con le disposizioni
del GDPR.
All’interno del GDPR, è obbligatorio per alcune organizzazioni designare un DPO 2. Questo dovrà avvenire per tutte le
pubbliche istituzioni e amministrazioni (a prescindere dai dati trattati) e per le altre organizzazioni che – come attività
principale – abbiano il monitoraggio sistematico e/o su larga scala di individui o trattino speciali categorie di dati personali su
larga scala.
Anche quando il GDPR non richieda specificatamente la nomina di un DPO, le organizzazioni possono trovare utile
designare un DPO su base volontaria. L’articolo 29 Gruppo di lavoro sulla protezione dei dati ('WP29') incoraggia queste
iniziative volontarie.
Il concetto di DPO non è nuovo. Anche se la direttiva 95/46/CE 3 non richiedeva ad alcuna organizzazione di nominare un
DPO, la pratica di nominarli si è tuttavia sviluppata in vari Stati membri, nel corso degli anni.
Prima dell’adozione del GDPR, il WP29 sosteneva che il DPO è una pietra miliare della responsabilità di rendicontazione e
che la nomina di un DPO può facilitare la conformità normativa e inoltre diventa un vantaggio competitivo per le imprese4.
Oltre a facilitare il rispetto della conformità normativa attraverso l'implementazione di strumenti per la responsabilità di
rendicontazione (ad esempio, agevolare o condurre valutazioni di impatto di protezione dei dati e audits), i DPO agiscono
come intermediari tra le parti interessate (ad es. autorità di supervisione, persone oggetto dell’acquisizione dei dati e unità
operative all'interno di un'organizzazione).
I DPO non sono personalmente responsabili in caso di inosservanza del GDPR. Il GDPR chiarisce che sono il Titolare e
Responsabile del Trattamento che sono richiesti di provare, che il trattamento è effettuato conformemente alle disposizioni
(articolo 24(1)). La conformità riguardo alla protezione dei dati è responsabilità del sovrintendente del trattamento dei dati e di
coloro che li processano.
Il Titolare e Responsabile del Trattamento, inoltre, hanno un ruolo cruciale per un’efficace adempimento dei compiti del DPO.
La nomina un DPO è un primo passo, ma a questi devono anche essere concesse sufficiente autonomia e risorse per poter
svolgere i propri compiti in modo efficace.
_____________________________
1
Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone
fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (OJ
L 119, 4.5.2016).
2 La nomina di un DPO è inoltre obbligatoria per le autorità competenti ai sensi dell'articolo 32 del direttiva (UE) 2016/680
del Parlamento europeo e del Consiglio, del 27 aprile 2016 relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati
personali da parte delle autorità competenti ai fini della prevenzione, indagine, accertamento o repressione di reati o l'esecuzione delle
sanzioni penali, nonché alla libera circolazione circolazione di tali dati e il quadro del Consiglio che abroga la decisione 2008/977/JHA
(OJ L 119, 4.5.2016, p. 89- 131), e la legislazione nazionale di attuazione. Mentre queste linee guida si concentrano su DPO sotto il
PILR, ie la legislazione nazionale di attuazione. Mentre queste linee guida si concentrano sui DPO relativamente al GPRR, l'
orientamento è rilevante anche per quanto riguarda DPO sotto direttiva 2016/680, rispetto alle loro disposizioni analoghe.
3
Direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995 relativa alla tutela delle persone fisiche con
riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati (OJ L 281, 23.11.1995, p. 31).
4
Vedihttp://ec.europa.eu/justice/data-protection/article-29/documentation/other-document/files/2015/20150617_appendix_core_issue
s_plenary_en.pdf
4
Il GDPR riconosce nel DPO una figura chiave nel nuovo sistema di governance del trattamento dati e stabilisce le condizioni
per la nomina, il livello attribuito e i compiti. Lo scopo di queste linee guida è chiarire le disposizioni più importanti nel
GDPR al fine di facilitare il Titolare e Responsabile del Trattamento a conformarsi alla legge, ma anche per aiutare i DPO
nell'espletare il loro compito. Le linee guida consigliano altresì le migliori procedure, basate sulle e esperienze acquisite in
alcuni Stati membri. Il WP29 controllerà l’attuazione di queste procedure e potrà in seguito integrarle con ulteriori dettagli
secondo necessità.
2
Nomina del DPO
2.1. Nomina Obbligatoria
L’ Articolo 37(1) del GDPR richiede la nomina di un DPO in tre casi specifici 5:
a) se il trattamento dati è effettuato da un'autorità o organismo pubblico; 6
b) se le attività principali del Titolare e Responsabile del Trattamento consistono in trattamenti che richiedono il
monitoraggio regolare e sistematico di soggetti su larga scala; o
c) se le attività principali del Titolare e Responsabile del Trattamento consistono nel trattamento su
larga scala di particolari categorie di dati7 o8 di dati personali relativi a condanne e a reati penali 9
Nelle sottosezioni che seguono, il WP29 fornisce indicazioni per quanto riguarda i criteri e la terminologia utilizzati
nell'articolo 37(1).
A meno che non sia ovvio che un'organizzazione non sia tenuta a nominare un DPO, il WP29 raccomanda che Titolare e
Responsabile del Trattamento dati documentino l'analisi interna condotta per determinare o meno la necessità di nominare un
DPO , al fine di essere in grado di dimostrare che tutti gli aspetti rilevanti sono stati presi in considerazione correttamente.10
Quando un'organizzazione designa un DPO su base volontaria, si applicheranno per la sua nomina, il suo livello e i suoi
compiti gli stessi requisiti ai sensi dagli articoli dal 37 al 39, come nel caso di nomina obbligatoria..
Questo non impedisce ad un'organizzazione, che non desideri designare un DPO su base volontaria e non sia legalmente
tenuta a farlo, d'impiegare personale o consulenti esterni con compiti relativi alla protezione dei dati personali. In questo caso
è importante garantire che non vi sia alcuna confusione per quanto riguarda il loro titolo, stato, posizione e compiti. Pertanto si
deve chiarire, in ogni
_______________
5 Si
noti che ai sensi dell'articolo 37, paragrafo 4, leggi dell'Unione o dello Stato membro possono richiedere la designazione di DPO anche
in altre situazioni.
6 Ad eccezione di tribunali che agiscono in veste giudiziaria.
7 Ai
sensi dell'articolo 9 questi includono dati personali che rivelano l'origine di razza o etnica, le opinioni politiche, religiose o
convinzioni filosofiche, o l'appartenenza sindacale e il trattamento dei dati genetici, dati biometrici al fine di identificare in modo univoco
una persona fisica, dati relativi alla salute o dati che riguardano la vita sessuale di una persona fisica o il suo orientamento sessuale.
8 Articolo 37(1)(c) usa la parola «e». Vedere sezione 2.1.5 qui sotto per la spiegazione sull'uso di 'o' invece di “e”
9 Articolo 10.
10 Vedi Articolo 24(1).
5
comunicazione all'interno dell'azienda, nonché con le autorità di protezione dei dati, soggetti interessati e il pubblico in
generale, che lo status di questa persona o consulente non è quello di 'DPO’ 11
2.1.1 ' AMMINISTRAZIONE O ISTITUZIONE PUBBLICA’
Il GDPR non definisce cosa siano una 'amministrazione o un’Istituzione pubblica'. Il WP29 ritiene che tale nozione debba
essere determinata ai sensi del diritto nazionale. Di conseguenza, le amministrazioni o le Istituzioni Pubbliche comprendono le
autorità nazionali, regionali e locali, ma il concetto, ai sensi delle apposite leggi nazionali, tipicamente include una serie di
altri organismi di diritto pubblico12. In tali casi, l'indicazione di un DPO è obbligatorio.
Un' attività di pubblica utilità può essere condotta e una funzione pubblica possono essere esercitate non solo dalle autorità
pubbliche, ma anche da persone fisiche o giuridiche di diritto pubblico o privato, in settori come, secondo il regolamento
nazionale di ciascuno Stato membro, servizi di trasporto pubblico, fornitura di acqua ed energia, infrastrutture stradali,
servizio pubblico di radiodiffusione, edilizia pubblica, o organismi normativi per le professioni regolamentate.
In questi casi, i soggetti ai quali si riferiscono i dati possono trovarsi in una situazione molto simile a quella nella quale i dati
siano trattati da una Amministrazione o un Ente Pubblici. In particolare, i dati possono essere trattati per analoghi scopi e gli
individui spesso hanno poca o nessuna scelta riguardo alla possibilità o ai modi di trattamento dei dati e possono quindi
richiedere la protezione aggiuntiva che può derivare dall'indicazione di un DPO.
Anche se non esiste alcun obbligo in tali casi, il WP29 raccomanda, come una buona pratica, che:
• le organizzazioni private con compiti di pubblica utilità o che esercitano pubblici poteri designino un DPO
E che
• tale attività del DPO dovrebbero coprire anche tutte le operazioni di trattamento effettuate, comprese quelle che
non riguardano l'esecuzione dei compiti di pubblica utilità o l' esercizio di mansioni ufficiali (ad es. la gestione
di un database dei dipendenti).
2.1.2 'ATTIVITÀ PRINCIPALI’
L’Articolo
37(1)(b)
e (c)
del
GDPR
si riferisce alla
'attività principale del Titolare o del Responsabile del
trattamento'.
La Considerazione 97 specifica che le attività principali di un Titolare hanno a che fare con 'attività primarie e non
riguardano il trattamento dei dati personali come attività accessorie '. ‘Attività principali' possono essere considerate come le
operazioni principali necessarie per raggiungere gli obiettivi del titolare o del responsabile.
Tuttavia, le "attività principali" non devono essere interpretate come escludenti delle attività in cui il trattamento dei dati
costituisce una parte integrante dell'attività del Titolare o del Responsabile. Per esempio, l'attività principale di un ospedale è
di fornire assistenza sanitaria. Tuttavia, un ospedale non potrebbe fornire assistenza sanitaria in modo sicuro ed efficace senza
l’elaborazione di dati sanitari, quali le cartelle sanitarie dei pazienti. Pertanto, l'elaborazione di questi
_______________________
11
Questo è anche è rilevante per i chief privacy officers ('CPO's) o altri professionisti della privacy già in attività oggi in
in alcune aziende che non sempre soddisfano i criteri dati dal GDPR, per esempio, in termini di risorse disponibili o garanzie
d'indipendenza, e quindi, non possono essere considerati ed indicati come DPO.
Si veda, ad esempio la definizione di 'ente pubblico e 'organismo disciplinato dal diritto pubblico nell'articolo 2, paragrafo 1) e (2) della
direttiva 2003/98/CE del Parlamento europeo e del Consiglio, del 17 novembre 2003 relativa al riutilizzo dell'informazione del settore
pubblico (GU L 345 del 31.12.2003, pag. 90).
12
13Articlo 6(1)(e).
6
dati dovrebbe essere considerata una delle attività principali dell'ospedale e gli ospedali devono quindi designare i DPO.
Come un altro esempio, una società di sicurezza privata effettua la sorveglianza di un certo numero di centri commerciali
privati e di spazi pubblici. La sorveglianza è l'attività principale dell'azienda, che a sua volta è legata indissolubilmente al
trattamento dei dati personali. Pertanto, questa società dovrà anche designare un DPO.
2.1.3
'LARGA SCALA'
L’Articolo 37(1)(b) e (c) richiede che il trattamento dei dati personali venga effettuato su larga scala perché si dia luogo alla
designazione di un DPO. Il GDPR non definisce, però, cosa si intenda per Larga Scala, sebbene la considerazione 91
fornisca alcuni suggerimenti14
Infatti, non è possibile stabilire un numero preciso sia per quanto riguarda la quantità di dati elaborati che per il numero di
persone interessate, che possa essere applicabile in ogni situazione. Ciò non esclude però la possibilità che nel corso del
tempo, si possa sviluppare una pratica standard, che possa specificare, in termini oggettivi e quantitativi cosa costituisca
'larga scala' per talune tipologie correnti di attività di trattamento dati. Il WP29 intende anche contribuire a questo sviluppo,
mediante la condivisione e divulgazione di esempi delle soglie rilevanti per la designazione di un DPO.
In ogni caso, il WP29 raccomanda di tenere in considerazione particolarmente i seguenti fattori nel determinare se il
trattamento sia effettuato su larga scala:
•
•
•
•
Il numero di persone interessate sia come numero specific o come percentuale di popolazione interessata
Il volume dei dati e/o la gamma dei diversi dati da elaborare
La durata, o la continuità, dell'attività di elaborazione dei dati
L'estensione dell’ambito territoriale dell'attività di elaborazione
14
Secondo la considerazione sono inclusi in modo particolare, "operazioni di trattamento dati su larga scala che mirano a elaborare una
considerevole quantità di dati personali a livello regionale, nazionale o sovranazionale e che possono interessare un grande numero di
soggetti e che possono causare un elevato rischio". D'altra parte, la considerazione stabilisce specificamente che "il trattamento dei dati
personali non dovrebbe essere considerato a larga scala qualora riguardi i dati personali di pazienti di un singolo medico o di altro
professionista della salute o di un avvocato”. È importante considerare che, mentre la considerazione contiene esempi che rappresentano gli
estremi della scala (l’elaborazione da parte di un singolo medico contrapposta al trattamento dei dati di un intero paese o di tutta Europa);
esiste una ampia zona grigia tra questi estremi. Inoltre, occorre ricordare che questa considerazione si riferisce alle valutazioni d'impatto della
protezione dei dati. Ciò implica che alcuni elementi potrebbero essere specifici di un particolare contesto e che non si applicano
necessariamente alla designazione dei DPO nello stesso identico modo.
7
Gli esempi di trattamento su larga scala includono:
•
trattamento dei dati del paziente nel regolare svolgimento delle attività di un ospedale
•
trattamento dei dati di viaggio degli individui che utilizzano il sistema di trasporto pubblico della città (ad es.
monitoraggio per mezzo di carte di viaggio)
•
Trattamento di dati geo-localizzati in tempo reale dei clienti di una catena fast food internazionale a fini
statistici, da parte di una specialista nel fornire questi servizi
•
Trattamento dei dati dei clienti durante il normale svolgimento delle attività di un’assicurazione o di una banca
•
Trattamento o dei dati personali durante la profilazione con un motore di ricerca
•
elaborazione dei dati (contenuto, traffico, localizzazione) effettuata da provider di servizi telefonici o Internet
Esempi che non costituiscono trattamento su larga scala:
•
trattamento dei dati del paziente da parte di un singolo medico
•
trattamento di dati personali relativi a condanne penali e reati da parte di un singolo avvocato
2.1.4 ' MONITORAGGIO REGOLARE E SISTEMATICO '
La nozione di monitoraggio regolare e sistematico dei soggetti interessati dal trattamento dati non è definita nel GDPR, ma il
concetto di "monitoraggio dei comportamenti di un soggetto " è menzionato nella considerazione 2415 e comprende
chiaramente tutte le forme di tracciamento e di profilatura su Internet, anche ai fini della pubblicità comportamentale.
Tuttavia, la nozione di monitoraggio non è limitata all'ambiente online e il monitoraggio online dovrebbe essere considerato
solamente come un esempio di monitoraggio del comportamento dei soggetti al trattamento dati 16
Il WP29 interpreta ’regolare’ come il verificarsi di una o più delle seguenti opzioni:
•
continuativo o ad intervalli definiti per un determinato periodo
•
ricorrente o ripetuto con frequenza prestabilita
•
che si svolge di continuo o con periodicità stabilita
Il WP29 interpreta 'sistematico' come il verificarsi di una o più delle seguenti opzioni:
•
•
•
•
che avviene secondo uno schema definito
prestabilito, organizzato o metodico
che si svolge nell'ambito di un piano generale per la raccolta dei dati
svolto nell'ambito di una strategia
15
'Per stabilire se un’attività di trattamento dati sia assimilabile al controllo dei comportamenti deli soggetti interessati dal trattamento stesso,
è opportuno verificare se le persone fisiche sono tracciate su internet, compreso l'eventuale ricorso successivo a tecniche di trattamento dei
dati personali che consistono nella profilazione della persona fisica, in particolare per adottare decisioni che lo/la riguardano per
analizzarne o prevederne le preferenze, i comportamenti e le posizioni personali.
16 Notare
che la considerazione 24 si concentra sull'applicazione extraterritoriale del GDPR. Inoltre, v’è anche una differenza fra i
termini “monitorare le loro attitudini” (Art 3(2)(b)) e “costante e sistematico monitoraggio di dati individuali” (Art 37 (1)(b)) che
costituiscono due diversi concetti.
8
Esempi: gestione di una rete di telecomunicazioni; servizi di telecomunicazione; servizi di profilatura e-mail ; profilazione
e valutazione per la stima dei rischi (ad esempio per scopi di affidabilità creditizia, determinazione dei premi assicurativi,
prevenzione delle frodi, individuazione di riciclaggio di denaro); sistemi di localizzazione , ad esempio, per mezzo di
applicativi mobili; programmi di fidelizzazione; pubblicità comportamentale; monitoraggio dati relativi a benessere,
fitness e salute tramite dispositivi portatili; televisioni a circuito chiuso; dispositivi collegati ad es. : contatori intelligenti,
smart auto, domotica, ecc.
2.1.5 SPECIALI CATEGORIE DI E DATI RELATIVI A REATI E CONDANNE PENALI
L’Articolo 37(1)(c) affronta il trattamento di particolari categorie di dati ai sensi dell'articolo 9 e dei dati personali relativi a
condanne penali e reati indicati nell'articolo 10. Nonostante venga usata nel testo il termine 'e', non vi è alcun motivo legale
per cui i due criteri si debbano applicare simultaneamente. Nel testo si deve quindi intendere come vi fosse il termine 'o'.
2.2. DPO del responsabile del trattamento
L'articolo 37 si applica sia al Titolare17 che al Responsabile del trattamento18 rispetto alla designazione di un DPO.
A seconda di chi soddisfa i criteri di designazione obbligatoria, in alcuni casi solo il Titolare o solo il Responsabile, in altri
casi, sia il l’uno che l’altro sono tenuti a nominare un DPO (che deve poi collaborare con ambedue gli altri).
È importante sottolineare che anche se il Titolare dei dati adempie ai criteri per la designazione obbligatoria il suo
responsabile del trattamento non è necessariamente obbligato a nominare un DPO. Questo può, tuttavia, essere una buona
prassi.
Esempi:
•
Una piccola azienda familiare attiva nella distribuzione di elettrodomestici in una sola città, utilizza i servizi di un
Responsabile la cui attività principale è quella di fornire servizi di Web Analytics e assistenza con pubblicità mirata
e marketing. Le attività dell'azienda familiare e dei suoi clienti non configurano elaborazione di dati su “larga scala",
considerando il piccolo numero di clienti e le attività relativamente limitate. Tuttavia, con la sua attività il
Responsabile del trattamento dati, che ha molti clienti come questa piccola impresa, prese tutti insieme, sta trattando
dati su larga scala. Il Responsabile di servizi Web deve quindi designare un DPO a norma dell’Articolo 37(1)(b).
Allo stesso tempo, l'azienda di famiglia non è sottoposta l'obbligo di designare un DPO.
•
Una impresa di medie dimensioni per la fabbricazione di piastrelle subappalta i suoi servizi di medicina del lavoro a
un Responsabile esterno, che ha un gran numero di clienti simili. Il Responsabile esterno deve designare un DPO a
norma dell'articolo 37, 37(1)(c), se il trattamento dati si configura su larga scala. Tuttavia, l’impresa manifatturiera
non è necessariamente sottoposta all'obbligo di designare un DPO.
Il Titolare del Trattamento è definito All’Aticolo 4(7) come la persona o l'organo, che determina le finalità e i mezzi del trattamento.
18 Il Responsabile del Trattamento è definito all’Articlo 4(8) come la persona o l’organo, che tratta dati personali per conto del titolare
del trattamento
17
9
Per una questione di buona prassi, il WP29 raccomanda che il DPO designato da un Responsabile deve anche
supervisionare le attività di controllo condotte dall'organizzazione del Responsabile quando funge da controllore dei dati
in proprio (ad es. HR, IT, logistica).
2.3. 'Facilmente raggiungibile da ogni sede’
L'articolo 37, paragrafo 2, consente a un gruppo d’imprese di designare un singolo DPO purché sia «facilmente raggiungibile
da ogni sede». La nozione di accessibilità si riferisce ai compiti del DPO come un punto di contatto per quanto riguarda i
soggetti relativi al trattamento dei dati19, l'autorità di vigilanza 20 ma anche all'interno dell'organizzazione, considerando che
uno dei compiti del DPO è 'informare e fornire consulenza al titolare del trattamento o al responsabile del trattamento
nonché ai dipendenti che eseguono il trattamento in merito agli obblighi derivanti dal presente regolamento ' 21.
Al fine di garantire che il DPO, sia interno che esterno, sia raggiungibile è importante accertarsi che i loro contatti siano
disponibili in conformità alle prescrizioni del GDPR22
Il/la DPO deve essere in grado di comunicare in modo efficace con i soggetti interessati al trattamento dei dati 23 e di
collaborare 24 con le autorità di vigilanza interessate. Ciò significa altresì che detta comunicazione deve avvenire nella lingua
o nelle lingue utilizzate dalle autorità di vigilanza e dai soggetti interessati al trattamento dei dati.
A norma dell'articolo 37, paragrafo 3, un singolo DPO può essere designato per diverse amministrazioni o enti pubblici,
tenendo conto della loro struttura organizzativa e delle loro dimensioni. Si applicano le stesse considerazioni relative alle
risorse e alla comunicazione. Dato che il DPO è responsabile di una molteplicità di compiti, il Titolare del Trattamento deve
assicurarsi che un singolo DPO possa svolgere questi compiti in modo efficiente essendo responsabile di diverse
amministrazioni e enti pubblici.
La disponibilità personale di un DPO (sia fisicamente nella sede stessa dei dipendenti, che tramite una hotline o un altro
mezzo sicuro di comunicazione) è indispensabile per garantire che i soggetti interessati al trattamento dati lo possano
contattare. Il DPO è vincolato alla segretezza o alla riservatezza riguardo la prestazione dei suoi compiti, in conformità con la
legge dell'Unione o dello stato membro (articolo 38, paragrafo 5). Tuttavia, l'obbligo di segretezza/riservatezza non vieta al
DPO la possibilità di mettersi in contatto e di chiedere consulenza all'autorità di vigilanza.
Articolo 38(4): ' Gli interessati al trattamento dati possono contattare il responsabile della protezione dei dati per tutte le
questioni relative al trattamento dei loro dati personali e all'esercizio dei loro diritti derivanti dal presente regolamento.’
19
20 Articolo 39(1)(e): ' fungere da punto di contatto per l'autorità di controllo per questioni connesse al trattamento dati, tra cui la
consultazione preventiva di cui all'articolo 36, e da consultare, se del caso, relativamente a qualunque altra questione'
21Articolo 39(1)(a).
22Vedere anche sezione 2.5 qui di seguito.
23Articolo 12(1): ‘Il titolare del trattamento deve adottare misure appropriate per fornire tutte le informazioni di cui agli articoli 13
e 14 e tutte le comunicazioni di cui agli articoli da 15 a 22 e all'articolo 34 relative al trattamento dei dati in forma concisa,
trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro, in particolare nel caso di informazioni
destinate specificamente ai minori.’
24Articolo 39(1)(d) ‘cooperare con l’autorità di controllo;’
10
2.4. Competenze e capacità del DPO
L’Articolo 37(5) prevede che il DPO ' deve essere designato sulla base delle qualità professionali e, in particolare, della
conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati, e della capacità di assolvere i
compiti di cui all’articolo 39. '. La considerazione 97 prevede che il livello necessario di conoscenze dovrebbe essere
determinato a seconda delle operazioni di trattamento dei dati effettuate e del livello di protezione necessario per i dati
personali trattati.
•
Livello di competenza
Il livello di competenza richiesto non è definito nel dettaglio, ma deve essere commisurato con la sensibilità, la complessità e
la quantità di dati che un’organizzazione tratta. Ad esempio, se un'attività di trattamento dei dati è particolarmente
complessa, o se interessa una grande quantità di dati sensibili, il DPO potrebbe necessitare di un livello più elevato di
competenza e di supporto. C'è anche una differenza a seconda che l'organizzazione trasferisca sistematicamente dati
personali al di fuori dell'Unione europea o che tali trasferimenti siano occasionali. Il DPO deve quindi essere scelto con
attenzione, con il dovuto riguardo ai problemi di protezione di dati che sorgono all'interno dell'organizzazione.
•
Qualità Professionali
Anche se l'articolo 37(5) non specifica le qualità professionali che devono essere considerate quando si designa il DPO, è un
elemento rilevante che i DPO abbiano competenza sulle leggi e pratiche nazionali ed europee riguardo la protezione dei dati e
una comprensione approfondita del GDPR. È altresì utile che le autorità di vigilanza promuovano la formazione adeguata e
continuativa per i DPO.
La conoscenza del settore imprenditoriale e dell'organizzazione del Titolare del Trattamento è utile. IL DPO dovrebbe inoltre
avere una comprensione sufficiente sulla tipologia di attività, nonché dei sistemi informativi, e della esigenze di protezione e
di sicurezza dei dati del Titolare.
Nel caso di un'autorità o di un ente pubblico, il DPO dovrebbe anche avere una buona conoscenza delle regole e delle
procedure amministrative dell'organizzazione.
•
Capacità di adempiere ai suoi compiti
La capacità di assolvere ai compiti di DPO deve essere interpretato sia in riferimento alle loro qualità e conoscenze personali,
che anche alla loro posizione all'interno dell'organizzazione. Le qualità personali devono includere per esempio l'integrità e
l’elevata etica professionale; la preoccupazione principale del DPO deve essere quella di assicurare la conformità con la
GDPR. Il DPO svolge un ruolo fondamentale nella promozione di una cultura della tutela dei dati all'interno
dell'organizzazione e contribuisce ad attuare gli elementi essenziali del GDPR, quali i principi di trattamento dei dati 25, i diritti
degli interessati al trattamento dati26, la protezione dei dati pianificata e automatica
28
27
, la documentazione delle attività di
29
trattamento , la sicurezza del trattamento dati , e la notifica e comunicazione delle violazioni dei dati30.
Capitolo II.
Capitolo III.
27 Articolo 25
28 Articolo 30.
25
26
29
Articolo 32.
30
Articoli 33 e 34.
11
•
DPO sulla base di un contratto di servizio
La funzione di DPO può essere esercitata anche sulla base di un contratto di servizio stipulato con un soggetto o
un'organizzazione esterna a quella del Titolare/Responsabile del Trattamento dati. In questo caso, è essenziale che ogni
membro dell'organizzazione che esercita le funzioni di un DPO soddisfi tutti i requisiti riportati nella sezione 4 del GDPR (ad
esempio, è essenziale che nessuno abbia un conflitto di interessi). È altrettanto importante che ciascuno di questi membri sia
protetto dalle disposizioni del GDPR (ad esempio, nessuna cessazione ingiusta del contratto di servizio per le attività come
DPO, ma nemmeno il licenziamento ingiustificato di un membro dell'organizzazione che esercita le funzioni di DPO). Allo
stesso tempo, le abilità e i punti di forza individuali possono essere uniti in modo che diversi soggetti, lavorando in squadra,
possano servire in modo più efficiente i loro clienti.
Nell’interesse della chiarezza legale e di un’efficiente organizzazione si raccomanda di distribuire i compiti all’interno del
gruppo di lavoro DPO e di assegnare un ben definito membro del team il compito di responsabile e punto di contatto per ogni
cliente. E’ generalmente utile specificare questi punti nel contratto di servizio
2.5. Pubblicazione e comunicazione dei dati di contatto del DPO
L’Articolo 37(7) del GDPR richiede che il Titolare o il Responsabile del Trattamento:
•
pubblichino i dati di contatto del DPO e
•
comunichino i dati di contatto alle autorità di vigilanza interessate.
L'obiettivo di questi requisiti è di assicurare che i soggetti interessati al trattamento dati (sia all'interno che all'esterno
dell'organizzazione) e le autorità di vigilanza possano facilmente, direttamente ed in maniera riservata contattare il DPO senza
doversi rivolgere ad altri all'interno dell'organizzazione.
I dati di contatto del DPO devono includere tutte le informazioni che consentano ai soggetti interessati al trattamento dati e
alle autorità di vigilanza di raggiungere il DPO in modo semplice (un indirizzo postale, un numero telefonico dedicato e un
indirizzo e-mail dedicato). Ove opportuno, ai fini della comunicazione con il pubblico, è possibile fornire altri mezzi di
comunicazione, ad esempio, una hotline dedicata, o un apposito formulario indirizzato al DPO sul sito Web
dell'organizzazione.
L’Articolo 37(7) non richiede che i dati di contatto pubblicati debbano includere il nome del DPO. Mentre questa può essere
una buona prassi, sta al Titolare del Trattamento e al DPO decidere se questo sia necessario o utile nelle circostanze
specifiche.31
Come buone prassi, l'WP29 raccomanda che l'organizzazione informa l'autorità di vigilanza e i dipendenti del nome e dei
recapiti del DPO. Ad esempio, il nome e recapiti del DPO potrebbero essere pubblicati internamente sulla rete intranet
dell'organizzazione, o sulla rubrica telefonico interna e organigrammi.
31
È degno di nota l’Articolo 33(3)(b), che descrive le informazioni che devono essere fornite all'autorità di vigilanza ed ai soggetti
interessati al trattamento dei dati in caso di violazione di dati personali, diversamente dall'articolo Articolo 37(7), richiede
specificamente di comunicare anche il nome (e non solo i recapiti) del DPO.
12
3 Posizione del DPO
3.1. Coinvolgimento del DPO in tutte le questioni relative alla tutela dei dati personali
L’Articolo 38 del GDPR prevede che il Titolare e il Responsabile del trattamento facciano si che il DPO sia
'tempestivamente e adeguatamente coinvolto in tutte le questioni riguardanti la protezione dei dati personali.'.
È fondamentale che il DPO sia coinvolto sin dalla fase iniziale in tutte le questioni relative alla protezione dei dati.
In relazione alle valutazioni di impatto della protezione dei dati, il GDPR prevede esplicitamente il coinvolgimento
tempestivo del DPO e specifica che il Titolare del Trattamento deve chiedere il parere del DPO quando si effettua la
valutazione di impatto.
32
Garantire che il DPO sia informato e consultato fin dalle fasi iniziali faciliterà la conformità con il
GDPR, garantirà un approccio pianificato alla privacy e pertanto dovrebbe essere la procedura standard all'interno della
governance dell'organizzazione. Inoltre, è importante che il DPO sia visto come un interlocutore all'interno
dell'organizzazione e che faccia parte dei gruppi di lavoro pertinenti con le attività di elaborazione dati all'interno
dell'organizzazione.
Di conseguenza, l'organizzazione deve garantire, ad esempio, che:
•
Il DPO sia invitato a partecipare regolarmente alle riunioni del management sia di medio livello che
direzionale.
•
La sua presenza è raccomandata dove sono adottate le decisioni con implicazioni sulla protezione dei dati.
Tutte le informazioni pertinenti devono essere trasmesse al DPO in modo tempestivo per consentirgli/le di
fornire le adeguata raccomandazioni
•
Il parere del DPO deve sempre essere tenuto in adeguata considerazione. In caso di disaccordo, il WP29
raccomanda, come buona pratica, di documentare le ragioni per cui non vengono seguite le raccomandazioni
del DPO
•
Il DPO deve essere prontamente consultato quando si è verificata una violazione dei dati o un altro tipo di
incidente.
Ove opportuno, il Titolare o il Responsabile del Trattamento possono elaborare linee guida per la protezione dei dati o
programmi che stabiliscano quando il DPO debba essere consultato.
3.2. Risorse Necessarie
L’Articolo 38(2) del GDPR esige che l'organizzazione sostenga il proprio DPO ' fornendogli le risorse necessarie per
assolvere i suoi (loro) compiti, l’accesso ai dati personali e alle procedure di trattamento degli stessi, oltre che per mantenere
aggiornate le loro conoscenz specialistiche. '. Le seguenti questioni, in particolare, devono essere considerate:
•
•
Sostegno attivo della funzione di DPO da parte del management direzionale (ad esempio a livello di Consiglio
di amministrazione).
Prevedere tempo sufficiente per il DPO per adempiere ai suoi compiti. Questo è particolarmente importante se
il DPO è nominato a part-time o se il dipendente svolge la mansione di protezione dei dati unitamente ad altre
funzioni. In caso contrario, conflitti di priorità potrebbero comportare il trascurare i compiti svolti come DPO.
Avere sufficiente tempo da dedicare alle attività di DPO è fondamentale. È una buona pratica stabilire una
32Article 35(2).
13
percentuale di tempo da dedicare alla funzione DPO, se questa non venga svolta a tempo pieno .
È anche buona norma determinare il tempo necessario da dedicare a tale funzione, il livello di priorità
appropriato per le funzioni di DPO e la redazione da parte del DPO (o dell'organizzazione) un piano di lavoro
appropriato.
•
Adeguato supporto in termini di risorse finanziarie, personale e infrastrutture (locali, impianti, attrezzature) ove
necessario
•
Comunicazione ufficiale della designazione del DPO a tutto il personale per garantire che la sua presenza e
funzione siano noti all'interno dell'organizzazione.
•
Accesso necessario ad altri servizi, quali il servizio risorse umane, servizio legale, servizio IT, servizio
sicurezza, ecc., in modo che DPO possa ricevere supporto essenziale, input e informazioni da questi altri servizi.
•
Formazione continua. Al DPO dovrebbe essere data la possibilità di rimanere aggiornato per quanto riguarda gli
avanzamenti delle conoscenze nell’ambito della protezione dei dati. L'obiettivo deve essere quello di
aumentare costantemente il livello di competenza dei DPO i quali debbono essere incoraggiati a partecipare a
corsi di formazione sulla protezione dei dati e ad altre forme di sviluppo professionale, come la partecipazione a
forum per la messa in atto del rispetto della privacy , workshop, ecc.
•
In funzione della dimensione e della struttura dell'organizzazione, può essere necessario istituire un team DPO
(un DPO e il suo staff). In tali casi, devono essere chiaramente programmare la struttura interna del team e le
mansioni e le responsabilità di ciascuno dei suoi membri. Analogamente, quando la funzione di DPO è
esercitata da un fornitore di servizi esterni, un gruppo di soggetti che lavorano per tale entità può svolgere
efficacemente le mansioni di un DPO come squadra, sotto la responsabilità di un responsabile designato come
punto di contatto del cliente.
In generale, più sono complesse e/o sensibili sono le operazioni di trattamento dati, più risorse devono essere fornite al DPO.
La funzione di protezione dei dati deve essere efficace e sufficientemente dotata di risorse in relazione al tipo di trattamento
dati da effettuare.
3.3. Istruzioni e 'agire indipendentemente'
L’Articolo 38(3) stabilisce alcune garanzie fondamentali per garantire che i DPO siano in grado di svolgere i loro compiti
con un sufficiente grado di autonomia all'interno dell’organizzazione in cui operano. In particolare, sia i Titolari che i
Responsabili del trattamento sono tenuti a garantire che il DPO
'non riceva alcuna istruzione per quanto riguarda
l'esecuzione dei loro compiti. .' La considerazione 97 aggiunge che i DPO, 'dipendenti o meno del titolare del trattamento,
debbono poter adempiere alle loro funzioni e compiti in maniera indipendente '.
Ciò significa che, nell'adempimento dei loro compiti nell’ambito dell'articolo 39, i DPO non devono essere istruiti su come
affrontare una questione, ad esempio, quale risultato debba essere conseguito, come debba essere esaminato un reclamo o se
consultare l'autorità di vigilanza. Inoltre, i DPO non devono essere istruiti ad uniformarsi a particolari punti di vista su
questioni inerenti la legge sulla protezione dei dati, per esempio, una particolare interpretazione della legge stessa.
L'autonomia dei DPO non implica, tuttavia, che a questi siano demandati poteri decisionali al di là dei loro compiti a norma
dell'articolo 39
Il Titolare o il Responsabile del trattamento rimangono responsabili per la conformità rispetto alla legge della protezione dei
dati e devono essere in grado di dimostrarla33. Se il Titolare o il Responsabile del trattamento prendono decisioni in contrasto
con GDPR e i consigli del DPO , al DPO deve essere data la possibilità di evidenziare agli organi decisionali il suo parere
in dissenso alle decisioni prese.
33
Articolo 5(2).
14
3.4. Rimozione o sanzioni collegate allo svolgimento dell’attività di DPO
L’Articolo 38(3) richiede anche che i DPO ' non debbono essere rimossi o sanzionati dal titolare del trattamento o dal
responsabile del trattamento per avere adempiuto ai propri compiti.'.
Questo requisito rafforza l'autonomia dei DPO e contribuisce a garantire che questi agiscano in modo indipendente e
godano di una protezione sufficiente nell'esecuzione delle loro attività di protezione dei dati..
Le sanzioni sono vietate in accordo con il GDPR solo nel caso in cui derivino dall’operato di DPO nell’ambito delle proprie
funzioni. Ad esempio: un DPO può valutare che un particolare procedimento possa provocare un elevato rischio e consigliare
il Titolare o il Responsabile del Trattamento di effettuare una valutazione di impatto, ma che il Titolare o il Responsabile del
Trattamento non si trovino d'accordo con la valutazione del DPO. In tale situazione, il DPO non può essere rimosso per aver
fornito questo suggerimento.
Le sanzioni possono assumere una varietà di forme e possono essere dirette o indirette. Potrebbero essere costituite, per
esempio, da negazione o ritardo di una promozione; da ostacoli all'avanzamento di carriera; negazione di benefici che altri
dipendenti ricevono.
Non è necessario che queste sanzioni vengano effettivamente comminate, una mera minaccia è
sufficiente se finalizzata a penalizzare le DPO per motivi legati alle sue attività come DPO.
Come regola generale e al pari di qualsiasi altro dipendente o collaboratore esterno nell’ambito del contratto nazionale di
lavoro e del diritto penale, un DPO può comunque essere rimosso legittimamente per motivi diversi da quelli relativi
all'esecuzione della propria attività di DPO (per esempio, in caso di furto, molestie fisiche, psicologiche o sessuali o simili
colpe gravi).
In questo contesto, va osservato che il GDPR non specificare come e quando un DPO possa essere rimosso o sostituito con
un'altra persona. Tuttavia, più stabile è il contratto del DPO e maggiori le garanzie vi sono contro la rimozione senza giusta
causa, e più è probabile che il DPO sia in grado di agire in modo indipendente. Di conseguenza, il WP29 incoraggia ogni
azione da parte delle organizzazioni che producano questi effetti.
3.5. Conflitto d’interessi
L’Articolo 38(6) consente che i DPO possano ' svolgere altri compiti e funzioni. Richiede, tuttavia, che l’organizzazione
garantisca che ‘nessuno di questi compiti e funzioni possa dare adito a un conflitto di interessi'.
L'assenza di conflitti di interessi è strettamente legata all'obbligo di agire in modo indipendente. Anche se i DPO sono
autorizzati a svolgere altre funzioni, queste gli possono essere affidate purché non diano luogo a conflitti di interessi. Ciò
comporta in particolare che il DPO non può avere una posizione all'interno dell'organizzazione che possa influenzare finalità e
modalità relative al trattamento dei dati personali. Vista la specificità di ogni struttura organizzativa, questo deve essere
valutato caso per caso.34
Una regola empirica è che le posizioni in conflitto possono includere posizioni di management direzionale (ad esempio,
amministratore delegato, direttore operativo, finanziario, capo dell’ufficio sicurezza e prevenzione, capo del reparto marketing,
responsabile delle risorse umane, o responsabile dei dipartimenti IT) ma anche altri ruoli inferiori nella struttura organizzativa, se tali
posizioni o ruoli concorrono alla determinazione delle finalità e modalità del trattamento.
15
34
A seconda delle attività, delle dimensioni e della struttura dell'organizzazione, può essere buona prassi per Titolari o
Responsabili del Trattamento:
•
identificare le posizioni che sono incompatibili con la funzione di DPO
•
elaborare un regolamento interno in tal senso, al fine di evitare conflitti d’interesse
•
includere una valutazione più generale sui conflitti di interessi
•
dichiarare che il proprio DPO non ha alcun conflitto d’interessi per quanto concerne le sua funzione di DPO, per
sensibilizzare l’importanza di questo requisito
•
includere garanzie nelle norme interne dell'organizzazione per garantire che la il bando di selezione per ricoprire
la posizione di DPO o il contratto di servizio siano sufficientemente precisi e dettagliati al fine di evitare
conflitti d'interessi. A questo proposito, si dove anche tener conto che i conflitti di interessi possono essere
differenti a seconda se il DPO sia reclutato internamente o esternamente.
4
Compiti del DPO
4.1. Monitoraggio della conformità con il GDPR
L’Articolo 39(1)(b) affida al DPO, tra le altre funzioni, il compito di monitorare la conformità con il GDPR. La
Considerazione 97 specifica ulteriormente che il DPO ' deve assistere il Titolare o il Responsabile del trattamento nel
monitoraggio del rispetto a livello interno del presente regolamento '.
Nell'ambito di questi compiti per controllare la conformità, in particolare il DPO può:
raccogliere informazioni per identificare le attività di elaborazione,
analizzare e verificare la conformità delle attività di elaborazione, e
informare, consigliare e rilasciare raccomandazioni al Titolare o al Responsabile del Trattamento..
Il Controllo della conformità non implica che il DPO sia personalmente responsabile in caso di inosservanza. Il GDPR
chiarisce che è il Titolare del Trattamento, non il DPO, che è tenuto a "mettere in atto misure tecniche e organizzative
adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al presente
regolamento" (articolo 24(1)). La conformità della protezione dei dati è una responsabilità aziendale del Titolare del
Trattamento, non del DPO.
4.2. Il ruolo di DPO in una valutazione dell'impatto sulla protezione dei dati
A norma dell' Art. 35(1), è compito del Titolare del Trattamento, non del DPO, di svolgere, ove necessario, una
valutazione d'impatto relativamente alla protezione dei dati ('DPIA'). Tuttavia, il DPO può svolgere un ruolo molto importante
e utile nell'assistere il Titolare del Trattamento. Seguendo il principio di protezione programmata dei dati, l’Articolo 35(2)
prevede espressamente che il Titolare del Trattamento 'richieda assistenza” al DPO allorquando svolge una DPIA . L’Articolo
39(1)©,a sua volta, assegna al DPO il compito di ' fornire, se richiesto, un parere in merito alla [DPIA] e di sorvegliarne lo
svolgimento '.
16
Il WP29 raccomanda che il Titolare del Trattamento richieda il parere del DPO, tra le altre ,sulle seguenti questioni:
•
Se sia opportuno o meno eseguire una DPIA
•
quale metodologia seguire quando si effettua una DPIA
•
se effettuare la DPIA internamente o in outsourcing
•
quali misure di salvaguardia (comprendendo le misure tecniche e organizzative) adottare per
limitare i rischi per i diritti e gli interessi dei soggetti interessati al trattamento dei dati
•
se la valutazione d'impatto sulla protezione dei dati sia stata eseguita correttamente e se le sue conclusioni (se
proseguire o meno con il trattamento dei dati e quali salvaguardie applicare) siano conformi al GDPR
Se il Titolare del Trattamento non è d'accordo con i rilievi forniti dal DPO, la documentazione DPIA deve giustificare nel
dettaglio per iscritto il motivo per cui il suggerimento non è stato preso in considerazione 36.
Il WP29 raccomanda inoltre al Titolare del Trattamento di delineare con chiarezza, ad esempio nel contratto di nomina del
DPO, ma anche nelle informazioni fornite ai dipendenti, al management (e altre parti interessate, se è il caso), i compiti precisi
del DPO e i loro obiettivi, in particolare per quanto riguarda la realizzazione della DPIA.
4.3. Approccio basato sul rischio
L’Articolo 39(2) richiede che il DPO 'consideri debitamente i rischi inerenti alle operazioni di trattamento dei dati, tenuto
conto della natura, dello scopo, del contesto e delle finalità del medesimo. '.
Questo articolo richiama un principio generale di comune buon senso, che può essere rilevante per molti aspetti del lavoro
quotidiano di un DPO. In sostanza,si richiede al DPO di dare priorità e concentrare i propri sforzi su quelle attività e su quegli
aspetti che presentino rischi più elevati rispetto alla protezione dei dati. Questo non significa che si debbano trascurare il
monitoraggio e la conformità delle operazioni di trattamento dei dati che hanno un livello relativamente più basso di rischio,
ma indica che i DPO dovrebbero dare priorità, principalmente, alle aree a rischio più elevato.
Questo approccio pragmatico e selettivo dovrebbe aiutare il DPO nel consigliare il Titolare del Trattamento su quale
metodologia sia opportuno utilizzare nello svolgimento di un DPIA, quale aree debbano essere sottoposte a audit, interni o
esterni, per la protezione dei dati, quali attività formative effettuare internamente per il personale o il management
responsabile delle attività di trattamento dei dati e a quale procedure di trattamento dati dedicare più tempo e risorse.
L’Articolo 39(1) riporta i compiti del DPO e indica che il DPO deve avere «almeno» le seguenti mansioni. Di conseguenza,
nulla impedisce al Titolare del Trattamento di assegnare al DPO altre funzioni oltre a quelle esplicitamente menzionate all'articolo
39, paragrafo 1, o di specificare tali attività in modo più dettagliato.
35
L’Articolo 24(1) stabilisce che 'Tenuto conto della natura, scopo, contesto e finalità del trattamento dati , nonché dei rischi
aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche, il titolare del trattamento mette in atto le misure
tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al
presente regolamento. Dette misure sono riesaminate e aggiornate qualora necessario.'.
17
36
4.4. Il ruolo del DPO relativamente al registro delle attività
L’articolo 30(1) e (2), stabilisce che il titolare del trattamento o il responsabile , non il DPO, debbono’ mantenere
sotto la propria responsabilità un registro delle attività di trattamento svolte ' o ' mantenere un registro di tutte le categorie
di attività relative al trattamento svolte per conto del titolare del trattamento '.
In pratica, il DPO spesso creano archivi e mantengono un registro delle operazioni di trattamento dei dati, in base alle
informazioni fornite dai vari reparti della loro organizzazione, incaricati del trattamento dei dati personali. Questa prassi è
stata istituita con molte leggi nazionali vigenti e con le norme di protezione dei dati applicabili alle istituzioni e agli organi
dell'UE37
L’Articolo 39(1) fornisce un elenco minimo di compiti che il DPO deve avere. Di conseguenza, nulla impedisce al Titolare o
al responsabile del trattamento dati di assegnare al DPO il compito di mantenere il registro delle procedure di trattamento dati,
sotto la responsabilità del Responsabile del trattamento. Il Registro deve essere considerato uno degli strumenti tramite il
quale il DPO può svolgere i propri compiti di verifica della conformità, di informazione e consulenza al Titolare o al
responsabile del Trattamento.
In ogni caso il registro deve essere conservato ai sensi dell'articolo 30 deve essere visto come uno strumento che consente al
Titolare del Trattamento e all'autorità di vigilanza, su richiesta, di avere una panoramica di tutte le attività di trattamento dei
dati personali che un'organizzazione sta svolgendo. È quindi un prerequisito per la conformità, e come tale, una misura della
effettiva capacità di aderire alle norme.
37
Articolo 24(1)(d), Regulation (EC) 45/2001.
18