Data Protection Officer

Contesto

ll 25 gennaio 2012, la Commissione europea ha ufficialmente presentato con un Regolamento Europeo, la proposta di aggiornamento della normativa concernente la tutela delle persone fisiche con riguardo al trattamento dei dati personali e alla libera circolazione di tali dati.

Il Regolamento in questione, non solo andrà a sostituire la direttiva 95/46/CE in materia di protezione dei dati personali – recepita dal legislatore italiano con la legge 675/96, successivamente sostituita dal D.Lgs. 196/03, il nostro attuale “Codice Privacy” – ma uniformerà ed armonizzerà a livello europeo la legislazione in materia di protezione dei dati personali, risalente ormai a quasi 20 anni fa. Le imprese europee saranno agevolate da un quadro legislativo comune, senza così dover far fronte a normative differenti in ciascuno stato membro.

Il Regolamento UE, come atto “self-executing” (ai sensi dell’art. 288 del Trattato sul funzionamento dell’Unione europea – TFUE), sarà direttamente ed immediatamente esecutivo e non necessiterà del recepimento da parte degli Stati membri, divenendo operativo dal momento in cui sarà approvato. In linea con l’approccio pragmatico scelto dalla Commissione UE, sarà lasciato agli Stati membri ed alle Autorità competenti in materia un certo margine per mantenere o adottare, in conformità al Regolamento, norme specifiche di settore.

L’ultima versione del Regolamento, approvato in prima lettura dal Parlamento Europeo il del 12 marzo 2014 (il cui testo è stato votato in maniera schiacciante, 621 voti a favore, 10 contrari e 22 astensioni) è del 14/04/2016, la pubblicazione è avvenuta in data 4 maggio 2016 ed il Regolamento è diventato il n. 679/2016.

I Titolari del trattamento (imprese private, enti pubblici, studi professionali, etc.) avranno tempo due anni dalla pubblicazione del testo definitivo per mettersi in regola con gli adempimenti derivanti (il termine ultimo è quindi stabilito per il maggio 2018).

Uno degli obblighi previsti dal nuovo regolamento è quello di nominare un professionista della materia denominato Data Protection Officer (DPO)

Destinazione figura professionale: Pubblica Amministrazione – Imprese

 

Obbligo di nominare il DPO

Sarà obbligatorio nominare il DPO nei seguenti casi:

  • il trattamento è effettuato da un’autorità pubblica o da un organismo pubblico, eccettuate le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali;
  • le attività principali del Titolare del trattamento o del Responsabile del trattamento consistono in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati sularga scala;
  • le attività principali del Titolare del trattamento o del Responsabile del trattamento consistono nel trattamento, su larga scala, di categorie particolari di dati personali di cui all’articolo 9 (dati particolari | sensibili) o di dati relativi a condanne penali e a reati di cui all’articolo 10.

Il DPO andrà designato per un dato periodo ed in funzione delle qualità professionali, della conoscenza specialistica della normativa. I Titolari del trattamento dovranno assicurarsi che ogni altra eventuale funzione professionale della persona che rivestirà il ruolo di DPO sia compatibile con i compiti e le funzioni dello stesso in qualità di DPO e non dia adito a conflitto di interessi (dovrà quindi essere autonomo, indipendente e non ricevere alcuna istruzione per l’esercizio delle sue attività).

Il DPO, il cui mandato potrà essere rinnovabile, potrà essere assunto oppure adempiere ai suoi compiti in base a un contratto di servizi. Il Titolare del trattamento, che a seconda della forma contrattuale, potrà essere datore di lavoro o committente, dovrà fornire al DPO tutti i mezzi inclusi il personale, i locali, le attrezzature e ogni altra risorsa necessaria per adempiere alle sue funzioni e per mantenere la propria conoscenza professionale. I principali compiti del DPO, il cui nominativo andrà comunicato all’Autorità di Controllo.

Compiti del DPO

L’articolo 39 del Regolamento 679/2016/UE prevede i compiti specifici del Data Protection Officer:

  • informare e fornire consulenza al titolare del trattamento o al responsabile del trattamento nonché ai dipendenti che eseguono il trattamento in merito agli obblighi derivanti dal presente regolamento nonché da altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati;
  • sorvegliare l’osservanza del presente regolamento, di altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati nonché delle politiche del titolare del trattamento o del responsabile del trattamento in materia di protezione dei dati personali, compresi l’attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo;
  • fornire, se richiesto, un parere in merito alla valutazione d’impatto sulla protezione dei dati e sorvegliarne lo svolgimento ai sensi dell’articolo 35;
  • cooperare con l’autorità di controllo;
  • fungere da punto di contatto per l’autorità di controllo per questioni connesse al trattamento, tra cui la consultazione preventiva di cui all’articolo 36, ed effettuare, se del caso, consultazioni relativamente a qualunque altra questione.
Competenze tecniche obiettivo del percorso formativo

Essendo la figura del DPO obbligatoria sia per tutte le pubbliche amministrazioni che per particolari tipologie di aziende sarà necessario dotare i soggetti che ricopriranno tale ruolo di alcune competenze generali in ambito giuridico, informatico ed organizzativo, per poi integrare queste ultime con aspetti specifici per coloro che rivestiranno tale ruolo in ambito pubblico.

Le competenze generali comuni a tutti i percorsi che dovranno essere acquisite dai partecipanti ai percorsi formativi saranno le seguenti:

  • Conoscenza dell’evoluzione normativa italiana ed europea in ambito di tutela dei dati personali e data protection (D.lgs 196/2003 – Regolamento 679/2016/UE)
  • Acquisizione, gestione, comunicazione, diffusione, cancellazione e conservazione del dato personale
  • Trattamento del dato personale ed organizzazione aziendale
  • Sistema sanzionatorio
  • Connessione tra privacy e sistemi di qualità (ISO 9001:2015)
  • Connessione tra privacy e sistemi di gestione del personale
  • Gestione analisi del rischio
  • Standard sicurezza informatica (ISO 27001:2013)
  • Correlazioni tra la data protection ed il percorso di conservazione digitale (DPCM 03/12/2013 Regole tecniche in materia di sistema di conservazione ai sensi degli articoli 20, commi 3 e 5 -bis , 23 -ter , comma 4, 43, commi 1 e 3, 44 , 44 -bis e 71, comma 1, del Codice dell’amministrazione digitale di cui al decreto legislativo n. 82 del 2005)

Competenze specifiche per coloro che dovranno operare in ambito pubblico:

  • Legge 241/1990, “Nuove norme in materia di procedimento amministrativo e di diritto di accesso ai documenti amministrativi
  • D.Lgs. 42/2004, “Codice dei beni culturali
  • D.Lgs. 82/2005, “Codice dell’Amministrazione Digitale” (nella versione 3.0 attualmente in discussione)
  • DPR 184/2006, “Regolamento recante disciplina in materia di accesso ai documenti amministrativi
  • D.Lgs. 150/2009, “Attuazione della Legge 4 marzo 2009, n. 15, in materia di ottimizzazione della produttività del lavoro pubblico e di efficienza e trasparenza delle PA“;
  • Legge 114/2014, “Piano di informatizzazione delle istanze
  • DPCM 3/12/2013, “Regole tecniche per il protocollo informatico
  • DPCM 13/12/2014, “Regole tecniche documento informatico
  • Legge 190/2012, “Disposizioni per la prevenzione e la repressione della corruzione e dell’illegalità nella Pubblica Amministrazione
  • D.Lgs. 33/2013, “Riordino della disciplina riguardante gli obblighi di pubblicità, trasparenza e diffusione di informazioni da parte delle Pubbliche Amministrazioni
  • Regolamento UE eIDEAS, “electronic IDentification Authentication and Signature
Durata del percorso formative

Durata minima DPO privati: 80 ore
Durata minima DPO PA: 100 ore

Requisiti minimi partecipanti

Diploma scuola media superiore (secondaria)