Le linee guida del Gruppo Articolo 29 sul Data Protection Officer

 Le linee guida del Gruppo Articolo 29 sul Data Protection Officer

A fine novembre il Gruppo Articolo 29 (cioè il gruppo che riunisce le Autorità Garanti per la tutela dei dati personali in Europa) ha pubblicato alcune iniziali linee guida interpretative in merito al nuovo regolamento europeo in materia di dati personali (Reg. 679/16); in particolare sono state pubblicati tre coppie di documenti (Linee Guida e FAQ) in materia di Data Protection Officer, Portabilità e Criteri per la individuazione della “Autorità capofila”.

La figura dal DPO in Italia continua ad essere circondata da notevoli incertezze e senza dubbio queste Linee Guide permettono di sgombrare il campo a non pochi dubbi. Il documento è stato suddiviso in tre sezioni: designazione, posizione giuridica e compiti del DPO, mentre le FAQ forniscono anche esempi concreti per meglio comprendere quanto spiegato del documento principale.

Per quanto concerne i chiarimenti forniti sui concetti utilizzati all’interno del Regolamento vale la pena soffermarsi comunque sulle definizioni di: “attività principale” (Art. 37 e dal considerando 97), intesa come parte inestricabile dell’attività (come per esempio i dati sulla salute) del titolare e del responsabile, rimanendo escluso da tale definizione, per quanto fondamentale, il trattamento dei dati a fini amministrativi; “trattamento su larga scala” (Art. 37 e dal considerando 91), in relazione al quale non può essere indicato un numero specifico, sottolinea il Gruppo dei Garanti Europei, ma devono essere prese in considerazione una serie di elementi indicativi quali la popolazione di riferimento, il volume di dati trattati, la durata e la permanenza del trattamento o l’estensione geografica.

La parte che invece che si occupa della posizione giuridica ricoperta dal DPO chiarisce come questa figura professionale può essere sia interna che esterna e che in caso di gruppi di imprese è possibile procedere alla nomina anche di un solo DPO di riferimento.

In ogni caso quando si nomina un DPO esterno, che può essere identificato anche in un team di professionisti o un’organizzazione, deve essere sottoscritto un contratto in linea con le prescrizioni del Regolamento e quindi con il ruolo, le responsabilità e la posizione di indipendenza che fanno capo al DPO.

Va poi rilevato che la nomina del DPO o la sottoscrizione del contratto (in caso di DPO esterno) deve sempre prevedere: l’allocazione di tutte le risorse e le tutele necessarie affinché tale figura possa perseguire i propri compiti. Allo stesso modo si suggerisce l’opportunità di organizzare regolari riunioni con il DPO e di valutare il suo coinvolgimento negli incontri a livello dirigenziale quando questi rilevano anche in relazione al sistema informativo aziendale.

Infine in relazione ai compiti che fanno capo al DPO, appare rilevante sottolineare come il Gruppo dei Garanti Europei abbia ritenuto opportuno evidenziare come questa figura non possa mai essere considerata responsabile per il mancato rispetto della GDPR. Tenendo infatti bene a mente il fondamentale principio dell’accountability (su cui si regge l’intero impianto del Regolamento), sarà il titolare o il responsabile del trattamento che sono tenuti a garantire ed essere in grado di dimostrare che la gestione dei dati viene eseguita in conformità della normativa.

Allo stesso modo per quanto riguarda la registrazione delle attività di trattamento, sarà obbligo del titolare o del responsabile (ognuno per le sue competenze) e non del DPO, mantenere il registro delle operazioni di trattamento. Tuttavia, precisano anche le linee guida nulla impedisce al titolare o al responsabile di assegnare al DPO anche il compito di mantenere il registro.

Queste ultime due indicazioni pertanto rilevano come il DPO se da una parte non possa essere considerato la figura che sostituisce il titolare ed il responsabile nell’adempimento degli obblighi prescritti dal GDPR, dall’altra è un elemento integrante il sistema di gestione delle informazioni a cui possono essere eventualmente demandati alcuni adempimenti che non fanno strettamente capo al ruolo che il GDPR ha delineato.

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.