Pagine a cura di Antonio Ciccia Messina
Le aziende, che trattano dati su larga scala, e gli enti pubblici devono nominare il Responsabile della protezione dei dati o, all’inglese, Data protection officer («Dpo»). Lo prevede il regolamento Ue 2016/679 sulla privacy. Parlerà con il Garante della privacy, istruirà imprenditori e p.a., darà il suo benestare ai progetti più importanti valutando le criticità di privacy e raccoglierà le doglianze degli interessati.
L’identikit della nuova figura si è arricchito degli elementi descritti dal Gruppo di lavoro ex articolo 29 della Commissione europea (siglabile «WP29»), nelle Linee guida del 13 dicembre. È vero che lo vedremo aprire i battenti il 25 maggio 2018, ma non si trovano Dpo dall’oggi al domani. E se bisogna assumerne uno, o acquisire una consulenza esterna, bisogna guardarsi in giro per tempo.
L’impresa obbligata e la pubblica amministrazione devono scegliere un Dpo preparato e affidabile e devono, per il loro stesso bene, guardare di buon occhio al fatto che il Dpo farà, dovrà fare le pulci se qualcosa, nel trattamento dei dati, non va per il verso giusto. D’altra parte gli importi, draconiani, delle sanzioni amministrative consigliano si adeguarsi e di scegliere il Dpo più in grado di aiutare l’impresa e l’ente nel contesto in cui operano.
La stessa mancata nomina del Dpo, di per sé, può costare caro: fino a 10 milioni di euro; o, se superiore, per le imprese, fino al 2% del fatturato totale mondiale annuo.
A parte la difficoltà di ritenere verosimile che un piccolo comunello sia soggetto a una sanzione così alta (e, a questo proposito, si aspettano le indicazioni dei garanti europei sulla graduazione delle sanzioni), resta il fatto dell’obbligo della nomina.
Il «Dpo». È una funzione aziendale o dell’ente pubblico, investita di compiti consultivi, di assistenza e di vigilanza del rispetto della disciplina del regolamento Ue sulla privacy. Può essere contattato direttamente dagli interessati e dal Garante della privacy. I compiti del Dpo sono descritti nell’art. 39 del Regolamento Ue. Al Dpo possono essere assegnati diversi compiti: informare e fornire consulenza sugli obblighi derivanti dalla normativa sulla protezione dei dati; sorvegliare l’osservanza delle norme, compresi l’attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo; fornire pareri in merito alla valutazione d’impatto sulla protezione dei dati e sorvegliarne lo svolgimento; cooperare con il Garante e fungere da punto di contatto con lo stesso.
Obbligo di nomina. In alcuni casi la nomina del Dpo è obbligatoria. In sintesi si tratta degli enti pubblici e dei soggetti privati che effettuano monitoraggio delle persone su larga scala oppure trattano dati sensibili su larga scala.
Il problema è l’assoluta vaghezza e indeterminatezza del Regolamento Ue, che non definisce il concetto di larga scala e gli altri requisiti valutativi della norma specifica (art. 37).
Le Linee guida in commento offrono qualche spunto in più, ma non sufficiente. Se ne rende conto lo stesso Gruppo di lavoro che rinvia a ulteriori precisazioni e esemplificazioni.
Privati. Le Linee guida danno alcuni indici generali per individuare i requisito della larga scala: numero degli interessati; volume dei dati e tipi di dati trattati, durata del trattamento, ambito geografico dell’attività. Si forniscono anche alcuni esempi di trattamenti su larga scala: gli ospedali, i sistemi di traporto pubblico, geo-localizzazione dei clienti di una catena commerciale internazionale, le compagnie di assicurazione, le banche, i fornitori di servizi di telecomunicazioni, i motori di ricerca per trattamenti di dati per pubblicità mirata al comportamento delle persone.
Enti pubblici. Tutti gli enti pubblici, tranne gli organi giudiziari, devono nominare il Dpo: i ministeri come le università, i comuni come le regioni. Le Linee guida, sul punto della individuazione degli enti pubblici, rinviano alle leggi nazionali. Poi aggiungono che ci sono enti, diversi dagli enti pubblici istituzionali, cui si applica diritto pubblico, e che operano per il pubblico interesse. Ad esempio le società in mano pubblica nel settore dei servizi pubblici (energia, ambiente ecc.). Per questi enti la nomina del Dpo non è obbligatoria, ma è consigliato come buona pratica.
Fonte:
d.getElementsByTagName(‘head’)[0].appendChild(s);