Il DPO è sempre obbligatorio?

Ormai si sente parlare solo di DPO a proposito del Regolamento 679/2016 (GDPR) che sarà – come sappiamo bene – pienamente esecutivo dal 25 maggio 2018.

In realtà, il DPO è obbligatorio solo per gli enti pubblici. Mentre è figura che può essere opportunamente nominata anche da parte di soggetti privati sulla base di una necessaria analisi della proprio struttura e quindi dei rischi che i vari trattamenti di dati effettuati dalla stessa possono correre.

Ricordo a tutti infatti che i casi di obbligatorietà di designazione del DPO previsti dall’art. 37 per i soggetti privati sono residuali, ma ciò non significa che l’analisi di opportunità non vada fatta. Anzi…

Del resto, come ho avuto già modo di precisare in diversi articolil’unica, vera e straordinaria rivoluzione contenuta nel GDPR è proprio la necessaria “accountability” (o meglio processo di responsabilizzazione) che dovrà animare ogni scelta del Titolare e del Responsabile. E ogni scelta andrà sempre documentata.

Gli stessi principi di “privacy by design” e “privacy by default” si ritrovano già nel Codice della protezione dei dati personali (e in particolare nell’art. 3 dello stesso), ma sono stati spesso o ignorati o sviluppati svogliatamente e in modo squisitamente formale. E – a mio avviso – il “Responsabile della protezione dei dati” (o Data Protection Officer) come previsto dal Regolamento non rappresenta alla fin fine una incredibile novità, se solo si ha cura nel ricordare che nel nostro Codice il “Responsabile del trattamento” è definito un “preposto del titolare al trattamento dei dati“. E ho cercato di spiegare questo concetto in un articolo pubblicato tempo fa proprio sul DPO che vi consiglio di leggere per un opportuno approfondimento di questa delicata figura, della quale si parla moltissimo, a volte a sproposito e forse eccessivamente. E se il DPO si decide di averlo, sulla base di una documentata scelta, va scelto bene. Un DPO scelto male (quindi farlocco) espone, infatti, a sanzioni!

E diffidiamo soprattutto di questi DPO tuttofare (spesso certificati) che si propongono come al mercato e spuntano ovunque. Quindi, il DPO – se si ritiene necessario averlo (o se risulta obbligatoria la sua designazione perchè si è una struttura pubblica oppure una struttura privata che ricada nei casi d obbligo previsti dal GDPR) – è bene – se possibile – che sia interno all’ente.

Per concludere, come ripeto da tempo, coloro che hanno applicato nella sostanza, e non solo (e a malapena) nella forma, il “Codice della privacy” sono a ben più della metà dell’opera per essere “compliant” con il GDPR. Infatti, la differenza di approccio tra GDPR e Codice della protezione dei dati è tutta qui: nella “sostanza documentale” che anima e dovrà animare ogni scelta fondata su un consapevole (a volte sofferto) processo di responsabilizzazione.

Non siamo abituati a tutto questo, ma dobbiamo proprio cambiare approccio! Del resto da un grande potere derivano grandi responsabilità, disse Zio Ben a Ken Parker in punto di morte! O no? 😉
Fonte: Andrea Lisi – Linkedin

Commento del Prof. Pizzetti
Concordo. Aggiungo e sottolineo che non basta nominare un DPO quando è obligatorio e anche quando è opportuno. Occorre sempre, e specialmente quando la nomina è obbligatoria, che il titolare si assicuri che il DPO abbia competenze giuridiche e tecniche e esperienza adeguata per poter svolgere la funzione tenendo conto del tipo di azienda, del tipo di trattamenti, delle finalità e delle attività dell’impresa o del soggetto pubblico interessato. DPO non è solo chi ha competenza giuridica e specifica in materia di protezione dati ma anche chi ha competenze e esperienze adeguate a svolgere la sua funzione nell’ambito della organizzazione in cui è chiamato ad operare e nei confronti del titolare che lo nomina. Il DPO non è una guardia di p.s. che deve controllare il titolare ma piuttosto una sua “guardia del corpo” che deve proteggerlo e tutelare che i trattamenti siano compliant con il GDPR Inoltre (ma solo inoltre) è anche punto di contatto con Autorità di controllo. Infine va sottolineato che se il DPO è inadeguato ai suoi compiti il titolare risponde della cattiva scelta fatta nominandolo anche a sensi del GDPR e relative sanzioni. Sanzioni per cattiva scelta di un DPO (specie se obbligatorio) possono essere elevate.

Questo sito utilizza i cookie per fornire la migliore esperienza di navigazione possibile. Il nostro sito non usa cookie di profilazione. Puoi continuare a navigare in questo sito senza modificare le impostazioni dei cookie o cliccare su "Accetta" permettendo il loro utilizzo. Maggiori informazioni

Questo sito utilizza i cookie per fornire la migliore esperienza di navigazione possibile. Continuando a utilizzare questo sito senza modificare le impostazioni dei cookie o cliccando su "Accetta" permetti il loro utilizzo.

Chiudi