Previous Page  18 / 53 Next Page
Information
Show Menu
Previous Page 18 / 53 Next Page
Page Background

SPECIALE GDPR

Funzioni, caratteristiche, responsabilità e casi di nomina obbligatoria.

I

l cambiamento che impone il Regolamento del Parla-

mento Europeo, 27 aprile 2016, n. 2016/679 consiste

nell’innalzamento del livello di consapevolezza del valo-

re della privacy. Il Regolamento si fonda sul principio di

responsabilizzazione (accountability) del titolare e offre

un quadro di riferimento in termini di compliance. Tra le

novità introdotte, la nomina del Data Protection Officer

(d’ora in poi anche DPO), ovvero Responsabile Prote-

zione Dati, riveste in tal senso una particolare rilevanza.

Tale figura è prevista nel capo IV, sezione IV, articolo 37

del Regolamento, rubricato appunto “Designazione del

Responsabile della protezione dei dati” ed è stata altresì

oggetto di un intervento del Gruppo di Lavoro Articolo

29 (Gruppo di lavoro sulla tutela delle persone fisiche

con riguardo al trattamento di dati personali, istituito

dalla Direttiva 95/46 CE del Parlamento Europeo e del

Consiglio del 24.10.1995) che ha redatto Le Linee Guida

sul Responsabile della Protezione dati (RDP), adottate

il 13.12.2016 ed emendate il 5.04.2017.

I casi di nomina obbligatoria

L’articolo 37 esordisce, ai sensi del paragrafo 1, lette-

ra a), indicando i casi di nomina obbligatoria del DPO,

ovverosia ogni qualvolta il trattamento è effettuato da

un’autorità pubblica o da un organismo di diritto pub-

blico, ad eccezione delle autorità giurisdizionali, nell’e-

sercizio delle loro funzioni giurisdizionali.Pertanto, indi-

pendentemente dalla tipologia di dati trattati, le autorità

pubbliche e gli organismi di diritto pubblico sono tenuti

alla nomina del DPO.

La prima questione che si pone riguarda quindi la de-

finizione di autorità pubblica e di organismo di diritto

pubblico. Ma se nel Regolamento non è rinvenibile alcuna

definizione in tal senso, le Linee guida invece rimandano

per la definizione alla legislazione degli Stati membri.

In attesa dell’approvazione della legge che abrogherà

l’attuale Codice della Privacy (D. Lgs. 196/2003), che

MA CHI È IL DATA

PROTECTION OFFICER?

Angelica Alessi

Avvocato del Foro di Roma

dovrà fornire la definizione di autorità pubblica e orga-

nismo di diritto pubblico, si può ritenere che l’obbligo

di nomina del DPO, con riferimento al settore pubblico,

debba ricadere sui medesimi soggetti di cui agli articoli

18 e ss. D. Lgs. 196/2003.

Ancora con riguardo ai soggetti pubblici, occorre se-

gnalare che potrebbero essere obbligati alla nomina del

DPO, e quindi rientrare nella previsione di cui all’articolo

37 del Regolamento, non solo i soggetti pubblici titolari

del trattamento, ma anche i soggetti privati che opera-

no in outsourcing per la PA e che, in virtù del rapporto

contrattuale con la medesima, assumono la qualifica di

responsabili del trattamento.

Ai sensi dell’articolo 37, paragrafo 1, lettera b), sono

altresì soggetti all’obbligo di nomina del DPO i titolari

e i responsabili del trattamento dei dati personali le cui

attività principali consistono in trattamenti che per loro

natura, ambito di applicazione e/o finalità, richiedono il

monitoraggio regolare e sistematico degli interessati su

larga scala, oppure, ai sensi della lettera c) ogniqualvolta

le attività principali del titolare del trattamento o del re-

sponsabile del trattamento consistono nel trattamento

su larga scala di categorie particolari di dati personali

di cui all’articolo 9 (dati sensibili) o di cui all’articolo 10

(trattamento dei dati personali relativi a condanne pe-

nali e reati).

Nel Considerando 97, si afferma che nel settore privato

le “attività principali di un titolare del trattamento riguar-

dano le sue attività primarie ed esulano dal trattamento

dei dati personali come attività accessoria”.

Con “attività principali” si possono intendere quindi le

operazioni essenziali al raggiungimento degli obiettivi

perseguiti dal titolare o dal responsabile del trattamen-

to. Nel concetto di attività principali si ritiene debbano

essere ricomprese anche quelle che pur non coincidendo

con le finalità del titolare sono tuttavia imprescindibili

per la loro realizzazione.

48

dicembre 2017

1 13 14 15 16 17 18 19 20 21 22 23 24 53  FlippingBook