Il Garante Privacy ha recentemente sanzionato due comuni e due province per la mancata comunicazione dei dati di contatto del DPO.
- La nomina del DPO secondo il GDPR
Il DPO è una figura chiave nell’ambito della protezione dei dati personali, sebbene non obbligatorio in ogni attività di trattamento, la sua nomina lo diventa al verificarsi di alcune circostanze, per garantire una migliore tutela della privacy. L’articolo 37, comma 1, del Regolamento Generale sulla Protezione dei Dati stabilisce quando la nomina del DPO è obbligatoria, ovvero se:
- Autorità pubbliche e organismi pubblici: Il DPO deve essere nominato quando il trattamento dei dati è effettuato da un’autorità pubblica o da un organismo pubblico. Questa disposizione esclude le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali.
- Monitoraggio regolare e sistematico su larga scala: La nomina del DPO è obbligatoria quando le attività principali del titolare del trattamento o del responsabile del trattamento consistono in trattamenti che richiedono il monitoraggio regolare e sistematico degli interessati su larga scala. Questo può includere, ad esempio, il tracciamento e la profilazione su Internet per finalità di pubblicità comportamentale.
- Trattamento di categorie particolari di dati: Se le attività principali riguardano il trattamento su larga scala di categorie particolari di dati personali (come dati sensibili) di cui all’articolo 9 o dati relativi a condanne penali e reati di cui all’articolo 10, la nomina del DPO è obbligatoria.
- Sanzioni ai comuni da parte del Garante Privacy
Il Garante Privacy ha recentemente sanzionato due comuni e due province per la mancata comunicazione dei dati di contatto del DPO. Infatti, i comuni, essendo autorità pubbliche, sono coperti dall’obbligo di nomina. Questi provvedimenti sono stati adottati nell’ambito di un’indagine volta a verificare il rispetto dell’obbligo di comunicazione all’Autorità, secondo l’art. 37, para.7 del GDPR. Il Regolamento Ue impone alle autorità pubbliche, come amministrazioni dello Stato, Regioni, Province, Comuni, università e aziende del Servizio sanitario nazionale, di designare un DPO e di comunicarne i dati di contatto al Garante Privacy tramite l’apposita procedura disponibile sul sito dell’Autorità. Per tale motivo, tre di questi enti locali sono stati multati con 2.000 euro, mentre il quarto ha ricevuto una sanzione di 5.000 euro, avendo omesso di nominare i DPO e comunicare la nomina all’autorità Garante.
- Requisiti dei DPO
Il DPO deve possedere alcune qualità professionali specifiche, tra cui: conoscenze specialistiche sulla normativa, sulle prassi in materia di protezione dei dati, sapendo interpretare e applicare il GDPR e deve essere in grado di assolvere i doveri principali di monitoraggio della conformità dei processi interni, consulenza interna, cooperazione con l’autorità di controllo e fungere da punto di contatto per gli interessati. Inoltre, il DPO deve operare in modo autonomo e indipendente, senza influenze esterne, potendo comunque svolgere altre mansioni o funzioni, ma senza generare conflitti di interessi con i suoi doveri principali. I dati di contatto del DPO devono essere pubblici e facilmente reperibili nel sito web dell’ente o azienda di riferimento.
In considerazione del crescente interesse per i Garanti europei verso la presenza della figura del DPO, le aziende dovrebbero cercare di adeguarsi per garantire una gestione idonea dei dati personali e la conformità al GDPR.
Per approfondire il ruolo del DPO, potrebbe interessarti l’ascolto di questo podcast: “Irene Pozzi, DPO di Bending Spoons, su privacy e gli Spooners”.