La figura del DPO: compiti e funzioni all'interno dell'organizzazione del titolare del trattamento
1. Regione Piemonte - CSI
23 settembre 2021
Avv. Rocco Panetta
Managing Partner – PANETTA
Il Data Protection Officer (DPO)
www.panetta.net
La figura del DPO: compiti e funzioni all’interno
dell’organizzazione del titolare del trattamento
2. Accountability e gestione dei rischi: una questione di ordine
TITOLARE DEL TRATTAMENTO
INCARICATI
RESPONSABILE
DEL TRATTAMENTO
SUB-RESPONSABILE
DEL TRATTAMENTO
CHIARA INDIVIDUAZIONE
DEI RUOLI
CORRETTA ALLOCAZIONE
DELLE RESPONSABILITÀ
ACCOUNTABILITY DEL TITOLARE
ORGANIZZAZIONE
PROCEDURE
MISURE
TECNICHE ED
ORGANIZZATIVE
ADEGUATE
AL RISCHIO
ATTO DI NOMINA
RESPONSABILI
ATTO DI NOMINA
SUB-RESPONSABILI
VALUTAZIONE DEL RISCHIO
NOMINA
INCARICATI
Governance dei flussi e allocazione
delle responsabilità
INDIVIDUAZIONE
DEL DPO
DPO
3. La figura del Data Protection Officer (DPO)
Designazione del DPO
Designazione del DPO Art. 37 GDPR
Titolari e responsabili sono tenuti a nominare il DPO in via obbligatoria quando:
a) il trattamento è effettuato da un’autorità pubblica o da un organismo pubblico, eccetto
autorità giurisdizionali;
b) le attività principali del titolare o del responsabile del trattamento consistono in
trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il
monitoraggio regolare e sistematico degli interessati su larga scala; o
c) le attività principali del trattamento o del responsabile del trattamento consistono nel
trattamento, su larga scala, di categorie particolari di dati personali di cui all’articolo 9
o di dati relativi a condanne penali e a reati di cui all’art. 10.
4. La figura del Data Protection Officer (DPO) - segue
Individuazione del DPO
• DPO del responsabile del trattamento: l’art. 37 non fa distinzioni, potrà essere il
solo titolare o il responsabile ad effettuare la nomina. Resta inteso che i DPO
rispettivamente nominati dovranno sempre collaborare tra loro.
• DPO per più enti: può essere nominato un unico DPO per più società dello stesso
gruppo o per più autorità pubbliche o organismi pubblici. Se necessario può essere
costituito un team di professionisti al fine di garantire maggiore efficienza.
• DPO in possesso di conoscenze specialistiche: livello e preparazione proporzionata
a sensibilità, complessità e quantità dei dati sottoposti a trattamento. Possesso di
qualità professionali adeguate al ruolo e capacità di assolvere i propri compiti.
Il DPO può anche essere in outsourcing sulla
base di un contratto di servizi stipulato con
persona fisica o giuridica.
5. Il ruolo del DPO all’interno dell’organizzazione
La posizione del DPO Art. 38 GDPR Il DPO deve relazionarsi direttamente
con i vertici dell’organizzazione in cui
opera.
Un potenziale conflitto di interessi può assumere varie
configurazioni a seconda che il DPO sia designato fra
soggetti interni o esterni all’organizzazione.
In ogni caso il DPO non può essere rimosso o
penalizzato dal titolare o dal responsabile per
l’adempimento dei propri compiti in ossequio al
GDPR.
• AUTONOMIA FUNZIONALE
Il titolare o responsabile devono garantire che il DPO adempia ai propri compiti ed alle
proprie funzioni in piena indipendenza, senza ricevere alcuna istruzione.
• INDIPENDENZA SOSTANZIALE
Ogni altra funzione professionale eventualmente svolta dal DPO deve essere
compatibile con i compiti e le funzioni allo stesso assegnate in tale qualità, senza
conflitti di interessi.
• INCOMPATIBILITÀ
Un DPO non può rivestire un ruolo che comporti la definizione delle finalità o mezzi
del trattamento dei dati personali.
• BEST PRACTICE
È possibile ritenere che le funzioni di stretto “controllo” della vita dell’ente/azienda
titolare o responsabile, siano le più indicate per ricoprire il ruolo, es. General Counsel,
Compliance, Internal Audit, etc.
6. Focus: il ruolo del DPO nello svolgimento della
Data Protection Impact Assessment (DPIA)
«Il titolare del trattamento, allorquando svolge una
valutazione d'impatto sulla protezione dei dati, si consulta
con il responsabile della protezione dei dati, qualora ne
sia designato uno».
Art. 35(2)
Il DPO è incaricato di «fornire, se richiesto, un parere in
merito alla valutazione d'impatto sulla protezione dei dati
e sorvegliarne lo svolgimento ai sensi dell'articolo 35».
Il DPO funge «da punto di contatto per l'autorità di
controllo per questioni connesse al trattamento, tra cui la
consultazione preventiva di cui all'articolo 36».
Art. 39(1)
RUOLO CONSULTIVO E DI ASSISTENZA NEI CONFRONTI
DEL TITOLARE
➢ se condurre o meno una DPIA;
➢ quale metodologia adottare nel condurre una DPIA;
➢ se condurre la DPIA con le risorse interne ovvero esternalizzandola;
➢ quali salvaguardie applicare, comprese misure tecniche e organizzative, per attenuare i
rischi per i diritti e gli interessi delle persone interessate;
➢ se la DPIA sia stata condotta correttamente o meno, e se le conclusioni raggiunte siano
conformi al GDPR.
Il WP29, nelle "Linee guida sui responsabili per la protezione dei dati" (WP 243/2016),
raccomanda che il titolare si consulti con il DPO, fra l’altro, sulle seguenti tematiche:
Qualora il titolare non concordi con le indicazioni
fornite dal DPO, è necessario che la
documentazione relativa alla DPIA riporti
specificamente per iscritto le motivazioni per cui
si è ritenuto di non conformarsi a tali indicazioni.
Si consideri che il Garante ha valutato, in sede di definizione del quantum di una
sanzione, favorevolmente la circostanza che il titolare abbia seguito il parere del DPO –
cfr. Ordinanza ingiunzione nei confronti del Comune di Greve in Chianti - 2 luglio 2020
[9440025]
7. Managing Partner – PANETTA Studio Legale
AVV. ROCCO PANETTA
www.panetta.net www.strandadvisory.eu www.ptpservices.eu
Founder – Strand | PTP Privacy & Tecnology Professionals
Piazza Colonna, 355
00187, ROMA
r.panetta@panetta.net
Country Leader for Italy and Board of Directors Member – IAPP