[Aprile 2018] “Le nuove disposizioni in materia di Privacy: la nomina del D.P.O. (Data Protection Officer) in ambito privato. I chiarimenti del Garante per la Protezione dei dati Personali. ”

April 9th, 2018 by D.Danna in Newsletter e circolari informative

Il 25 maggio 2018 entreranno in vigore in tutti i Paesi membri dell’Unione Europea, le disposizioni del Regolamento Europeo n.679/2016 in materia di Privacy.

Come già illustrato in precedente circolare informativa, una delle principali novità introdotte dal Regolamento è rappresentata dalla nuova figura del D.P.O. (Data Protection Officer).
La nomina del D.P.O. è obbligatoria per gli enti pubblici.
Per quanto riguarda, invece, il settore privato occorre determinare, caso per caso, se la nomina del D.P.O. sia o meno obbligatoria.
L’art.37 del Regolamento prevede che la nomina del D.P.O. è obbligatoria se le attività principali del titolare del trattamento o del responsabile del trattamento consistono:
- in trattamenti che richiedono il monitoraggio regolare e sistematico di interessati su larga scala;
- nel trattamento su larga scala di categorie particolari di dati o di dati personali relative a condanne penali e reati.

Il Garante per la Protezione dei dati personali ha fornito un elenco, sia pur esemplificativo, di enti privati che devono necessariamente provvedere alla nomina del D.P.O.: istituti di credito, imprese assicurative, sistemi di informazione creditizia, società finanziarie, società di informazioni commerciali, società di revisione contabile, società di recupero crediti, istituti di vigilanza, partiti e movimenti politici, sindacati, caf e patronati, società operanti nel settore delle utilities (telecomunicazioni, distribuzione di energia elettrica o gas), imprese di somministrazione di lavoro e ricerca del personale, società operanti nel settore della cura della salute, della prevenzione/diagnostica sanitaria quali ospedali privati, terme, laboratori di analisi mediche e centri di riabilitazione, società di call center, società che forniscono servizi informatici, società che erogano servizi televisivi a pagamento.

L’elenco è meramente esemplificativo e da non intendersi, quindi, comprensivo di tutte le ipotesi di nomina obbligatoria del D.P.O.

Il Garante per la Protezione dei Dati Personali, anche al di fuori dei casi previsti dall’art.37 del Regolamento, raccomanda comunque la nomina del D.P.O. e ciò vale, a maggior ragione, nei casi dubbi tenendo presente l’estrema severità delle sanzioni in materia (10 milioni di euro o il 2% del fatturato mondiale di gruppo di imprese, per le infrazioni più lievi; 20 milioni di euro o il 4% del fatturato mondiale in presenza di gruppo di imprese, per le infrazioni più gravi).

Il D.P.O. svolge funzioni di supporto e controllo, consultive, formative ed informative, per la più corretta applicazione delle disposizioni del Regolamento.
Deve naturalmente possedere un’approfondita conoscenza della normativa e delle prassi in materia di privacy ed un grado di professionalità adeguato ai compiti affidatigli.
Il D.P.O. deve agire in totale autonomia ed indipendenza, senza essere assoggettato a specifiche direttive ed istruzioni, riportando direttamente ai vertici aziendali.
Sempre secondo quanto chiarito dal Garante per Protezione dei Dati Personali, al D.P.O. devono essere messe a disposizione le risorse necessarie per lo svolgimento dei compiti affidatigli, quali personale, locali ed attrezzature.
Il D.P.O. può essere prescelto all’interno della realtà aziendale, mediante specifico atto di nomina, o all’esterno di essa (tramite un contratto di “servizi”).

Nel scelta del D.P.O. deve essere tenuta ben presente la finalità di evitare qualsivoglia profilo di conflitto di interessi. Il Garante della Protezione dei dati Personali suggerisce quindi di evitare il conferimento della nomina di D.P.O. a soggetti che ricoprano incarichi di alta direzione (amministratore delegato, membri del consiglio di amministrazione, direttori generali etc. etc.) o nell’ambito di strutture che rivestano poteri decisionali sulle finalità e modalità di trattamento dei dati (direzione risorse umane, direzione marketing, direzione finanziaria, responsabile IT etc. etc.).

I tempi per adeguarsi alla nuova normativa sono ormai molto stretti e pertanto anche nel settore privato deve essere necessariamente adottata con urgenza, nei casi in cui ciò non sia ancora avvenuto, ogni decisione anche in merito alla nomina del D.P.O. ed all’individuazione del soggetto idoneo a svolgere tale incarico con i necessari requisiti di professionalità ed autonomia.
°°°

Lo Studio è naturalmente a disposizione per ogni necessità ed approfondimento.
* Marco Emanuele Galanti - Fabio Meriggi

*Studio Legale Galanti Meriggi & Partners