Delle 4 linee guida promesse dal FabLab entro fine anno, il WP29 ha adottato il 13 dicembre la prima, dedicata al ruolo del DPO. Non si tratta ovviamente di nuove normative ma di interpretazioni, esempi e best practices, estremamente opportune in quanto (come dichiarato dal WP29 Stesso) il GDPR contiene diverse ambiguit\u00e0.<\/p>\n
Tralascio le specifiche sulle regole di obbligatoriet\u00e0 della nomina, per le quali a mio parere prevarranno norme nazionali. Anche sulle caratteristiche professionali della figura si dicono solo cose scontate tipo che “maggiore \u00e8 la complessit\u00e0 del trattamento, maggiori dovranno essere le competenze e l’esperienza del DPO”. Interessante invece l’attesa precisazione sulla possibilita di nominare DPO non solo una persona (interna o esterna) ma anche un’entit\u00e0 esterna: “La funzione del DPO pu\u00f2 essere esercitata anche sulla base di un contratto di servizio stipulato con un individuo o di un organizzazione al di fuori dell’organizzazione del Titolare o del Responsabile”; tanto e vero che non sar\u00e0 indispensabile indicare il nome di una persona fra i riferimenti di contatto da rendere pubblici: “I dati di contatto del DPO dovrebbero includere informazioni che consentano alle persone interessate e alle autorit\u00e0 di controllo di raggiungere il DPO in modo semplice (un indirizzo postale, un numero di telefono dedicato e un indirizzo di posta elettronica dedicato). […] l’Articolo 37 (7) non richiede che i dati di contatto pubblicati debbano includere il nome del DPO “.<\/p>\n
Mi soffermo sul ruolo e la posizione in organigramma del DPO. La prima questione \u00e8 se il DPO sia responsabile in prima persona dell’implementazione della privacy in azienda (coincidendo quindi con il Privacy Officer o il Compliance Manager) o se sia invece una figura di controllo (necessariamente distinta dalle precedenti, per evitare di controllare s\u00e9 stesso): a tale proposito sembrerebbe che il WP29 prenda posizione a favore della seconda ipotesi. Gi\u00e0 nell’introduzione si legge infatti “i DPO non sono personalmente responsabili in caso di mancato rispetto del GDPR. Il GDPR rende chiaro che \u00e8 il Titolare o il Responsabile che \u00e8 tenuto a garantire ed essere in grado di dimostrare che il trattamento viene eseguito in conformit\u00e0 con le sue disposizioni “.<\/p>\n
Quanto alla posizione, si legge che il DPO dovr\u00e0 essere “coinvolto” su tutte le questioni che si riferiscono alla protezione dei dati: se ne deduce che sar\u00e0 coinvolto in attivit\u00e0 in carico ad altre figure. Per lo svolgimento di Valutazioni di Impatto sulla Protezione dei Dati, “il GDPR prevede esplicitamente il precoce coinvolgimento del DPO e specifica che il Titolare deve chiedere il parere del DPO nello svolgimento di tali valutazioni d’impatto”: siamo di nuovo al “coinvolgimento” ed alla richiesta di un “parere”. Per facilitare la conformit\u00e0 al GDPR bisogner\u00e0 “informare e consultare” il DPO. Nel caso l’organizzazione decida di non seguire le raccomandazioni del DPO, si raccomanda di documentare le ragioni del disaccordo; ne discende che il DPO \u00e8 visto in qualche modo come terzo rispetto all’azienda, in quanto difficilmente potrebbe essere in disaccordo con s\u00e9 stesso… Nel paragrafo sull’autonomia del DPO, si stabilisce poi che “il Titolare o il Responsabile rimane responsabile per il rispetto della normativa sulla protezione dei dati e deve essere in grado di dimostrare la conformit\u00e0. Se il Titolare o il Responsabile prende decisioni che sono incompatibili con il GDPR e il consiglio del DPO, al DPO dovrebbe essere data la possibilit\u00e0 di chiarire la propria opinione dissenziente a quelli che prendono le decisioni”. Sembrerebbe che il DPO esprima solo un parere ma le decisioni le prendano altri, quindi saremmo di fronte ad una figura di controllo, priva di responsabilit\u00e0 esecutive. Va tuttavia rimarcato che nel paragrafo sul conflitto di interesse, elencando (a titolo di esempio) le figure incompatibili col ruolo, si citano “amministratore delegato, direttore generale, direttore finanziario, direttore sanitario, direttore marketing, risorse umane e IT” e altre figure non apicali, se tali posizioni portano alla determinazione delle finalit\u00e0 e modalit\u00e0 del trattamento: dalla lista sono assenti Privacy Officer o Compliance Manager, che quindi potrebbero apparire figure non incompatibili con il DPO in quanto non determinano finalit\u00e0 e modalit\u00e0 del trattamento.<\/p>\n
Venendo ai compiti, torniamo esplicitamente ad un “controllo del rispetto del GDPR”, azione nel corso della quale il DPO pu\u00f2 raccogliere dati, analizzare la compliance e infine “informare, consigliare e formulare raccomandazioni al Titolare o al Responsabile”. Qui la posizione del WP29 si fa perentoria: “Il controllo della conformit\u00e0 non significa che sia il DPO che \u00e8 personalmente responsabile nel momento in cui vi \u00e8 un caso di non conformit\u00e0. Il GDPR rende chiaro che \u00e8 il Titolare, non il DPO, che \u00e8 tenuto ad ‘attuare misure tecniche e organizzative per garantire e per essere in grado di dimostrare che il trattamento viene eseguito in conformit\u00e0 del presente regolamento’. Il rispetto della protezione dei dati \u00e8 una responsabilit\u00e0 aziendale del Titolare del trattamento, non del DPO “. Analogo approccio \u00e8 tenuto riguardo al ruolo del DPO nei confronti dello svolgimento di Valutazioni di Impatto sulla Protezione dei Dati. Pi\u00f9 sfumata invece la posizione riguardo alla tenuta del Registro dei Trattamenti: pur ribadendo che la responsabilit\u00e0 di questo adempimento \u00e8 in carico al Titolare o al Responsabile e non al DPO, si riconosce che di fatto sar\u00e0 lui a tenere il registro “come uno degli strumenti che permettono al DPO di svolgere i suoi compiti di controllo della conformit\u00e0 “.<\/p>\n
Interessante infine il cenno alla prioritizzazione delle azioni in base ad un approccio risk-based: come mi \u00e8 capitato di rispondere nel corso di una lezione alla domanda di uno studente “ma come faccio a fare tutto subito?”, si suggerisce di definire un piano di azione che attribuisca priorit\u00e0 alla messa in compliance dei trattamenti che presentano maggiori rischi per la protezione dei dati “tenendo conto della natura, la portata, il contesto e le finalit\u00e0 del trattamento”. Il WP29 lascia intendere che un approccio selettivo e pragmatico consentir\u00e0 alle aziende di raggiungere buoni risultati in termini di accountability.<\/p>\n
TROVATE qui il documento WP 243 Orientamenti in materia di responsabili della protezione dei dati<\/a><\/p>\n e qui le FAQ (che non aggiungono molto)\u00a0WP243 ALLEGATO – DOMANDE FREQUENTI<\/a><\/p>","protected":false},"excerpt":{"rendered":" Delle 4 linee guida promesse dal FabLab entro fine anno, il WP29 ha adottato il 13 dicembre la prima, dedicata al ruolo del DPO. Non si tratta ovviamente di nuove normative ma di interpretazioni, esempi e best practices, estremamente opportune in quanto (come dichiarato dal WP29 Stesso) il GDPR contiene diverse ambiguit\u00e0. Tralascio le specifiche\u2026 Leggi tutto »<\/a><\/span><\/p>\n","protected":false},"author":64,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[4,2,3],"tags":[81],"class_list":["post-2031","post","type-post","status-publish","format-standard","hentry","category-data-protection-officer","category-legal-framework","category-roles-and-liabilities","tag-wp29"],"_links":{"self":[{"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/posts\/2031","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/users\/64"}],"replies":[{"embeddable":true,"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/comments?post=2031"}],"version-history":[{"count":4,"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/posts\/2031\/revisions"}],"predecessor-version":[{"id":2038,"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/posts\/2031\/revisions\/2038"}],"wp:attachment":[{"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/media?parent=2031"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/categories?post=2031"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/tags?post=2031"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}