Responsabile della protezione dei dati

Devo nominare un RPD?

Per scoprirlo rispondi alle domande attraverso il nostro diagramma di flusso interattivo!

*I tribunali che agiscono in qualità di giudici sono un'eccezione!

Tratto dati particolari (sensibili) o dati relativi a condanne penali e reati

Lo faccio su vasta scala

Svolgo un monitoraggio regolare e sistematico delle persone

Le mie attività principali richiedono il trattamento di dati particolari (sensibili)
o di dati relativi a condanne penali e reati

Lo faccio su vasta scala

Le mie attività principali richiedono un monitoraggio regolare e sistematico

Devo nominare un RPD?

Sì, la nomina di un RPD è obbligatoria

Devo nominare un RPD?

No, la nomina di un RPD è facoltativa.
Tuttavia è consigliata.

Cos'è un DPO e la tua organizzazione ne ha bisogno?

Cos'è un DPO e cosa fa?

Il responsabile della protezione dei dati (denominato anche "DPO") è un esperto in materia di protezione dei dati che fornisce consulenza sulla conformità alla protezione dei dati all'interno di un'organizzazione.

Il responsabile della protezione dei dati deve essere coinvolto, in modo adeguato e tempestivo, in tutte le questioni relative alla protezione dei dati personali.

Secondo il GDPR, i compiti del DPO sono, almeno, i seguenti:

  • informare e consigliare l'organizzazione e i suoi dipendenti in merito alla conformità alla protezione dei dati;
  • monitorare la conformità alla protezione dei dati;
  • fornire consulenza sulle richieste relative alla valutazione d'impatto sulla protezione dei dati (DPIA);
  • fungere da punto di contatto per l'autorità per la protezione dei dati (DPA) e cooperare con tale autorità per la protezione dei dati;
  • fungere da punto di contatto per gli individui.

La presenza del DPO è generalmente raccomandata quando vengono prese decisioni con implicazioni in materia di protezione dei dati. Il responsabile della protezione dei dati deve inoltre essere prontamente consultato una volta che si è verificata una violazione dei dati o un altro incidente.

In pratica, il DPO è anche spesso incaricato dal titolare del trattamento o dal responsabile del trattamento con il compito di mantenere la registrazione delle operazioni di trattamento.

Link
Art. 38 GDPR

EUR-Lex

Link
Art. 39 GDPR

EUR-Lex

Link
Gruppo di lavoro Articolo 29: linee guida sui responsabili della protezione dei dati

Redazione della Commissione europea

La mia organizzazione ha bisogno di un DPO?

La nomina di un responsabile della protezione dei dati è obbligatoria nei tre casi seguenti:

  • L'organizzazione è un'autorità pubblica che effettua il trattamento dei dati personali;
  • le attività principali dell'organizzazione consistono nel monitoraggio regolare e sistematico delle persone su larga scala, ad esempio la geolocalizzazione tramite un'applicazione mobile, o nella sorveglianza dei centri commerciali e degli spazi pubblici attraverso la TVCC;
  • le attività principali dell'organizzazione consistono nell' elaborazione su larga scala di dati sensibili.

Le nozioni di "attività principali", "monitoraggio regolare e sistematico" e "su larga scala" sono cruciali per determinare se un'organizzazione debba nominare un DPO.

"Attività principali": le operazioni di trattamento sono fondamentali per conseguire gli obiettivi del titolare del trattamento o del responsabile del trattamento. Queste includono anche tutte le attività in cui il trattamento dei dati costituisce una parte ineludibile dell'attività del titolare del trattamento o del responsabile del trattamento.

"Su larga scala" dipende da diversi fattori, quali il volume dei dati trattati, il numero di persone interessate — come numero specifico o come  percentuale della popolazione interessata — la durata e la portata geografica del trattamento.

Il "monitoraggio regolare e sistematico" comprende tutte le forme di tracciamento e profilazione su Internet, anche ai fini della pubblicità comportamentale. Tuttavia, il concetto di monitoraggio non si limita all'ambiente online.

Nella pratica

  • Attività principali

Ad esempio, lo scopo principale di una clinica è quello di fornire servizi sanitari agli individui. In questo caso, il trattamento dei dati sanitari, come le cartelle cliniche dei pazienti, dovrebbe essere considerato come una delle attività principali dell'organizzazione.

Tuttavia, tutte le organizzazioni svolgono determinate attività di supporto, ad esempio pagando i propri dipendenti o svolgendo attività di supporto IT standard. Questi sono esempi di funzioni di supporto necessarie per l'attività principale dell'organizzazione o per il business principale. Anche se queste attività sono necessarie o essenziali, di solito sono considerate funzioni accessorie piuttosto che l'attività principale.

 

  • Su larga scala

Esempi di trasformazione su larga scala includono ad esempio:

  1. il trattamento dei dati del paziente nell'ambito delle attività quotidiane di un ospedale;
  2. il trattamento dei dati dei clienti nell'ambito delle attività quotidiane di una compagnia assicurativa o di una banca;
  3. il trattamento a fini statistici dei dati di localizzazione dei clienti di una catena internazionale di fast food da parte di un subappaltatore specializzato in tali servizi;
  4. il trattamento di dati personali per la pubblicità comportamentale da parte di un motore di ricerca;
  5. il trattamento dei dati (contenuto, flusso, ubicazione) da parte di fornitori di servizi telefonici e Internet.

Esempi di trattamenti che non sarebbero considerati su larga scala:

  1. trattamento dei dati dei pazienti da parte di un unico medico di base;
  2. trattamento di dati personali relativi a condanne e reati da parte di un singolo avvocato.

 

  • Monitoraggio regolare e sistematico

Ad esempio, il monitoraggio regolare e sistematico riguarda il retargeting delle e-mail; attività di marketing basate sui dati; profilazione e punteggio ai fini della valutazione del rischio (ad esempio, ai fini del punteggio del credito, dell'istituzione di premi assicurativi, della prevenzione delle frodi, dell'individuazione del riciclaggio di denaro); tracciamento della posizione (ad esempio, tramite app mobili); programmi di fidelizzazione; pubblicità comportamentale; monitoraggio dei dati relativi al benessere, al fitness e alla salute tramite dispositivi indossabili; telecamere a circuito chiuso; dispositivi connessi (ad es. misuratori intelligenti), auto intelligenti, domotica, ecc.

In quanto tale, un responsabile del trattamento che ha come attività principale quella di fornire servizi di analisi dei siti web e assistenza con pubblicità e marketing mirati, dovrà nominare un RDP (responsabile della protezione dei dati).

È sempre possibile nominare un RPD su base volontaria, anche se ciò non è richiesto dalla legge. Si prega di notare che in tal caso, è necessario rispettare tutte le disposizioni del GDPR relative ai compiti e alla posizione del responsabile della protezione dei dati. Pertanto, si consiglia di utilizzare il titolo di RPD solo per una persona la cui funzione e posizione corrisponde alla descrizione del GDPR.

Link
Art.37 GDPR

EUR-Lex

Link
Art.38 GDPR

EUR-Lex

Link
Art.39 GDPR

EUR-Lex

Link
Gruppo di lavoro Articolo 29: linee guida sui responsabili della protezione dei dati

Redazione della Commissione europea

Chi può essere RPD nella mia organizzazione?

L'RPD deve essere in grado di svolgere i propri doveri e compiti in modo indipendente. Ciò significa che la tua organizzazione:

  • non può impartire istruzioni all'RPD per quanto riguarda l'esercizio delle proprie funzioni;
  • non può penalizzare o licenziare l’RPD per lo svolgimento dei propri compiti.

L'autonomia dei RPD non significa, tuttavia, che essi dispongano di poteri decisionali che vadano oltre i loro compiti. Le organizzazioni rimangono responsabili della conformità alla legge sulla protezione dei dati e devono essere in grado di dimostrare l’ottemperanza ad essa.

L’RPD dovrebbe essere visto come un partner per il confronto all'interno dell'organizzazione e dovrebbe prendere parte alle discussioni relative alle attività di elaborazione dei dati all'interno dell'organizzazione.

Gli RPD afferiscono direttamente al più alto livello del management del titolare del trattamento o del responsabile del trattamento.

Gli RPD possono svolgere altri compiti all'interno dell'organizzazione, ma questi non possono tradursi in un conflitto di interessi. Ciò implica che l’RPD non può determinare le finalità e i mezzi delle attività di trattamento dei dati personali. Le funzioni conflittuali comprendono principalmente posizioni dirigenziali (Amministratore, Direttore operativo, Direttore finanziario, Direttore risorse umane, Direttore sistemi informativi, Direttore generale) ma possono anche includere altre funzioni se quest’ultime possono decidere le finalità e i mezzi del trattamento.

Ai sensi del GDPR è possibile nominare un RPD esterno con contratto. Il presente contratto può essere concluso con una persona fisica o un'organizzazione. In quest'ultimo caso, è essenziale che ogni membro dell'organizzazione non abbia un conflitto di interessi e sia tutelato contro qualsiasi risoluzione illegittima del contratto di servizio, ma anche contro il licenziamento illegittimo per il suo incarico di RPD.

La vostra organizzazione dovrebbe assistere l’RPD fornendo accesso a tutte le operazioni di trattamento dei dati, nonché a tutti i dati personali trattati nel contesto di tali operazioni. È fondamentale che l’RPD sia coinvolto fin dalla prima fase in tutte le questioni relative alla protezione dei dati. Dovrebbero inoltre essere messe a disposizione dell'RPD le risorse necessarie per svolgere le proprie funzioni (tempo, formazione, attrezzature e mezzi finanziari).

Nella pratica

Nello svolgimento dei loro compiti, gli RPD non devono essere istruiti su come affrontare una questione. Ad esempio, agli RPD non dovrebbero essere date indicazioni su quale dovrebbe essere il risultato del loro parere o su come debbano procedere in merito a un reclamo di una persona o se sia appropriata o obbligatoria la consultazione dell'autorità per la protezione dei dati. Inoltre, agli RPD non deve essere ordinato di prendere posizione su una questione relativa al diritto in materia di protezione dei dati, ad esempio su una particolare interpretazione della legge.

Link
Art. 38 GDPR

EUR-Lex

Link
Art. 39 GDPR

EUR-Lex

Link
Gruppo di lavoro Articolo 29: linee guida sui responsabili della protezione dei dati

Redazione della Commissione europea

Lista di controllo per la nomina di un RPD

  • Verificare se è richiesto o meno un RPD: Verificare se è necessario nominare un RPD e, in caso di dubbio, documentare i motivi per cui si nomina o meno un RPD.
  • Se è richiesto un RPD:
    • Decidere tra un RPD interno o esterno: se è richiesto un RPD, decidere se sarà un membro della vostra organizzazione o un RPD esterno con un contratto di incarico;
    • Verificare che l’ RPD possieda le qualità professionali e le competenze necessarie in materia di diritto della protezione dei dati, l’esperienza e la capacità di svolgere il proprio incarico;
    • Verificare i requisiti di indipendenza: verificare se l'RPD abbia altri incarichi che possano comprometterne l’indipendenza nello svolgimento del proprio incarico (conflitti di interessi);
    • Sviluppare procedure standard all'interno della governance della tua organizzazione per il coinvolgimento del RPD
  • Se non è richiesto un RPD:
    • Pensaci: anche se non si deve nominare un RPD ai sensi del GDPR, sarà comunque necessario rispettare una serie di requisiti per la protezione dei dati. Ti consigliamo di nominare comunque o un RPD su base volontaria, o una persona che benché senza la qualifica di RPD, possa comunque verificare gli adempimenti alla legge e agire come referente per le persone che vogliano esercitare i propri diritti.