Gli avvocati non devono nominare un responsabile per la protezione dei dati (o all’inglese Dpo). Lo stesso vale anche per il singolo studio medico. E chi fa il Dpo per la p.a. deve conoscere il diritto amministrativo.
La precisazione arriva dal gruppo di lavoro articolo 29 della Commissione europea, che ha diffuso le linee guida sulla figura introdotta dal regolamento dell’Ue n. 2016/679 sulla protezione dei dati.
Il documento, del 13 dicembre 2016, illustra la disciplina applicabile al data protection officer, appunto il Dpo: chi e in quali casi si deve nominare il responsabile; quali sono i requisiti per diventarlo; quale sia la sua responsabilità.
Vediamo, dunque, i chiarimenti del gruppo dei garanti europei della privacy. Il gruppo di lavoro art. 29. Il Gruppo è stato istituito dall’articolo 29 della direttiva 95/46 sulla privacy.
È un organismo consultivo e indipendente, composto da un rappresentante delle autorità di protezione dei dati personali designate da ciascuno stato dell’Ue, dal garante europeo della protezione dei dati, e da un rappresentante della Commissione europea.
Svolge attività consultive e di coordinamento della normativa sulla tutela della riservatezza. Il Dpo. È una funzione che ha compiti consultivi, di assistenza e di vigilanza del rispetto della disciplina del regolamento Ue sulla privacy.
Può essere contattato direttamente dagli interessati e dal garante della privacy. Nomina obbligatoria. In alcuni casi la nomina del Dpo è obbligatoria. In sintesi si tratta tutti gli enti pubblici e dei soggetti privati che effettuano monitoraggio delle persone su larga scala oppure trattano dati sensibili su larga scala. Il problema è l’assoluta vaghezza e indeterminatezza del regolamento Ue, che non definisce il concetto di larga scala e gli altri requisiti valutativi della norma specifica (articolo 37).
Le linee guida in commento offrono qualche spunto in più, ma non è ancora sufficiente. Se ne rende conto lo stesso gruppo di lavoro art. 29 che rinvia a ulteriori precisazioni ed esemplificazioni. Vediamo, comunque, le prime indicazioni del documento.
Privati.
Le Linee guida danno alcuni indici generali per individuare i requisito della larga scala: numero degli interessati; volume dei dati e tipi di dati trattati, durata del trattamento, ambito geografico dell’attività.
Le linee guida forniscono anche alcuni esempi di trattamenti su larga scala: gli ospedali, i sistemi di traporto pubblico, geo-localizzazione dei clienti di una catena commerciale internazionale, le compagnie di assicurazione, le banche, i fornitori di servizi di telecomunicazioni, i motori di ricerca per trattamenti di dati per pubblicità mirata al comportamento delle persone.
Le linee guida fanno anche alcuni esempi in cui non c’è la larga scala. Il primo esempio è quello del trattamento di dati dei pazienti da parte di un singolo medico; il secondo caso è quello del trattamento di dati relativi a condanne e violazioni penali da parte di un singolo avvocato.
Enti pubblici.
Tutti gli enti pubblici, tranne gli organi giudiziari, devono nominare il Dpo: i ministeri come le università, i comuni come le regioni. Le linee guida, sul punto della individuazione degli enti pubblici, rinviano alle leggi nazionali.
Poi aggiungono che ci sono enti, diversi dagli enti pubblici istituzionali, cui si applica diritto pubblico, e che operano per il pubblico interesse. Per esempio le public companies nel settore dei servizi pubblici (energia, ambiente ecc.). Per questi enti la nomina del Dpo non è obbligatoria, ma è consigliata come buona pratica.
Competenza.
Le linee guida delineano l’identikit del Dpo. Ci sono, del resto, forti aspettative nel mercato della consulenza sulla privacy. E bisogna individuare bene i soggetti idonei. È importante, sostengono le linee guida, che i Dpo abbiano competenza sulla normativa nazionale ed europea e sulle prassi relative alla materia della protezione di dati. Le linee guida aggiungono la necessità di una profonda conoscenza del regolamento europeo.
È utile anche prevedere programmi di aggiornamento continuo. A queste competenze sulla normativa specifica della privacy è utile aggiungere la conoscenza del settore commerciale del titolare del trattamento.
Il Dpo dovrebbe avere sufficiente conoscenza delle operazioni di trattamento, e altrettanta sufficiente conoscenza del sistema informativo, della sicurezza de dati e delle esigenza di protezione dei dati. Nel caso di ente pubblico, il Dpo dovrebbe avere una solida conoscenza dell’ordinamento e dell’organizzazione delle pubbliche amministrazioni.