Il Regolamento Europeo sulla protezione dei dati personali (GDPR) ha introdotto, tra le principali misure di \u201cresponsabilizzazione\u201d del Titolare e\/o del Responsabile del trattamento, l\u2019obbligo per quest\u2019ultimo, nei casi previsti dall\u2019articolo 37<\/a>, di individuare un Responsabile della Protezione dei dati (nella variante anglofona, Data Protection Officer, DPO), quale figura che assolva alle funzioni di vigilanza e consulenza in materia di protezione dei dati personali.<\/p>\n Il DPO in realt\u00e0 \u00e8 l’evoluzione del “privacy officer”<\/strong>, figura prevista dalla Direttiva Europea 95\/46<\/a> all’art. 18. \u00c8 un consulente esperto che va ad affiancare il Titolare\/ Responsabile nella gestione delle problematiche del trattamento dei dati personali. In tal modo, si garantisce che un soggetto qualificato si occupi in maniera esclusiva della protezione dei dati personali.<\/p>\n Il TAR per il Friuli-Venezia Giulia ha precisato che il profilo del DPO \u00e8 eminentemente giuridico<\/strong>, ed attiene alla tutela del diritto fondamentale dell’individuo alla protezione dei dati personali. Con, ci\u00f2 ha annullato il bando di un’azienda sanitaria per il conferimento di un incarico di DPO nella parte in cui prevedeva, come requisito di ammissione, il possesso di certificazione di Lead Auditor (o di Auditor) ISO 27001. Il TAR non ha, ovviamente, inteso limitarne la nomina ai soli giuristi, ma ha tenuto a precisare che, a prescindere dai titoli, il DPO non possa prescindere da dimostrare di possedere competenze giuridiche approfondite<\/strong>.<\/p>\n La certificazione indicata nel bando, invece, \u201cnon coglie la specifica funzione di garanzia insita nell\u2019incarico conferito, il cui precipuo oggetto non \u00e8 costituito dalla predisposizione dei meccanismi volti ad incrementare i livelli di efficienza e di sicurezza nella gestione delle informazioni ma attiene semmai alla tutela del diritto fondamentale dell\u2019individuo alla protezione dei dati personali<\/em>\u201d.<\/p>\n L\u2019Autorit\u00e0 Garante ha ribadito, nelle FAQ<\/a>, come non siano richieste al DPO specifiche attestazioni formali<\/strong> o l’iscrizione in appositi albi. <\/strong>\u00c8 necessaria un\u2019approfondita conoscenza della normativa e delle prassi in materia di privacy che caratterizzano lo specifico settore di riferimento.<\/p>\n Ai sensi dell\u2019articolo 37<\/a> del GDPR, sono obbligatoriamente tenuti a nominare un DPO:<\/p>\n 1. Le autorit\u00e0 o gli organismi pubblici<\/strong> (eccetto le autorit\u00e0 giudiziarie nell’esercizio delle loro funzioni). 2. I soggetti le cui principali attivit\u00e0 consistono in trattamenti che richiedono il monitoraggio regolare e sistematico degli interessati su larga scala.<\/strong><\/p>\n Il WP29 precisa che occorre considerare il legame tra il proprio “core business” e il trattamento dei dati personali. Per esempio, l\u2019attivit\u00e0 principale di un ospedale \u00e8 la salute dei pazienti e non il trattamento dei dati. Nonostante questo, dato che le due attivit\u00e0 sono strettamente collegate, questo dovr\u00e0 nominare un DPO. Stesso discorso si pu\u00f2 fare per societ\u00e0 di vigilanza, assicurazioni, banche o call center. Infatti, tutte le loro attivit\u00e0 sono indissolubilmente legate all\u2019attivit\u00e0 di trattamento dei dati personali.<\/p>\n Non rientrano nell\u2019obbligo di nomina le realt\u00e0 in cui il trattamento dei dati \u00e8 solo di supporto al “core business”.<\/p>\n Include tutti i vari strumenti di tracciatura elettronica e profilazione online e qualsiasi forma di tracciatura in un ambiente offline.<\/p>\n Per il WP29, un monitoraggio \u00e8 regolare<\/strong> se:<\/p>\n Il monitoraggio \u00e8 sistematico<\/strong>:<\/p>\n Il WP29 suggerisce di tenere in considerazione alcuni elementi:<\/p>\n Sono trattamenti su larga scala<\/strong> i trattamenti dei dati :<\/p>\n Non sono trattamenti su larga scala<\/strong> quelli del singolo medico o del singolo avvocato.<\/p>\n 3. I soggetti le cui principali attivit\u00e0 consistono in trattamenti su larga scala di categorie particolari di dati personali o di dati relative a condanne penali e a reati.<\/strong>Sentenza n. 287\/2018 del 13 settembre 2018<\/a><\/h6>\n
Quando \u00e8 prevista\/per chi \u00e8 obbligatoria la nomina del DPO<\/h5>\n
\nIl GDPR non fornisce la definizione di “autorit\u00e0 pubblica” o “organismo pubblico\u201d. Le Linee guida adottate in materia dal Gruppo di Lavoro Art. 29 (WP29)<\/a> ne rimettono l\u2019individuazione al diritto nazionale applicabile. Le stesse Linee guida raccomandano la nomina del DPO anche per gli organismi privati incaricati dello svolgimento di pubbliche funzioni o che comunque esercitano pubblici poteri (es. forniture elettriche, trasporti pubblici).<\/p>\nAttivit\u00e0 principale<\/h6>\n
Monitoraggio regolare e sistematico <\/em><\/h6>\n
\n
\n
Trattamento \u00e8 su larga scala<\/em><\/h6>\n
\n
\n
\nTale disposizione riguarda i trattamenti di dati ai sensi, rispettivamente, dell\u2019articolo 9<\/a> e dell\u2019articolo 10<\/a> del GDPR. Per esempio dati personali che rivelino:<\/p>\n