Articoli

DPO, quanto mi costi?

L’Autorità Garante spagnola per la protezione dei dati personali (“AEPD”) ha sanzionato con una multa da € 25.000,00 la società Glovoapp23 S.L., titolare (in territorio spagnolo) dell’omonima app di consegne a domicilio diffusissima anche in Italia (di seguito l’“App”), in forza di una constata violazione dell’art. 37 del Regolamento UE 679/2016 (“GDPR”) concernente la designazione del Data Protection Officer (“DPO”).

In dettaglio, l’indagine dell’AEPD – conclusasi con l’applicazione di una sanzione per mancata nomina del DPO – ha preso il proprio avvio a seguito della segnalazione di più interessati che reclamavano l’assenza, all’interno dell’App, dei riferimenti del DPO per la ricezione delle istanze relative alla protezione dei dati personali.

A seguito della successiva richiesta di chiarimenti formulata dall’Autorità, la società dichiarava di non rientrare nel novero dei titolari obbligatoriamente tenuti alla nomina di un DPO e, in più, dava atto della sussistenza di un apposito comitato sostanzialmente volto a condurre le attività che la normativa riserva a tale figura (rinvenibili all’art. 39 GDPR).

Tale riscontro comportava quindi l’avvio di un procedimento sanzionatorio all’esito del quale l’AEPD ha ritenuto non condivisibili le argomentazioni difensive promosse, al contrario evidenziando come nel caso di specie il titolare svolga “trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala”. Tale circostanza, come noto, comporta, ai sensi dell’art. 37, par. 1, lett. b) GDPR, l’obbligatorietà per il titolare di nominare un DPO.

A tanto si aggiunga che l’AEPD, nell’ambito dei propri poteri sanzionatori, rilevava due fattori aggravanti: i) l’elevato numero di interessati; ii) la sussistenza di dati di profilazione nell’ambito dell’attività di trattamento svolta dal titolare.

Le esposte circostanze comportavano, quindi, l’applicazione di una sanzione pari ad € 25.000,00 nei confronti della società Glovoapp23 S.L.

Avv. Pietro Maria Mascolo

Regolamento privacy, per il DPO competenze specifiche, non attestati formali

Avv. Flaviano Sanzari

Le pubbliche amministrazioni, così come i soggetti privati, dovranno individuare il Responsabile della protezione dei dati personali con particolare attenzione, verificando la presenza di competenze ed esperienze specifiche. Non sono richieste attestazioni formali sul possesso delle conoscenze o l’iscrizione ad appositi albi professionali. Queste sono alcune delle indicazioni fornite dal Garante della privacy alle prime richieste di chiarimento in merito alla nomina di questa nuova  importante figura  – introdotta dal Regolamento UE 2016/679 –  che tutti gli enti pubblici e anche molteplici soggetti privati dovranno designare non più tardi del prossimo maggio 2018.

L’Ufficio del Garante, in particolare, ricorda che i Responsabili della protezione dei dati personali – spesso indicati con l’acronimo inglese DPO (Data Protection Officer) – dovranno avere un’approfondita conoscenza della normativa e delle prassi in materia di privacy, nonché delle norme e delle procedure amministrative che caratterizzano lo specifico settore di riferimento. Nella selezione sarà poi opportuno privilegiare soggetti che possano dimostrare qualità professionali adeguate alla complessità del compito da svolgere, magari documentando le esperienze fatte, la partecipazione a master e corsi di studio/professionali.

Ad esempio, gli esperti individuati dalle aziende ospedaliere, in considerazione della delicatezza dei trattamenti di dati effettuati (come quelli sulla salute o quelli genetici), dovranno preferibilmente vantare una specifica esperienza al riguardo ed assicurare un impegno pressoché esclusivo nella gestione di tali compiti.

L’Autorità ha inoltre chiarito che la normativa attuale non prevede l’obbligo per i candidati di possedere attestati formali delle competenze professionali. Tali attestati, rilasciati anche all’esito di verifiche al termine di un ciclo di formazione, possono rappresentare un utile strumento per valutare il possesso di un livello adeguato di conoscenza  della disciplina, ma non equivalgono ad una “abilitazione” allo svolgimento del ruolo del DPO. La normativa attuale, tra l’altro, non prevede l’istituzione di un albo dei “Responsabili della protezione dei dati” che possa attestare i requisiti e le caratteristiche di conoscenza, abilità e competenza di chi vi è iscritto. Enti pubblici e società private dovranno quindi comunque procedere alla selezione del DPO, valutando autonomamente il possesso dei requisiti necessari per svolgere i compiti da assegnare.

Il Garante si riserva di fornire ulteriori orientamenti, che saranno pubblicati sul sito istituzionale, anche all’esito dei quesiti e delle richieste di approfondimento sul Regolamento privacy, raccolti nell’ambito di specifici incontri che l’Autorità ha in corso con imprese e Pubblica Amministrazione.