In base al GDPR, che entrerà in vigore il 25 maggio 2018, tutte le autorità pubbliche e tutti i soggetti pubblici, indipendentemente dai dati oggetto di trattamento, e per altri soggetti che, come attività principale, effettuino un monitoraggio regolare e su larga scala delle persone fisiche ovvero trattino su larga scala categorie particolari di dati personali (dati sensibili) dovranno nominare un Data Protection Officer.

Anche per i soggetti che non rientrano nell’obbligo di nomina del DPO, il WP29 suggerisce ed invita alla nomina dello stesso.

Quando è obbligatoria la nomina di un DPO

In base all’art 37 del GDPR la nomina di un DPO è obbligatoria in 3 casi:

1. se il trattamento è svolto da un’autorità pubblica o da un organismo pubblico;
2. se le attività principali del titolare o del responsabile consistono in trattamenti che richiedono il monitoraggio regolare e sistematico di interessati su larga scala;
3. se le attività principali del titolare o del responsabile consistono nel trattamento su larga scala di categorie particolari di dati o di dati personali relativi a condanne penali e reati

il WP29 raccomanda, tranne quando sia evidente che un soggetto non sia sottoposto alla nomina obbligatoria di un DPO, di documentare le valutazioni fatte in azienda che abbiano portato alla decisione di nominare o meno un Responsabile Per i Dati personali. Tale documentazione può essere richiesta dall’autorità di controllo e rientra nel principio di responsabilizzazione.

Definizione di “autorità pubblica o organismo pubblico

Il WP29 non fa un’esplicita definizione di autorità o organismo pubblico ma rimanda alla definizione offerta dal diritto nazionale. A tale categoria di soggetti, quindi, appartengono anche le autorità nazionali, regionali e locali. La nozione ricomprende anche tutta una serie di organismi di diritto pubblico.

In ogni caso il WP29 consiglia la nomina di un DPO qualora l’organismo o l’autorità, anche se privati, esercitino pubblici poteri oppure siano incaricati di funzioni pubbliche

Definizione di “Larga scala”

Anche se è impossibile dare una definizione precisa di larga scala senza fornire dei dati precisi in merito, il WP29 raccomanda di tenere conto di determinati fattori quali:

• il numero di soggetti interessati dal trattamento, in termini assoluti ovvero espressi in percentuale della popolazione di riferimento;
• il volume dei dati e/o le diverse tipologie di dati oggetto di trattamento;
• la durata, ovvero la persistenza, dell’attività di trattamento;
• la portata geografica dell’attività di trattamento

I compiti del Data Protection Officer

Fanno parte di questi compiti di controllo svolti dal RPD, in particolare,

• la raccolta di informazioni per individuare i trattamenti svolti;
• l’analisi e la verifica dei trattamenti in termini di loro conformità,
• l’attività di informazione, consulenza e indirizzo nei confronti di titolare o responsabile.

Fonte: art. 39, paragrafo 1, lettera b), GDPR

Per quanto riguarda la valutazione d’impatto sulla protezione dei dati e alla tenuta del registro dei trattamenti il titolare del trattamento dovrebbe consultare il DPO sulle seguenti tematiche:

• se condurre o meno una DPIA;
• quale metodologia adottare nel condurre una DPIA;
• se condurre la DPIA con le risorse interne ovvero esternalizzandola;
• quali salvaguardie applicare, comprese misure tecniche e organizzative, per attenuare i rischi per i diritti e gli interessi delle persone interessate;
• se la DPIA sia stata condotta correttamente o meno, e se le conclusioni raggiunte (procedere o meno con il trattamento, e quali salvaguardie applicare) siano conformi ai requisiti in materia di protezione dei dati.

Guarda come possiamo aiutarti in ambito Privacy. Clicca qui

Fonti e approfondimenti:

http://194.242.234.211/documents/10160/0/Linee-guida+sui+responsabili+della+protezione+dei+dati+%28RPD%29+-+WP+243.pdf