Il Data Protection Officer – DPO
Il nuovo Regolamento europeo concernente la tutela delle persone fisiche con riguardo al trattamento dei dati personali e la loro libera circolazione (GDPR UE 679/2016) entrerà in vigore il 25 Maggio 2018, andando ad abrogare totalmente la Direttiva CE 95/46 che ha portato in Italia all’adozione del vigente “Codice Privacy” (D.Lgs. 196/2003).
Tra le tante novità che verranno introdotte, ci saranno anche nuove figure professionali, tanto da poter parlare di necessità di riorganizzare i flussi aziendali in modo da essere “Privacy focussed”.
Spicca in questo contesto la figura del Data Protection Officer (di seguito denominato DPO).
Il titolare e il responsabile del trattamento dovranno designare sistematicamente un DPO ogniqualvolta: il trattamento è effettuato da un’autorità pubblica o da un organismo pubblico, eccettuate le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali; le attività principali del titolare o del responsabile consistono in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala; le attività principali del titolare o del responsabile consistono nel trattamento, su larga scala, di categorie particolari di dati personali di cui all’articolo 9 (dati sensibili, genetici, biometrici) o di dati relativi a condanne penali e a reati di cui all’articolo 10.
In tutti gli altri casi sarà facoltà dei titolari e responsabili del trattamento, nonché di loro associazioni o altri organismi che li rappresentano, designare il responsabile della protezione dati.
Posto che il DPO deve essere designato in funzione delle qualità professionali, in particolare della conoscenza specialistica della normativa e delle pratiche in materia di protezione dei dati, e della capacità di adempiere ai compiti che gli sono assegnati, le certificazioni ad oggi rilasciate da Enti qualificati relative alla figura professionale di Privacy Officer e Consulente della Privacy rappresentano un concreto strumento di misurazione delle competenze ma non equivalgono ad una vera e propria “abilitazione” allo svolgimento del ruolo previsto dalla nuova normativa comunitaria.
Il Regolamento consente al titolare di nominare DPO tanto un dipendente, quanto un consulente esterno, a patto che il soggetto concretamente prescelto assicuri il rispetto dei requisiti formali e sostanziali stabiliti dalla normativa, con particolare riferimento alla garanzia di indipendenza ed all’elevato livello di conoscenza della materia della protezione dei dati personali. I dati di contatto del DPO dovranno essere pubblicati e tempestivamente comunicati all’autorità di controllo.
Il DPO sarà incaricato almeno dei seguenti compiti: informare e fornire consulenza al titolare o al responsabile nonché ai dipendenti che eseguono il trattamento in merito agli obblighi derivanti dal nuovo regolamento nonché da altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati; sorvegliare l’osservanza delle politiche del titolare o del responsabile in materia di protezione dei dati personali, compresi l’attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo; sorvegliare l’attuazione e l’applicazione del Regolamento, con particolare riguardo ai requisiti concernenti la protezione fin dalla progettazione, la protezione di default, la sicurezza dei dati, l’informazione dell’interessato e le richieste degli interessati di esercitare i diritti riconosciuti dal nuovo regolamento; garantire la conservazione della documentazione prevista per alcuni Responsabili di trattamento; controllare che le violazioni dei dati personali siano documentate, notificate e comunicate (Data Breach); controllare che sia effettuata la valutazione d’impatto sulla protezione dei dati e richiesta l’autorizzazione o la consultazione preventiva quando prevista (es. dati sanitari – videosorveglianza su larga scala – abitudini o scelte di consumo); controllare che sia dato seguito alle richieste dell’autorità di controllo e, nell’ambito delle sue competenze, cooperare con l’autorità di controllo di propria iniziativa o su sua richiesta.
Nell’eseguire i propri compiti il DPO dovrà considerare debitamente i rischi inerenti al trattamento, tenuto conto della natura, dell’ambito di applicazione, del contesto e delle finalità del medesimo.
Proprio per questo, il titolare del trattamento e il responsabile dovranno assicurarsi che sia tempestivamente e adeguatamente coinvolto in tutte le questioni riguardanti la protezione dei dati personali e sostenerlo nell’esecuzione dei suoi compiti, fornendogli le risorse necessarie per assolverli.
Il DPO avrà quindi autonomia di spesa finalizzata al raggiungimento e mantenimento di standard idonei di conformità del proprio Modello Organizzativo Privacy e per la propria formazione continua, e sarà un soggetto indipendente all’interno della propria organizzazione, in quanto gli unici soggetti ai quali sarà tenuto a riportare, saranno solo coloro che rappresentano il “più alto livello di gestione”. Non potrà essere rimosso o penalizzato nell’esercizio dei suoi compiti, e non si potrà porre nessuna limitazione al suo mandato. Una società con più filiali (un “gruppo di imprese”) potrà designare un unico DPO a condizione che questo soggetto sia “facilmente accessibile da ogni stabilimento”.
Salta subito all’occhio, quindi, la previsione di una nuova figura soggettiva nel mondo della protezione dei dati personali, che ricalca grosso modo quanto già fatto da molte banche europee che particolarmente sensibili alla problematica hanno creato dei veri e propri “uffici privacy”.
Il supporto del Data Protection Officer mira a presidiare l’area dei risultati, correlandoli all’efficacia ed efficienza ed applicando il principio del miglioramento continuo nella misura necessaria al perseguimento di obiettivi aziendali coerenti con le esigenze manifeste ed implicite della struttura. L’obiettivo primario è il raggiungimento della compliance privacy e di conseguenza quello di evitare rischi di incorrere in sanzioni, perdite finanziarie o danni di reputazione in conseguenza di violazioni di norme legislative, regolamentari o di autoregolamentazione.
Anna Rovesti nasce a Modena il 31 ottobre 1992.
Conseguita la maturità classica, prosegue i suoi studi presso il Dipartimento di Giurisprudenza dell’Università degli Studi di Modena e Reggio Emilia e consegue la laurea a luglio 2016 con il massimo dei voti.
La passione e l’interesse per Informatica giuridica e il Diritto dell’informazione e delle comunicazioni la portano ad approfondire in particolar modo queste materie grazie a corsi universitari, seminari di approfondimento e la partecipazione a luglio 2015 tramite l’Associazione ELSA (European Law Student Association) di cui è socia alla Summer Law School di Copenhagen in Media Law. Proprio in quest’ambito decide di redigere la tesi di laurea dal titolo: “Disciplina della libertà di stampa alla prova delle nuove comunicazioni telematiche. Libertà di espressione e di informazione tra ordinamento italiano e prospettive sovranazionali”.
Grazie a un tirocinio formativo presso COOPSERVICE S. Coop. p. A. in area legale-privacy, riesce a mettere a frutto l’interesse per questo ambito, affiancando il tutor aziendale e le figure senior dell’ufficio nella gestione della modulistica, di comunicati, lettere, avvisi e convocazioni d’uso comune legati alla normativa sulla protezione dei dati personali.
Attualmente lavora come praticante consulente del lavoro in uno studio di Modena prestando consulenza legale in materia giuslavoristica e nella gestione delle risorse umane (gestione del personale inviato all’estero con assistenza contrattuale fiscale e previdenziale, assistenza giudiziale e stragiudiziale in controversie inerenti il rapporto di lavoro, assistenza nelle procedure concorsuali e di licenziamento individuale e collettivo, trattative sindacali inerenti a contratti integrativi aziendali, gestione di survey aziendali finalizzate all’implementazione di piani di welfare, assistenza nella predisposizione di piani relativi ai premi di produzione e di risultato, ecc).
La sua collaborazione con “Ius in itinere” nasce dal desiderio di mettersi in gioco come giurista, studiosa e giovane lavoratrice alle prese con il mondo del diritto, tanto complesso quanto affascinante.
Una forte determinazione, senso del dovere e capacità di organizzazione la contraddistinguono nella vita e nel lavoro.
Email: anna.rovesti@iusinitinere.it
