La CNIL, l’Autorità francese per la protezione dei dati ha pubblicato le nuove linee guida sul DPO per chiarire le relative competenze e responsabilità. Ecco i dettagli.
Ruolo del DPO secondo le linee guida della CNIL
Nelle linee guida della CNIL viene ribadito il ruolo consultivo del DPO che
1. Ha un ruolo centrale per quanto concerne la governance dei dati personali
2. Non riceve istruzioni sul proprio operato da parte del titolare in relazione alla compliance e governance dei dati personali e deve essere una figura priva di vincoli nello svolgimento delle proprie attività.
3. Coordina e supervisiona il titolare/responsabile nei suoi compiti. Tra cui:
- redazione e tenuta del registro delle attività di trattamento e delle policy aziendali, garantendone la conformità fin dalla fase di progettazione
- definire la necessità di una valutazione d’impatto e svolgerla
- gestione data breach, tenendo conto delle misure da adottare e la comunicazione agli interessati e all’Autorità
4. Contribuisce a creare una buona cultura privacy in azienda attraverso attività di comunicazione e sensibilizzazione a tutti i soggetti che trattano dati personali.
Es. assicurandosi che il titolare eroghi corsi di formazione sulla protezione dei dati
5. Rappresenta il punto di contatto interno per ogni questione in materia di dati personali.
Affinché la nomina del DPO non risulti un’attività puramente formale, la CNIL suggerisce anche alcune pratiche da mettere in atto da parte di chi ha nominato il DPO, come formalizzare i casi di consultazione, favorire un contatto regolare anche tra DPO e personale operativo, prevedere una procedura interna in caso di ispezione dell’Autorità…
Il DPO dovrà collaborare con le autorità di controllo e giocherà un ruolo di “facilitatore” durante eventuali richieste e ispezioni della CNIL.
Possibili conflitti d’interesse nell’individuazione del DPO
Già nelle Linee Guida pubblicata nel 2017 dal Comitato Europeo dei Garanti (EDPB) venivano descritti i ruoli che non poteva ricoprire il DPO, specialmente se interno all’azienda.
Ad esempio, veniva evidenziato che il DPO non può essere anche il Responsabile IT.
Nelle nuove Linee Guida la CNIL sottolineano alcuni aspetti, come la possibilità che il DPO possa tenere il registro delle attività e svolgere attività di supervisione in caso di data breach. L’importante è che non gestisca esclusivamente queste ulteriori mansioni, collaborando quindi necessariamente con il personale dell’organizzazione che eseguono e determinano i trattamenti. La responsabilità resta a carico del titolare.
Il livello di competenza del DPO
In merito alle competenze del Data Protection Officer, la Guida ribadisce quanto già affermato in quelle del 2017 dell’EDPB, cioè l’esperienza richiesta alla persona che assume il ruolo del DPO dipende dal tipo e volume di tati trattati nonché dalla complessità del trattamento.
In aggiunta, viene precisata l’importanza che il DPO sia in possesso anche di competenze relative alla protezione dei dati personali di tipo sia tecnico che legale, sempre più richiesta ai professionisti privacy.
Nel caso il DPO fosse un avvocato, viene sottolineato che questo, per quanto riguarda i casi legati al trattamento dati personali del titolare, non potrà difendere in tribunale il soggetto che l’ha designato.
Responsabilità del DPO secondo le Linee Guida della CNIL
Per quanto riguarda la responsabilità del DPO, si ha che:
- Non è penalmente responsabile della compliance aziendale al GDPR. Questo ad eccezione che il DPO agisca intenzionalmente in veste di complice del titolare o del responsabile del trattamento dati.
- Non è possibile coinvolgerlo nelle richieste di rimborso e/o in giudizio. In caso di richieste di risarcimento, queste sono a capo del titolare/responsabile, il quale può però agire nei confronti del Data Protection Officer nel caso in cui fossero le azioni di quest’ultimo la causa del danno.
- Se inadempiente, può essere rimosso dall’incarico. Ciò ad eccezione che l’inadempimento sia dovuto alla mancanza di risorse fornite dal titolare/responsabile per svolgere l’incarico.
- È indipendente, il che significa che dispone di libertà operativa (cioè può definire priorità e tempi) e non agisce sott’ordine di altre figure.
Le linee guide complete, comprensive di moduli per valutare la bontà di un possibile candidato per lo svolgimento di questo ruolo, sono disponibili in inglese e francese a questo link.
Hai dubbi in merito all’effettiva indipendenza ed esperienza del DPO della tua organizzazione? Contattaci per una consulenza!
