Data Protection Officer ( DPO ) alla luce delle linee guida del Gruppo di lavoro Articolo 29 del (versione definitiva)

Transcript

1 Data Protection Officer ( DPO ) alla luce delle linee guida del Gruppo di lavoro Articolo 29 del (versione definitiva) INDICE 1. I casi di nomina obbligatoria del DPO 2. Nomina volontaria del DPO 3. Valutazioni precedenti la nomina del DPO 4. Nomina di altri consulenti privacy diversi dal DPO 4bis. Oggetto dell attività del DPO 5. Soggetti preposti alla nomina del DPO 5bis. Accessibilità e localizzazione del DPO 6. Caratteristiche del DPO 7. DPO interno/esterno 8. Nominativo e dati di contatto del DPO 9. Posizione del DPO 10. Compiti del DPO

2 1. I casi di nomina obbligatoria del DPO I casi di nomina obbligatoria del DPO previsti dall art. 37 del Regolamento UE sulla Protezione dei Dati n. 679/2016 ( Regolamento ) sono tre: a) il trattamento è effettuato da un autorità pubblica o da un organismo pubblico, eccettuate le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali; b) quando le attività principali del titolare del trattamento o del responsabile del trattamento consistono in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico di interessati su larga scala; oppure c) quando le attività principali del titolare del trattamento o del responsabile del trattamento consistono nel trattamento, su larga scala, di categorie particolari di dati di cui all art. 9 o di dati relativi a condanne penali e a reati di cui all art. 10. Concetti chiave: 1.2. Attività principali Le attività principali riguardano le attività primarie del Titolare o del Responsabile con esclusione delle attività accessorie. a. L espressione attività principali comprende i casi in cui il trattamento dei dati costituisce una componente inscindibile delle attività svolte dal Titolare/Responsabile. Per esempio, l attività principale di un ospedale è prestare assistenza sanitaria, ma non sarebbe possibile farlo senza trattare i dati relativi alla salute dei pazienti; di conseguenza, questa tipologia di trattamento deve essere annoverata fra le attività principali dell ospedale. b. Sono da considerarsi, invece, accessorie le attività di pagamento delle retribuzioni del personale o la predisposizione di strutture standard di supporto informatico Larga scala Non si tratta di un concetto quantitativo. E infatti impossibile precisare la quantità di dati o il numero di interessati in modo da coprire tutte le eventualità. Alcuni criteri standard da prendere in considerazione per determinare se il trattamento sia effettuato o meno su larga scala sono i seguenti: - il numero di soggetti interessati dal trattamento, in termini assoluti ovvero espressi in percentuale della popolazione di riferimento; - il volume dei dati e/o le diverse tipologie di dati oggetto di trattamento; - la durata, ovvero la persistenza, dell attività di trattamento; - la portata geografica dell attività di trattamento. Sono da considerare trattamenti su larga scala, ad esempio, il trattamento di dati personali da parte di un motore di ricerca per finalità di pubblicità 2

3 comportamentale o il trattamento di dati (metadati, contenuti, ubicazione) da parte di fornitori di servizi telefonici o telematici Monitoraggio regolare e sistematico Il monitoraggio regolare e sistematico comprende tutte le forme di tracciamento e profilazione su internet (ma non solo online) anche per finalità di pubblicità comportamentale. Quindi, si avrà monitoraggio (ossia controllo) del comportamento dell interessato se, nel caso concreto, costui è tracciato/profilato per adottare decisioni che lo riguardano o analizzarne o prevederne le preferenze e i gusti ed inviargli successivamente pubblicità mirata secondo tali gusti e preferenze. L aggettivo regolare ha almeno uno dei seguenti significati: - continuo; - ricorrente; - costante o a intervalli periodici. L aggettivo sistematico ha almeno uno dei seguenti significati: - predeterminato, organizzato o metodico; - che ha luogo nell ambito di un progetto complessivo di raccolta dati; - svolto nell ambito di una strategia. Alcuni esempi: profilazione e scoring per finalità di valutazione del rischio (ad es. creditizio); tracciamento dell ubicazione, ad es., da parte di un app su dispositivi mobili; programmi di fidelizzazione; pubblicità comportamentale. 2. Nomina volontaria del DPO La designazione del DPO può avvenire su base volontaria, anche al di fuori dei casi di nomina obbligatoria. Nel caso si proceda a nominare un DPO su base volontaria si applicheranno le previsioni normative di cui agli artt del Regolamento. 3. Valutazioni precedenti la nomina del DPO Ad eccezione del caso in cui sia evidente la non obbligatorietà di designazione del DPO, si raccomanda ai Titolari e ai Responsabili di documentare le valutazioni compiute all interno dell azienda per stabilire se sia o meno obbligatoria la nomina del DPO, in modo da poter dimostrare che l analisi ha preso in esame tutti fattori pertinenti evidenziati dalla norma di cui all art. 37, par. 1, del Regolamento. Tale analisi fa parte della documentazione da produrre in base al principio di responsabilizzazione, può essere richiesta dall autorità di controllo e dovrebbe essere aggiornata, ad es., quando i titolari/responsabili intraprendono nuove attività che potrebbero ricadere nei casi di nomina 3

4 obbligatoria. 4. Nomina di altri consulenti privacy diversi dal DPO Quando un azienda non è obbligata a nominare un DPO e non intende farlo su base volontaria, deve comunque garantire che non vi siano ambiguità in termini di denominazione, status e compiti del personale o consulenti esterni incaricati di incombenze relative alla protezione dei dati personali. Pertanto, queste figure, in tutte le comunicazioni aziendali, non devono essere indicati quali DPO. 4bis. Oggetto dell attività del DPO Il DPO, nominato su base obbligatoria o volontaria, si occupa di tutti i trattamenti svolti dal titolare/responsabile. 5. Soggetti preposti alla nomina del DPO 5.1. Titolare/Responsabile/Entrambi Il DPO può essere designato o dal Titolare del trattamento o dal Responsabile del trattamento oppure da entrambi, a seconda di chi soddisfi i criteri relativi all obbligatorietà della nomina. Buone prassi: il DPO nominato dal Responsabile dovrebbe vigilare anche sulle attività svolte da tale soggetto quando operi in qualità di autonomo Titolare del trattamento, ad esempio rispetto ai dati riguardanti il personale, le risorse informatiche, la logistica Gruppo imprenditoriale L art. 37, par. 2, del Regolamento consente a un gruppo imprenditoriale di nominare un unico DPO, se necessario con il supporto di un team di collaboratori, a condizione che quest ultimo sia facilmente raggiungibile da ciascuno stabilimento. Pertanto, bisogna garantire la disponibilità dei dati di contatto del DPO e predisporre i mezzi idonei per contattarlo effettivamente (ad es. attraverso una linea dedicata). Inoltre, il DPO deve essere in grado di poter utilizzare la lingua dell autorità di controllo e degli interessati volta per volta coinvolti dalle operazioni di trattamento. 5bis. Accessibilità e localizzazione del DPO Per garantire l accessibilità del DPO si raccomanda di localizzare il DPO nel territorio dell UE, indipendentemente dal fatto che il titolare o il responsabile siano stabiliti in tale territorio. 4

5 Tuttavia, non si può escludere che, nei casi in cui il titolare o il responsabile non siano stabiliti nell UE, un DPO sia in grado di svolgere i propri compiti con maggiore efficacia operando al di fuori del territorio dell UE. 6. Caratteristiche del DPO Ai sensi dell art. 37, par. 5, del Regolamento il DPO è designato in funzione delle conoscenze specialistiche della normativa e delle prassi in materia di protezione dei dati, delle qualità professionali e delle capacità di assolvere i propri compiti Conoscenze specialistiche Il livello richiesto di conoscenze specialistiche non ha una definizione tassativa. Nella scelta del DPO si deve tenere conto delle problematiche in materia di protezione dei dati che il Titolare deve affrontare nel caso specifico. Ad es., se il trattamento riguarda dati sensibili o dati che devono essere trasferiti extra-ue, il DPO avrà bisogno di un livello più elevato di conoscenze specialistiche Qualità professionali Sono pertinenti al riguardo: - conoscenza da parte del DPO della normativa e delle prassi nazionali ed europee in materia di protezione dei dati, compresa un approfondita conoscenza del Regolamento; - formazione adeguata e continua da parte dell autorità di controllo rivolta ai DPO; - conoscenza dello specifico settore di attività e della struttura organizzativa del Titolare; - familiarità con le operazioni di trattamento svolte nonché con i sistemi informativi e le esigenze di sicurezza e protezione dati manifestate dal Titolare Capacità di assolvere i compiti Con tale espressione si fa riferimento, da un lato, alle qualità personali e alle conoscenze del DPO e, dall altro, alla posizione del DPO all interno dell azienda. Le qualità personali comprendono, ad es., l integrità ed elevati standard deontologici. 7. DPO interno / esterno 7.1. DPO interno 5

6 Ai sensi dell art. 37 co. 6 del Regolamento il DPO può essere un dipendente del Titolare o del Responsabile DPO esterno L art. 37 co. 6 prevede altresì che la funzione del DPO possa essere esercitata sulla base di un contratto di servizi stipulato con una persona fisica o giuridica esterna all azienda del Titolare/Responsabile. Ciascun soggetto appartenente alla persona giuridica facente funzioni di DPO non deve trovarsi in una situazione di conflitto di interessi e gode delle tutele previste dal Regolamento (non è, quindi, ammissibile la rimozione ingiustificata di un singolo appartenente alla persona giuridica DPO). E raccomandabile procedere, con specifiche disposizioni nel contratto di servizi, ad una chiara ripartizione dei compiti all interno del gruppo di lavoro DPO e di prevedere che sia un solo soggetto a fungere da referente principale. 8. Nominativo e dati di contatto del DPO L art. 37 co. 7 del Regolamento impone al Titolare o Responsabile di pubblicare i dati del DPO e di comunicarli alle pertinenti autorità di controllo. I dati di contatto ricomprendono: i) recapito postale; ii) numero telefonico dedicato; iii) dedicata; e, se opportuno, anche iv) hotline dedicata; v) modulo specifico di contatto pubblicato sul sito internet del Titolare/Responsabile. La disposizione in questione mira a garantire che sia gli interessati sia le autorità di controllo possano contattare il DPO in modo facile e diretto. Buone prassi: a) pubblicare anche il nominativo del DPO; e b) comunicare all autorità di controllo e ai dipendenti il nominativo e i dati di contatto del DPO, ad es. mediante l intranet aziendale, l elenco telefonico interno e gli organigrammi della struttura. 9. Posizione del DPO 9.1. Coinvolgimento Ai sensi dell art. 38 del Regolamento il Titolare e il Responsabile assicurano che il DPO, o il suo team di collaboratori, sia tempestivamente ed adeguatamente coinvolto in tutte le questioni riguardanti la protezione dei dati personali. A tal fine occorre garantire: - che il DPO partecipi regolarmente alle riunioni di management di 6

7 alto/medio livello; - la presenza del DPO quando devono essere assunte decisioni che impattano sulla protezione dei dati; - che il DPO sia consultato tempestivamente in caso di violazione dei dati o altro incidente. Buone prassi: in caso di disaccordo con il parere reso dal DPO, occorrerebbe documentare le motivazioni che hanno portato a condotte difformi da quelle consigliate dal DPO Risorse necessarie L art. 38 co. 2 del Regolamento obbliga il Titolare o il Responsabile a fornire al DPO le risorse necessarie per assolvere i propri compiti, accedere ai dati personali e ai trattamenti e mantenere la propria conoscenza specialistica. Il DPO deve quindi poter contare sulle seguenti risorse: - supporto attivo della funzione del DPO da parte del senior management; - tempo sufficiente per l espletamento dei compiti affidati; - supporto adeguato in termini di risorse finanziarie, infrastrutture (sede, attrezzature, strumentazione) e, ove opportuno, personale; - accesso garantito ad altri servizi all interno della struttura aziendale (risorse umane, ufficio giuridico, IT, sicurezza, ecc.); - formazione permanente; - a seconda delle dimensioni e della struttura aziendale, costituzione di un ufficio o un gruppo di lavoro DPO. Buone prassi: a) definire la percentuale del tempo lavorativo destinato alle attività di DPO quando quest ultimo svolga anche altre funzioni; b) stabilire il tempo necessario per adempiere alle relative incombenze, definire il livello di priorità, e prevedere che il DPO (ovvero il Titolare/Responsabile) rediga un piano di lavoro Indipendenza della condotta L art. 38 co. 3 del Regolamento impone al Titolate o al Responsabile di assicurare che il DPO non riceva alcuna istruzione per quanto riguarda l esecuzione dei compiti. Conseguentemente, il DPO non deve ricevere istruzioni sull approccio da seguire nel caso specifico o sull interpretazione da dare ad una specifica questione. Se il Titolare/Responsabile assumono decisioni incompatibili con il DPO, questi deve poter manifestare il proprio dissenso al più alto livello del management e agli amministratori. Ai sensi dell art. 38, paragrafo 3, il DPO riferisce direttamente al vertice gerarchico del titolare del trattamento o del responsabile del trattamento. Tale rapporto diretto garantisce che il vertice amministrativo (ad es.: Consiglio di Amministrazione) sia a conoscenza delle indicazioni e raccomandazioni fornite dal DPO nel quadro delle sue funzioni di 7

8 informazione e consulenza nei confronti del titolare/responsabile. Un altro esempio di tale rapporto diretto consiste nella redazione di una relazione annuale delle attività svolte dal DPO da sottoporre al vertice gerarchico Divieto di rimozione o penalizzazioni L art. 38 co. 3 prevede che il DPO non possa essere rimosso o penalizzato dal Titolare o dal Responsabile per l adempimento dei propri compiti. In proposito, si tenga presente quanto segue: il divieto si applica solo alle penalizzazioni derivanti dallo svolgimento dei compiti propri del DPO; le penalizzazioni possono avere molte forme e natura diretta o indiretta (ad es.: mancata o ritardata promozione, blocco delle progressioni di carriera, mancata concessione di incentivi rispetto ad altri dipendenti); è sufficiente anche la sola minaccia di una penalizzazione; è possibile interrompere il rapporto di lavoro con il DPO per motivazioni diverse dallo svolgimento dei suoi compiti (ad es.: furto, molestie sessuali o di altro genere, gravi violazioni deontologiche) Conflitto di interessi In base all art. 38 co. 6 del Regolamento, il Titolare o il Responsabile sono obbligati ad assicurare che gli altri compiti e funzioni assegnati al DPO non diano adito ad un conflitto di interessi. Il DPO non può rivestire, all interno dell organizzazione del Titolare o del Responsabile, un ruolo che comporti la definizione delle finalità o modalità del trattamento. Possono sussistere situazioni di conflitto con riguardo a ruoli manageriali di vertice (A.D., Responsabile operativo/finanziario/sanitario/it, Direttore marketing/risorse umane), ma anche rispetto a posizioni gerarchicamente inferiori, se queste ultime comportano la determinazione delle dette finalità/modalità. Un conflitto di interessi può anche insorgere, per esempio, se un DPO esterno è chiamato a rappresentare in giudizio il titolare o il responsabile in casi che riguardino la materia della protezione dei dati personali. Buone prassi: - individuare le qualifiche e funzioni incompatibili con quella del DPO; - redigere regole interne per evitare conflitti di interessi; - prevedere un illustrazione più articolata dei casi di conflitto di interessi; - utilizzare formule contrattuali precise e dettagliate in modo da prevenire conflitti di interessi Irresponsabilità del DPO In caso di inosservanza del Regolamento, il DPO non è personalmente responsabile. Spetta, infatti, al Titolare mettere in atto misure tecniche ed organizzative adeguate per garantire, ed essere in grado di dimostrare, che 8

9 il trattamento è conforme al Regolamento (art. 24, co. 1, Regolamento). Il rispetto delle norme privacy fa parte della responsabilità d impresa del Titolare, non del DPO. 10. Compiti del DPO Elencazione non tassativa dei compiti del DPO Il Titolare/Responsabile può assegnare al DPO compiti ulteriori rispetto a quelli espressamente menzionati all art. 39, co. 1, lettere da a) ad e), del Regolamento o specificarli ulteriormente Sorveglianza L art. 39, co. 1, lett. b), del Regolamento affida al DPO il compito di sorvegliare l osservanza del Regolamento. Fanno parte di tale compito: i) la raccolta di informazioni per individuare i trattamenti svolti; ii) l analisi e la verifica dei trattamenti in termini di loro conformità; e iii) l attività di informazione, consulenza ed indirizzo nei confronti del Titolare o del Responsabile Ruolo del DPO nella valutazione di impatto ( Data Protection Impact Assessment - DPIA ) L art. 35, par. 2, del Regolamento prevede che il Titolare debba consultare il DPO quando svolge una DPIA. L art. 39, co. 1, lett. c), del Regolamento affida al DPO il compito di fornire, se richiesto, un parere sulla DPIA e sorvegliarne lo svolgimento. Il Titolare dovrà consultare il DPO sulle seguenti tematiche: - se condurre o meno una DPIA; - quale metodologia adottare nel condurre una DPIA; - se condurre la DPIA con risorse interne ovvero esternalizzarla; - quali salvaguardie applicare, comprese misure tecniche organizzative, per attenuare i rischi per i diritti degli interessati; - se la DPIA sia stata condotta correttamente o meno e se le conclusioni raggiunte siano conformi al Regolamento. Se il Titolare non concorda con le indicazioni del DPO, è necessario che la documentazione relativa alla DPIA riporti specificamente per iscritto le motivazioni per cui si è ritenuto di non conformarsi alle indicazioni del DPO. E consigliabile definire con chiarezza a livello contrattuale con il DPO i compiti che gli sono affidati riguardo alla DPIA Approccio basato sul rischio In base all art. 39, co. 2, del Regolamento il DPO deve considerare 9

10 debitamente i rischi inerenti al trattamento, tenuto conto della natura, dell ambito di applicazione, del contesto e delle finalità del medesimo. Il DPO deve quindi definire un ordine di priorità nell attività svolta e concentrarsi sulle questioni che presentino maggiori rischi in termini di protezione dei dati Ruolo del DPO nella tenuta del registro dei trattamenti Secondo l art. 30, co. 1-2, del Regolamento, l obbligo di tenere un registro delle attività di trattamento incombe sul Titolare (e/o sul Responsabile), e non sul DPO. Nulla vieta al Titolare/Responsabile di affidare al DPO la tenuta del registro dei trattamenti sotto la responsabilità del medesimo Titolare/Responsabile. Tale registro deve essere considerato uno strumento perché il DPO possa adempiere agli obblighi di sorveglianza, informazione e consulenza nei confronti del Titolare/Responsabile Obbligo di riservatezza/segreto del DPO Ai sensi dell art. 38, co. 5, del regolamento, il DPO è vincolato al segreto o alla riservatezza nell esercizio delle proprie funzioni. Tali obblighi non impediscono al DPO di contattare l autorità di controllo per finalità di consulenza. La confidenzialità riveste grande importanza anche con riguardo ai dipendenti del titolare, che possono essere riluttanti a presentare reclami al DPO se non viene garantita la confidenzialità delle loro comunicazioni Cooperazione con l autorità di controllo e funzione di punto di contatto Secondo l art. 39, paragrafo 1, lettera e), il DPO deve fungere da punto di contatto per l autorità di controllo per questioni connesse al trattamento, tra cui la consultazione preventiva di cui all art. 36, ed effettuare se del caso, consultazioni relativamente a qualunque altra questione. Il DPO ha pertanto un ruolo di facilitatore nel senso che deve facilitare l accesso da parte dell autorità di controllo ai documenti e alle informazioni necessari per lo svolgimento dei poteri di indagine, correttivi, autorizzativi e consultivi della medesima autorità. 10