Adottato il 13 Dicembere 2016

Gruppo di lavoro ex articolo 29 - European Data Protection Supervisor 16/EN(IT) WP 243

Tradotto da Fabio Zanoli

Revisione di SF

V 2.0

Orientamenti in materia di Data Protection Officers ('DPOs')

[responsabile della protezione dei dati]

Questo gruppo di lavoro è stato istituito ai sensi dell'articolo 29 della direttiva 95/46 / CE. Si tratta di un organo consultivo europeo indipendente sui dati la

protezione e la privacy. I suoi compiti sono fissati all'articolo 30 della direttiva 95/46 / CE e all'articolo 15 della direttiva 2002/58 / CE.

La segreteria è fornita dalla direzione C (Diritti fondamentali e stato di diritto) della Commissione europea, Direzione Generale Giustizia e consumatori,

B-1049 Bruxelles, Belgio, Ufficio MO59 27/02

Website: http://ec.europa.eu/justice/data-protection/index_en.htm

Il GRUPPO DI LAVORO PER LA TUTELA DELLE PERSONE CON RIFERIMENTO AL IL TRATTAMENTO

DEI DATI PERSONALI

L’istituito dalla direttiva 95/46 / CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995, visti gli articoli 29 e 30,

visto il proprio regolamento

HA ADOTTATO LE PRESENTI LINEE GUIDA

2

INDICE

1 INTRODUZIONE …......................................................................................................................................................... 4

2 DESIGNAZIONE DEL DPO ........................................................................................................................................... 5

2.1. DESIGNAZIONE OBBLIGATORIA ............................................................................................................................. 5

2.1.1 ‘Amministrazione o Istituzione Pubblica..................................................................................................... 6

2.1.2 ‘Attività Principali'....................................................................................................................................... 6

2.1.3 'Larga Scala' ............................................................................................................................................. 7

2.1.4 'Sistematico e regolare monitoraggio'....................................................................................................... 8

2.1.5 ‘Categorie speciali di dati e dati relativi ai reati e alle condanne penali ……............................................ 9

2.2. DPO E RESPONSABILE DEL TRATTAMENTO................................................................................................................... 9

2.3. ' FACILMENTE ACCESSIBILE DA OGNI ISTANZA'.............................................................................................................. 10

2.4. CONOSCENZE E COMPETENZE DEL DPO .......................................................................................................................10

2.5. PUBBLICAZIONE E COMUNICAZIONE DEI DATI DI CONTATTO DEL DPO.............................................................................. 12

3 POSIZIONE DEL DPO ................................................................................................................................................. 13

3.1. COINVOLGIMENTO DEL DPO IN TUTTE LE QUESTIONI RELATIVE ALLA PROTEZIONE DEI DATI PERSONALI........................... 13

3.2. RISORSE NECESSARIE................................................................................................................................................. 13

3.3. INSTRUCTIONS AND 'AGIRE IN MODO INDIPENDENTE’..................................................................................................... 14

3.4. DESTITUZIONE O PENE NELL’ ATTIVITÀ DI DPO................................................................................................................ 15

3.5. CONFLITTO D’INTERESSI............................................................................................................................................... 15

COMPITI DEL DPO...................................................................................................................................................... 16

4.1. CONTROLLO DI CONFORMITÀ RISPETTO AL GDPR......................................................................................................... 16

4.2. Il RUOLO Del DPO NELLA VALUTAZIONE DI IMPATTO DELLA PROTEZIONE DEI DATI............................................................. 16

4.3. APPROCCIO BASATO SUL RISCHIO................................................................................................................................. 17

4.4. IL RUOLO DEL DPO RELATIVAMENTE ALLA TENUTA DEI REGISTRI..................................................................................... 18

3

1 Introduzione

Il Regolamento Generale per la protezione dei dati ('GDPR')1, che entrerà in vigore il 25 maggio 2018, fornirà un quadro di

conformità modernizzato, basato sulla responsabilità per la protezione dei dati in Europa. I Data Protection Officers (' i DPO )

saranno al centro di questo nuovo quadro giuridico per molte organizzazioni, facilitando la conformità con le disposizioni

del GDPR.

All’interno del GDPR, è obbligatorio per alcune organizzazioni designare un DPO2. Questo dovrà avvenire per tutte le

pubbliche istituzioni e amministrazioni (a prescindere dai dati trattati) e per le altre organizzazioni che – come attività

principale – abbiano il monitoraggio sistematico e/o su larga scala di individui o trattino speciali categorie di dati personali su

larga scala.

Anche quando il GDPR non richieda specificatamente la nomina di un DPO, le organizzazioni possono trovare utile

designare un DPO su base volontaria. L’articolo 29 Gruppo di lavoro sulla protezione dei dati ('WP29') incoraggia queste

iniziative volontarie.

Il concetto di DPO non è nuovo. Anche se la direttiva 95/46/CE3 non richiedeva ad alcuna organizzazione di nominare un

DPO, la pratica di nominarli si è tuttavia sviluppata in vari Stati membri, nel corso degli anni.

Prima dell’adozione del GDPR, il WP29 sosteneva che il DPO è una pietra miliare della responsabilità di rendicontazione e

che la nomina di un DPO può facilitare la conformità normativa e inoltre diventa un vantaggio competitivo per le imprese4.

Oltre a facilitare il rispetto della conformità normativa attraverso l'implementazione di strumenti per la responsabilità di

rendicontazione (ad esempio, agevolare o condurre valutazioni di impatto di protezione dei dati e audits), i DPO agiscono

come intermediari tra le parti interessate (ad es. autorità di supervisione, persone oggetto dell’acquisizione dei dati e unità

operative all'interno di un'organizzazione).

I DPO non sono personalmente responsabili in caso di inosservanza del GDPR. Il GDPR chiarisce che sono il Titolare e

Responsabile del Trattamento che sono richiesti di provare, che il trattamento è effettuato conformemente alle disposizioni

(articolo 24(1)). La conformità riguardo alla protezione dei dati è responsabilità del sovrintendente del trattamento dei dati e di

coloro che li processano.

Il Titolare e Responsabile del Trattamento, inoltre, hanno un ruolo cruciale per un’efficace adempimento dei compiti del DPO.

La nomina un DPO è un primo passo, ma a questi devono anche essere concesse sufficiente autonomia e risorse per poter

svolgere i propri compiti in modo efficace.

_____________________________

1 Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone

fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (OJ

L 119, 4.5.2016). 2

del Parlamento europeo e del Consiglio, del 27 aprile 2016 relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati

personali da parte delle autorità competenti ai fini della prevenzione, indagine, accertamento o repressione di reati o l'esecuzione delle

sanzioni penali, nonché alla libera circolazione circolazione di tali dati e il quadro del Consiglio che abroga la decisione 2008/977/JHA

(OJ L 119, 4.5.2016, p. 89- 131), e la legislazione nazionale di attuazione. Mentre queste linee guida si concentrano su DPO sotto il

PILR, ie la legislazione nazionale di attuazione. Mentre queste linee guida si concentrano sui DPO relativamente al GPRR, l'

orientamento è rilevante anche per quanto riguarda DPO sotto direttiva 2016/680, rispetto alle loro disposizioni analoghe. 3

riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati (OJ L 281, 23.11.1995, p. 31).

4

4

La nomina di un DPO è inoltre obbligatoria per le autorità competenti ai sensi dell'articolo 32 del direttiva (UE) 2016/680

Direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995 relativa alla tutela delle persone fisiche con

Vedihttp://ec.europa.eu/justice/data-protection/article-29/documentation/other-document/files/2015/20150617_appendix_core_issue

s_plenary_en.pdf

Il GDPR riconosce nel DPO una figura chiave nel nuovo sistema di governance del trattamento dati e stabilisce le condizioni

per la nomina, il livello attribuito e i compiti. Lo scopo di queste linee guida è chiarire le disposizioni più importanti nel

GDPR al fine di facilitare il Titolare e Responsabile del Trattamento a conformarsi alla legge, ma anche per aiutare i DPO

nell'espletare il loro compito. Le linee guida consigliano altresì le migliori procedure, basate sulle e esperienze acquisite in

alcuni Stati membri. Il WP29 controllerà l’attuazione di queste procedure e potrà in seguito integrarle con ulteriori dettagli

secondo necessità.

2 Nomina del DPO

2.1. Nomina Obbligatoria

L’ Articolo 37(1) del GDPR richiede la nomina di un DPO in tre casi specifici5:

a) se il trattamento dati è effettuato da un'autorità o organismo pubblico; 6

b) se le attività principali del Titolare e Responsabile del Trattamento consistono in trattamenti che richiedono il

monitoraggio regolare e sistematico di soggetti su larga scala; o

c) se le attività principali del Titolare e Responsabile del Trattamento consistono nel trattamento su

larga scala di particolari categorie di dati7 o

8 di dati personali relativi a condanne e a reati penali

9

Nelle sottosezioni che seguono, il WP29 fornisce indicazioni per quanto riguarda i criteri e la terminologia utilizzati

nell'articolo 37(1).

A meno che non sia ovvio che un'organizzazione non sia tenuta a nominare un DPO, il WP29 raccomanda che Titolare e

Responsabile del Trattamento dati documentino l'analisi interna condotta per determinare o meno la necessità di nominare un

DPO , al fine di essere in grado di dimostrare che tutti gli aspetti rilevanti sono stati presi in considerazione correttamente.10

Quando un'organizzazione designa un DPO su base volontaria, si applicheranno per la sua nomina, il suo livello e i suoi

compiti gli stessi requisiti ai sensi dagli articoli dal 37 al 39, come nel caso di nomina obbligatoria..

Questo non impedisce ad un'organizzazione, che non desideri designare un DPO su base volontaria e non sia legalmente

tenuta a farlo, d'impiegare personale o consulenti esterni con compiti relativi alla protezione dei dati personali. In questo caso

è importante garantire che non vi sia alcuna confusione per quanto riguarda il loro titolo, stato, posizione e compiti. Pertanto si

deve chiarire, in ogni

_______________

5 Si noti che ai sensi dell'articolo 37, paragrafo 4, leggi dell'Unione o dello Stato membro possono richiedere la designazione di DPO anche

in altre situazioni.

6 Ad eccezione di tribunali che agiscono in veste giudiziaria.

7 Ai sensi dell'articolo 9 questi includono dati personali che rivelano l'origine di razza o etnica, le opinioni politiche, religiose o

convinzioni filosofiche, o l'appartenenza sindacale e il trattamento dei dati genetici, dati biometrici al fine di identificare in modo univoco

una persona fisica, dati relativi alla salute o dati che riguardano la vita sessuale di una persona fisica o il suo orientamento sessuale.

8 Articolo 37(1)(c) usa la parola «e». Vedere sezione 2.1.5 qui sotto per la spiegazione sull'uso di 'o' invece di “e”

9 Articolo 10.

10 Vedi Articolo 24(1).

5

comunicazione all'interno dell'azienda, nonché con le autorità di protezione dei dati, soggetti interessati e il pubblico in

generale, che lo status di questa persona o consulente non è quello di 'DPO’11

2.1.1 ' AMMINISTRAZIONE O ISTITUZIONE PUBBLICA’

Il GDPR non definisce cosa siano una 'amministrazione o un’Istituzione pubblica'. Il WP29 ritiene che tale nozione debba

essere determinata ai sensi del diritto nazionale. Di conseguenza, le amministrazioni o le Istituzioni Pubbliche comprendono le

autorità nazionali, regionali e locali, ma il concetto, ai sensi delle apposite leggi nazionali, tipicamente include una serie di

altri organismi di diritto pubblico12

. In tali casi, l'indicazione di un DPO è obbligatorio.

Un' attività di pubblica utilità può essere condotta e una funzione pubblica possono essere esercitate non solo dalle autorità

pubbliche, ma anche da persone fisiche o giuridiche di diritto pubblico o privato, in settori come, secondo il regolamento

nazionale di ciascuno Stato membro, servizi di trasporto pubblico, fornitura di acqua ed energia, infrastrutture stradali,

servizio pubblico di radiodiffusione, edilizia pubblica, o organismi normativi per le professioni regolamentate.

In questi casi, i soggetti ai quali si riferiscono i dati possono trovarsi in una situazione molto simile a quella nella quale i dati

siano trattati da una Amministrazione o un Ente Pubblici. In particolare, i dati possono essere trattati per analoghi scopi e gli

individui spesso hanno poca o nessuna scelta riguardo alla possibilità o ai modi di trattamento dei dati e possono quindi

richiedere la protezione aggiuntiva che può derivare dall'indicazione di un DPO.

Anche se non esiste alcun obbligo in tali casi, il WP29 raccomanda, come una buona pratica, che:

• le organizzazioni private con compiti di pubblica utilità o che esercitano pubblici poteri designino un DPO

E che

• tale attività del DPO dovrebbero coprire anche tutte le operazioni di trattamento effettuate, comprese quelle che

non riguardano l'esecuzione dei compiti di pubblica utilità o l' esercizio di mansioni ufficiali (ad es. la gestione

di un database dei dipendenti).

2.1.2 'ATTIVITÀ PRINCIPALI’

L’Articolo 37(1)(b) e (c) del GDPR si riferisce alla 'attività principale del Titolare o del Responsabile del

trattamento'.

La Considerazione 97 specifica che le attività principali di un Titolare hanno a che fare con 'attività primarie e non

riguardano il trattamento dei dati personali come attività accessorie '. ‘Attività principali' possono essere considerate come le

operazioni principali necessarie per raggiungere gli obiettivi del titolare o del responsabile.

Tuttavia, le "attività principali" non devono essere interpretate come escludenti delle attività in cui il trattamento dei dati

costituisce una parte integrante dell'attività del Titolare o del Responsabile. Per esempio, l'attività principale di un ospedale è

di fornire assistenza sanitaria. Tuttavia, un ospedale non potrebbe fornire assistenza sanitaria in modo sicuro ed efficace senza

l’elaborazione di dati sanitari, quali le cartelle sanitarie dei pazienti. Pertanto, l'elaborazione di questi

_______________________

11

Questo è anche è rilevante per i chief privacy officers ('CPO's) o altri professionisti della privacy già in attività oggi in

in alcune aziende che non sempre soddisfano i criteri dati dal GDPR, per esempio, in termini di risorse disponibili o garanzie

d'indipendenza, e quindi, non possono essere considerati ed indicati come DPO.

12 Si veda, ad esempio la definizione di 'ente pubblico e 'organismo disciplinato dal diritto pubblico nell'articolo 2, paragrafo 1) e (2) della

direttiva 2003/98/CE del Parlamento europeo e del Consiglio, del 17 novembre 2003 relativa al riutilizzo dell'informazione del settore

pubblico (GU L 345 del 31.12.2003, pag. 90).

13Articlo 6(1)(e).

6

dati dovrebbe essere considerata una delle attività principali dell'ospedale e gli ospedali devono quindi designare i DPO.

Come un altro esempio, una società di sicurezza privata effettua la sorveglianza di un certo numero di centri commerciali

privati e di spazi pubblici. La sorveglianza è l'attività principale dell'azienda, che a sua volta è legata indissolubilmente al

trattamento dei dati personali. Pertanto, questa società dovrà anche designare un DPO.

2.1.3 'LARGA SCALA'

L’Articolo 37(1)(b) e (c) richiede che il trattamento dei dati personali venga effettuato su larga scala perché si dia luogo alla

designazione di un DPO. Il GDPR non definisce, però, cosa si intenda per Larga Scala, sebbene la considerazione 91

fornisca alcuni suggerimenti14

Infatti, non è possibile stabilire un numero preciso sia per quanto riguarda la quantità di dati elaborati che per il numero di

persone interessate, che possa essere applicabile in ogni situazione. Ciò non esclude però la possibilità che nel corso del

tempo, si possa sviluppare una pratica standard, che possa specificare, in termini oggettivi e quantitativi cosa costituisca

'larga scala' per talune tipologie correnti di attività di trattamento dati. Il WP29 intende anche contribuire a questo sviluppo,

mediante la condivisione e divulgazione di esempi delle soglie rilevanti per la designazione di un DPO.

In ogni caso, il WP29 raccomanda di tenere in considerazione particolarmente i seguenti fattori nel determinare se il

trattamento sia effettuato su larga scala:

• Il numero di persone interessate sia come numero specific o come percentuale di popolazione interessata

• Il volume dei dati e/o la gamma dei diversi dati da elaborare

• La durata, o la continuità, dell'attività di elaborazione dei dati

• L'estensione dell’ambito territoriale dell'attività di elaborazione

14

Secondo la considerazione sono inclusi in modo particolare, "operazioni di trattamento dati su larga scala che mirano a elaborare una

considerevole quantità di dati personali a livello regionale, nazionale o sovranazionale e che possono interessare un grande numero di

soggetti e che possono causare un elevato rischio". D'altra parte, la considerazione stabilisce specificamente che "il trattamento dei dati

personali non dovrebbe essere considerato a larga scala qualora riguardi i dati personali di pazienti di un singolo medico o di altro

professionista della salute o di un avvocato”. È importante considerare che, mentre la considerazione contiene esempi che rappresentano gli

estremi della scala (l’elaborazione da parte di un singolo medico contrapposta al trattamento dei dati di un intero paese o di tutta Europa);

esiste una ampia zona grigia tra questi estremi. Inoltre, occorre ricordare che questa considerazione si riferisce alle valutazioni d'impatto della

protezione dei dati. Ciò implica che alcuni elementi potrebbero essere specifici di un particolare contesto e che non si applicano

necessariamente alla designazione dei DPO nello stesso identico modo.

7

Gli esempi di trattamento su larga scala includono:

• trattamento dei dati del paziente nel regolare svolgimento delle attività di un ospedale

• trattamento dei dati di viaggio degli individui che utilizzano il sistema di trasporto pubblico della città (ad es.

monitoraggio per mezzo di carte di viaggio)

• Trattamento di dati geo-localizzati in tempo reale dei clienti di una catena fast food internazionale a fini

statistici, da parte di una specialista nel fornire questi servizi

• Trattamento dei dati dei clienti durante il normale svolgimento delle attività di un’assicurazione o di una banca

• Trattamento o dei dati personali durante la profilazione con un motore di ricerca

• elaborazione dei dati (contenuto, traffico, localizzazione) effettuata da provider di servizi telefonici o Internet

Esempi che non costituiscono trattamento su larga scala:

• trattamento dei dati del paziente da parte di un singolo medico

• trattamento di dati personali relativi a condanne penali e reati da parte di un singolo avvocato

2.1.4 ' MONITORAGGIO REGOLARE E SISTEMATICO '

La nozione di monitoraggio regolare e sistematico dei soggetti interessati dal trattamento dati non è definita nel GDPR, ma il

concetto di "monitoraggio dei comportamenti di un soggetto " è menzionato nella considerazione 2415

e comprende

chiaramente tutte le forme di tracciamento e di profilatura su Internet, anche ai fini della pubblicità comportamentale.

Tuttavia, la nozione di monitoraggio non è limitata all'ambiente online e il monitoraggio online dovrebbe essere considerato

solamente come un esempio di monitoraggio del comportamento dei soggetti al trattamento dati16

Il WP29 interpreta ’regolare’ come il verificarsi di una o più delle seguenti opzioni:

• continuativo o ad intervalli definiti per un determinato periodo

• ricorrente o ripetuto con frequenza prestabilita

• che si svolge di continuo o con periodicità stabilita

Il WP29 interpreta 'sistematico' come il verificarsi di una o più delle seguenti opzioni:

• che avviene secondo uno schema definito

• prestabilito, organizzato o metodico

• che si svolge nell'ambito di un piano generale per la raccolta dei dati

• svolto nell'ambito di una strategia

15

'Per stabilire se un’attività di trattamento dati sia assimilabile al controllo dei comportamenti deli soggetti interessati dal trattamento stesso,

è opportuno verificare se le persone fisiche sono tracciate su internet, compreso l'eventuale ricorso successivo a tecniche di trattamento dei

dati personali che consistono nella profilazione della persona fisica, in particolare per adottare decisioni che lo/la riguardano per

analizzarne o prevederne le preferenze, i comportamenti e le posizioni personali.

16 Notare che la considerazione 24 si concentra sull'applicazione extraterritoriale del GDPR. Inoltre, v’è anche una differenza fra i termini “monitorare le loro attitudini” (Art 3(2)(b)) e “costante e sistematico monitoraggio di dati individuali” (Art 37 (1)(b)) che costituiscono due diversi concetti.

8

Esempi: gestione di una rete di telecomunicazioni; servizi di telecomunicazione; servizi di profilatura e-mail ; profilazione

e valutazione per la stima dei rischi (ad esempio per scopi di affidabilità creditizia, determinazione dei premi assicurativi,

prevenzione delle frodi, individuazione di riciclaggio di denaro); sistemi di localizzazione , ad esempio, per mezzo di

applicativi mobili; programmi di fidelizzazione; pubblicità comportamentale; monitoraggio dati relativi a benessere,

fitness e salute tramite dispositivi portatili; televisioni a circuito chiuso; dispositivi collegati ad es. : contatori intelligenti,

smart auto, domotica, ecc.

2.1.5 SPECIALI CATEGORIE DI E DATI RELATIVI A REATI E CONDANNE PENALI

L’Articolo 37(1)(c) affronta il trattamento di particolari categorie di dati ai sensi dell'articolo 9 e dei dati personali relativi a

condanne penali e reati indicati nell'articolo 10. Nonostante venga usata nel testo il termine 'e', non vi è alcun motivo legale

per cui i due criteri si debbano applicare simultaneamente. Nel testo si deve quindi intendere come vi fosse il termine 'o'.

2.2. DPO del responsabile del trattamento

L'articolo 37 si applica sia al Titolare17

che al Responsabile del trattamento18

rispetto alla designazione di un DPO.

A seconda di chi soddisfa i criteri di designazione obbligatoria, in alcuni casi solo il Titolare o solo il Responsabile, in altri

casi, sia il l’uno che l’altro sono tenuti a nominare un DPO (che deve poi collaborare con ambedue gli altri).

È importante sottolineare che anche se il Titolare dei dati adempie ai criteri per la designazione obbligatoria il suo

responsabile del trattamento non è necessariamente obbligato a nominare un DPO. Questo può, tuttavia, essere una buona

prassi.

Esempi:

• Una piccola azienda familiare attiva nella distribuzione di elettrodomestici in una sola città, utilizza i servizi di un

Responsabile la cui attività principale è quella di fornire servizi di Web Analytics e assistenza con pubblicità mirata

e marketing. Le attività dell'azienda familiare e dei suoi clienti non configurano elaborazione di dati su “larga scala",

considerando il piccolo numero di clienti e le attività relativamente limitate. Tuttavia, con la sua attività il

Responsabile del trattamento dati, che ha molti clienti come questa piccola impresa, prese tutti insieme, sta trattando

dati su larga scala. Il Responsabile di servizi Web deve quindi designare un DPO a norma dell’Articolo 37(1)(b).

Allo stesso tempo, l'azienda di famiglia non è sottoposta l'obbligo di designare un DPO.

• Una impresa di medie dimensioni per la fabbricazione di piastrelle subappalta i suoi servizi di medicina del lavoro a

un Responsabile esterno, che ha un gran numero di clienti simili. Il Responsabile esterno deve designare un DPO a

norma dell'articolo 37, 37(1)(c), se il trattamento dati si configura su larga scala. Tuttavia, l’impresa manifatturiera

non è necessariamente sottoposta all'obbligo di designare un DPO.

17 Il Titolare del Trattamento è definito All’Aticolo 4(7) come la persona o l'organo, che determina le finalità e i mezzi del trattamento.

18 Il Responsabile del Trattamento è definito all’Articlo 4(8) come la persona o l’organo, che tratta dati personali per conto del titolare

del trattamento

9

Per una questione di buona prassi, il WP29 raccomanda che il DPO designato da un Responsabile deve anche

supervisionare le attività di controllo condotte dall'organizzazione del Responsabile quando funge da controllore dei dati

in proprio (ad es. HR, IT, logistica).

2.3. 'Facilmente raggiungibile da ogni sede’

L'articolo 37, paragrafo 2, consente a un gruppo d’imprese di designare un singolo DPO purché sia «facilmente raggiungibile

da ogni sede». La nozione di accessibilità si riferisce ai compiti del DPO come un punto di contatto per quanto riguarda i

soggetti relativi al trattamento dei dati19

, l'autorità di vigilanza 20

ma anche all'interno dell'organizzazione, considerando che

uno dei compiti del DPO è 'informare e fornire consulenza al titolare del trattamento o al responsabile del trattamento

nonché ai dipendenti che eseguono il trattamento in merito agli obblighi derivanti dal presente regolamento '21

.

Al fine di garantire che il DPO, sia interno che esterno, sia raggiungibile è importante accertarsi che i loro contatti siano

disponibili in conformità alle prescrizioni del GDPR22

Il/la DPO deve essere in grado di comunicare in modo efficace con i soggetti interessati al trattamento dei dati 23

e di

collaborare 24

con le autorità di vigilanza interessate. Ciò significa altresì che detta comunicazione deve avvenire nella lingua

o nelle lingue utilizzate dalle autorità di vigilanza e dai soggetti interessati al trattamento dei dati.

A norma dell'articolo 37, paragrafo 3, un singolo DPO può essere designato per diverse amministrazioni o enti pubblici,

tenendo conto della loro struttura organizzativa e delle loro dimensioni. Si applicano le stesse considerazioni relative alle

risorse e alla comunicazione. Dato che il DPO è responsabile di una molteplicità di compiti, il Titolare del Trattamento deve

assicurarsi che un singolo DPO possa svolgere questi compiti in modo efficiente essendo responsabile di diverse

amministrazioni e enti pubblici.

La disponibilità personale di un DPO (sia fisicamente nella sede stessa dei dipendenti, che tramite una hotline o un altro

mezzo sicuro di comunicazione) è indispensabile per garantire che i soggetti interessati al trattamento dati lo possano

contattare. Il DPO è vincolato alla segretezza o alla riservatezza riguardo la prestazione dei suoi compiti, in conformità con la

legge dell'Unione o dello stato membro (articolo 38, paragrafo 5). Tuttavia, l'obbligo di segretezza/riservatezza non vieta al

DPO la possibilità di mettersi in contatto e di chiedere consulenza all'autorità di vigilanza.

19 Articolo 38(4): ' Gli interessati al trattamento dati possono contattare il responsabile della protezione dei dati per tutte le

questioni relative al trattamento dei loro dati personali e all'esercizio dei loro diritti derivanti dal presente regolamento.’

20 Articolo 39(1)(e): ' fungere da punto di contatto per l'autorità di controllo per questioni connesse al trattamento dati, tra cui la

consultazione preventiva di cui all'articolo 36, e da consultare, se del caso, relativamente a qualunque altra questione'

21Articolo 39(1)(a).

22Vedere anche sezione 2.5 qui di seguito.

23Articolo 12(1): ‘Il titolare del trattamento deve adottare misure appropriate per fornire tutte le informazioni di cui agli articoli 13

e 14 e tutte le comunicazioni di cui agli articoli da 15 a 22 e all'articolo 34 relative al trattamento dei dati in forma concisa,

trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro, in particolare nel caso di informazioni

destinate specificamente ai minori.’

24Articolo 39(1)(d) ‘cooperare con l’autorità di controllo;’

10

2.4. Competenze e capacità del DPO

L’Articolo 37(5) prevede che il DPO ' deve essere designato sulla base delle qualità professionali e, in particolare, della

conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati, e della capacità di assolvere i

compiti di cui all’articolo 39. '. La considerazione 97 prevede che il livello necessario di conoscenze dovrebbe essere

determinato a seconda delle operazioni di trattamento dei dati effettuate e del livello di protezione necessario per i dati

personali trattati.

• Livello di competenza

Il livello di competenza richiesto non è definito nel dettaglio, ma deve essere commisurato con la sensibilità, la complessità e

la quantità di dati che un’organizzazione tratta. Ad esempio, se un'attività di trattamento dei dati è particolarmente

complessa, o se interessa una grande quantità di dati sensibili, il DPO potrebbe necessitare di un livello più elevato di

competenza e di supporto. C'è anche una differenza a seconda che l'organizzazione trasferisca sistematicamente dati

personali al di fuori dell'Unione europea o che tali trasferimenti siano occasionali. Il DPO deve quindi essere scelto con

attenzione, con il dovuto riguardo ai problemi di protezione di dati che sorgono all'interno dell'organizzazione.

• Qualità Professionali

Anche se l'articolo 37(5) non specifica le qualità professionali che devono essere considerate quando si designa il DPO, è un

elemento rilevante che i DPO abbiano competenza sulle leggi e pratiche nazionali ed europee riguardo la protezione dei dati e

una comprensione approfondita del GDPR. È altresì utile che le autorità di vigilanza promuovano la formazione adeguata e

continuativa per i DPO.

La conoscenza del settore imprenditoriale e dell'organizzazione del Titolare del Trattamento è utile. IL DPO dovrebbe inoltre

avere una comprensione sufficiente sulla tipologia di attività, nonché dei sistemi informativi, e della esigenze di protezione e

di sicurezza dei dati del Titolare.

Nel caso di un'autorità o di un ente pubblico, il DPO dovrebbe anche avere una buona conoscenza delle regole e delle

procedure amministrative dell'organizzazione.

• Capacità di adempiere ai suoi compiti

La capacità di assolvere ai compiti di DPO deve essere interpretato sia in riferimento alle loro qualità e conoscenze personali,

che anche alla loro posizione all'interno dell'organizzazione. Le qualità personali devono includere per esempio l'integrità e

l’elevata etica professionale; la preoccupazione principale del DPO deve essere quella di assicurare la conformità con la

GDPR. Il DPO svolge un ruolo fondamentale nella promozione di una cultura della tutela dei dati all'interno

dell'organizzazione e contribuisce ad attuare gli elementi essenziali del GDPR, quali i principi di trattamento dei dati25

, i diritti

degli interessati al trattamento dati26

, la protezione dei dati pianificata e automatica 27

, la documentazione delle attività di

trattamento28

, la sicurezza del trattamento dati29

, e la notifica e comunicazione delle violazioni dei dati30

.

25 Capitolo II.

26 Capitolo III.

27 Articolo 25

28 Articolo 30.

29 Articolo 32.

30 Articoli 33 e 34.

11

• DPO sulla base di un contratto di servizio

La funzione di DPO può essere esercitata anche sulla base di un contratto di servizio stipulato con un soggetto o

un'organizzazione esterna a quella del Titolare/Responsabile del Trattamento dati. In questo caso, è essenziale che ogni

membro dell'organizzazione che esercita le funzioni di un DPO soddisfi tutti i requisiti riportati nella sezione 4 del GDPR (ad

esempio, è essenziale che nessuno abbia un conflitto di interessi). È altrettanto importante che ciascuno di questi membri sia

protetto dalle disposizioni del GDPR (ad esempio, nessuna cessazione ingiusta del contratto di servizio per le attività come

DPO, ma nemmeno il licenziamento ingiustificato di un membro dell'organizzazione che esercita le funzioni di DPO). Allo

stesso tempo, le abilità e i punti di forza individuali possono essere uniti in modo che diversi soggetti, lavorando in squadra,

possano servire in modo più efficiente i loro clienti.

Nell’interesse della chiarezza legale e di un’efficiente organizzazione si raccomanda di distribuire i compiti all’interno del

gruppo di lavoro DPO e di assegnare un ben definito membro del team il compito di responsabile e punto di contatto per ogni

cliente. E’ generalmente utile specificare questi punti nel contratto di servizio

2.5. Pubblicazione e comunicazione dei dati di contatto del DPO

L’Articolo 37(7) del GDPR richiede che il Titolare o il Responsabile del Trattamento:

• pubblichino i dati di contatto del DPO e

• comunichino i dati di contatto alle autorità di vigilanza interessate.

L'obiettivo di questi requisiti è di assicurare che i soggetti interessati al trattamento dati (sia all'interno che all'esterno

dell'organizzazione) e le autorità di vigilanza possano facilmente, direttamente ed in maniera riservata contattare il DPO senza

doversi rivolgere ad altri all'interno dell'organizzazione.

I dati di contatto del DPO devono includere tutte le informazioni che consentano ai soggetti interessati al trattamento dati e

alle autorità di vigilanza di raggiungere il DPO in modo semplice (un indirizzo postale, un numero telefonico dedicato e un

indirizzo e-mail dedicato). Ove opportuno, ai fini della comunicazione con il pubblico, è possibile fornire altri mezzi di

comunicazione, ad esempio, una hotline dedicata, o un apposito formulario indirizzato al DPO sul sito Web

dell'organizzazione.

L’Articolo 37(7) non richiede che i dati di contatto pubblicati debbano includere il nome del DPO. Mentre questa può essere

una buona prassi, sta al Titolare del Trattamento e al DPO decidere se questo sia necessario o utile nelle circostanze

specifiche.31

Come buone prassi, l'WP29 raccomanda che l'organizzazione informa l'autorità di vigilanza e i dipendenti del nome e dei

recapiti del DPO. Ad esempio, il nome e recapiti del DPO potrebbero essere pubblicati internamente sulla rete intranet

dell'organizzazione, o sulla rubrica telefonico interna e organigrammi.

31 È degno di nota l’Articolo 33(3)(b), che descrive le informazioni che devono essere fornite all'autorità di vigilanza ed ai soggetti

interessati al trattamento dei dati in caso di violazione di dati personali, diversamente dall'articolo Articolo 37(7), richiede

specificamente di comunicare anche il nome (e non solo i recapiti) del DPO.

12

3 Posizione del DPO

3.1. Coinvolgimento del DPO in tutte le questioni relative alla tutela dei dati personali

L’Articolo 38 del GDPR prevede che il Titolare e il Responsabile del trattamento facciano si che il DPO sia

'tempestivamente e adeguatamente coinvolto in tutte le questioni riguardanti la protezione dei dati personali.'.

È fondamentale che il DPO sia coinvolto sin dalla fase iniziale in tutte le questioni relative alla protezione dei dati.

In relazione alle valutazioni di impatto della protezione dei dati, il GDPR prevede esplicitamente il coinvolgimento

tempestivo del DPO e specifica che il Titolare del Trattamento deve chiedere il parere del DPO quando si effettua la

valutazione di impatto. 32

Garantire che il DPO sia informato e consultato fin dalle fasi iniziali faciliterà la conformità con il

GDPR, garantirà un approccio pianificato alla privacy e pertanto dovrebbe essere la procedura standard all'interno della

governance dell'organizzazione. Inoltre, è importante che il DPO sia visto come un interlocutore all'interno

dell'organizzazione e che faccia parte dei gruppi di lavoro pertinenti con le attività di elaborazione dati all'interno

dell'organizzazione.

Di conseguenza, l'organizzazione deve garantire, ad esempio, che:

• Il DPO sia invitato a partecipare regolarmente alle riunioni del management sia di medio livello che

direzionale.

• La sua presenza è raccomandata dove sono adottate le decisioni con implicazioni sulla protezione dei dati.

Tutte le informazioni pertinenti devono essere trasmesse al DPO in modo tempestivo per consentirgli/le di

fornire le adeguata raccomandazioni

• Il parere del DPO deve sempre essere tenuto in adeguata considerazione. In caso di disaccordo, il WP29

raccomanda, come buona pratica, di documentare le ragioni per cui non vengono seguite le raccomandazioni

del DPO

• Il DPO deve essere prontamente consultato quando si è verificata una violazione dei dati o un altro tipo di

incidente.

Ove opportuno, il Titolare o il Responsabile del Trattamento possono elaborare linee guida per la protezione dei dati o

programmi che stabiliscano quando il DPO debba essere consultato.

3.2. Risorse Necessarie

L’Articolo 38(2) del GDPR esige che l'organizzazione sostenga il proprio DPO ' fornendogli le risorse necessarie per

assolvere i suoi (loro) compiti, l’accesso ai dati personali e alle procedure di trattamento degli stessi, oltre che per mantenere

aggiornate le loro conoscenz specialistiche. '. Le seguenti questioni, in particolare, devono essere considerate:

• Sostegno attivo della funzione di DPO da parte del management direzionale (ad esempio a livello di Consiglio

di amministrazione).

• Prevedere tempo sufficiente per il DPO per adempiere ai suoi compiti. Questo è particolarmente importante se

il DPO è nominato a part-time o se il dipendente svolge la mansione di protezione dei dati unitamente ad altre

funzioni. In caso contrario, conflitti di priorità potrebbero comportare il trascurare i compiti svolti come DPO.

Avere sufficiente tempo da dedicare alle attività di DPO è fondamentale. È una buona pratica stabilire una

32Article 35(2).

13

percentuale di tempo da dedicare alla funzione DPO, se questa non venga svolta a tempo pieno .

È anche buona norma determinare il tempo necessario da dedicare a tale funzione, il livello di priorità

appropriato per le funzioni di DPO e la redazione da parte del DPO (o dell'organizzazione) un piano di lavoro

appropriato.

• Adeguato supporto in termini di risorse finanziarie, personale e infrastrutture (locali, impianti, attrezzature) ove

necessario

• Comunicazione ufficiale della designazione del DPO a tutto il personale per garantire che la sua presenza e

funzione siano noti all'interno dell'organizzazione.

• Accesso necessario ad altri servizi, quali il servizio risorse umane, servizio legale, servizio IT, servizio

sicurezza, ecc., in modo che DPO possa ricevere supporto essenziale, input e informazioni da questi altri servizi.

• Formazione continua. Al DPO dovrebbe essere data la possibilità di rimanere aggiornato per quanto riguarda gli

avanzamenti delle conoscenze nell’ambito della protezione dei dati. L'obiettivo deve essere quello di

aumentare costantemente il livello di competenza dei DPO i quali debbono essere incoraggiati a partecipare a

corsi di formazione sulla protezione dei dati e ad altre forme di sviluppo professionale, come la partecipazione a

forum per la messa in atto del rispetto della privacy , workshop, ecc.

• In funzione della dimensione e della struttura dell'organizzazione, può essere necessario istituire un team DPO

(un DPO e il suo staff). In tali casi, devono essere chiaramente programmare la struttura interna del team e le

mansioni e le responsabilità di ciascuno dei suoi membri. Analogamente, quando la funzione di DPO è

esercitata da un fornitore di servizi esterni, un gruppo di soggetti che lavorano per tale entità può svolgere

efficacemente le mansioni di un DPO come squadra, sotto la responsabilità di un responsabile designato come

punto di contatto del cliente.

In generale, più sono complesse e/o sensibili sono le operazioni di trattamento dati, più risorse devono essere fornite al DPO.

La funzione di protezione dei dati deve essere efficace e sufficientemente dotata di risorse in relazione al tipo di trattamento

dati da effettuare.

3.3. Istruzioni e 'agire indipendentemente'

L’Articolo 38(3) stabilisce alcune garanzie fondamentali per garantire che i DPO siano in grado di svolgere i loro compiti

con un sufficiente grado di autonomia all'interno dell’organizzazione in cui operano. In particolare, sia i Titolari che i

Responsabili del trattamento sono tenuti a garantire che il DPO 'non riceva alcuna istruzione per quanto riguarda

l'esecuzione dei loro compiti. .' La considerazione 97 aggiunge che i DPO, 'dipendenti o meno del titolare del trattamento,

debbono poter adempiere alle loro funzioni e compiti in maniera indipendente '.

Ciò significa che, nell'adempimento dei loro compiti nell’ambito dell'articolo 39, i DPO non devono essere istruiti su come

affrontare una questione, ad esempio, quale risultato debba essere conseguito, come debba essere esaminato un reclamo o se

consultare l'autorità di vigilanza. Inoltre, i DPO non devono essere istruiti ad uniformarsi a particolari punti di vista su

questioni inerenti la legge sulla protezione dei dati, per esempio, una particolare interpretazione della legge stessa.

L'autonomia dei DPO non implica, tuttavia, che a questi siano demandati poteri decisionali al di là dei loro compiti a norma

dell'articolo 39

Il Titolare o il Responsabile del trattamento rimangono responsabili per la conformità rispetto alla legge della protezione dei

dati e devono essere in grado di dimostrarla33

. Se il Titolare o il Responsabile del trattamento prendono decisioni in contrasto

con GDPR e i consigli del DPO , al DPO deve essere data la possibilità di evidenziare agli organi decisionali il suo parere

in dissenso alle decisioni prese.

33 Articolo 5(2).

14

3.4. Rimozione o sanzioni collegate allo svolgimento dell’attività di DPO

L’Articolo 38(3) richiede anche che i DPO ' non debbono essere rimossi o sanzionati dal titolare del trattamento o dal

responsabile del trattamento per avere adempiuto ai propri compiti.'.

Questo requisito rafforza l'autonomia dei DPO e contribuisce a garantire che questi agiscano in modo indipendente e

godano di una protezione sufficiente nell'esecuzione delle loro attività di protezione dei dati..

Le sanzioni sono vietate in accordo con il GDPR solo nel caso in cui derivino dall’operato di DPO nell’ambito delle proprie

funzioni. Ad esempio: un DPO può valutare che un particolare procedimento possa provocare un elevato rischio e consigliare

il Titolare o il Responsabile del Trattamento di effettuare una valutazione di impatto, ma che il Titolare o il Responsabile del

Trattamento non si trovino d'accordo con la valutazione del DPO. In tale situazione, il DPO non può essere rimosso per aver

fornito questo suggerimento.

Le sanzioni possono assumere una varietà di forme e possono essere dirette o indirette. Potrebbero essere costituite, per

esempio, da negazione o ritardo di una promozione; da ostacoli all'avanzamento di carriera; negazione di benefici che altri

dipendenti ricevono. Non è necessario che queste sanzioni vengano effettivamente comminate, una mera minaccia è

sufficiente se finalizzata a penalizzare le DPO per motivi legati alle sue attività come DPO.

Come regola generale e al pari di qualsiasi altro dipendente o collaboratore esterno nell’ambito del contratto nazionale di

lavoro e del diritto penale, un DPO può comunque essere rimosso legittimamente per motivi diversi da quelli relativi

all'esecuzione della propria attività di DPO (per esempio, in caso di furto, molestie fisiche, psicologiche o sessuali o simili

colpe gravi).

In questo contesto, va osservato che il GDPR non specificare come e quando un DPO possa essere rimosso o sostituito con

un'altra persona. Tuttavia, più stabile è il contratto del DPO e maggiori le garanzie vi sono contro la rimozione senza giusta

causa, e più è probabile che il DPO sia in grado di agire in modo indipendente. Di conseguenza, il WP29 incoraggia ogni

azione da parte delle organizzazioni che producano questi effetti.

3.5. Conflitto d’interessi

L’Articolo 38(6) consente che i DPO possano ' svolgere altri compiti e funzioni. Richiede, tuttavia, che l’organizzazione

garantisca che ‘nessuno di questi compiti e funzioni possa dare adito a un conflitto di interessi'.

L'assenza di conflitti di interessi è strettamente legata all'obbligo di agire in modo indipendente. Anche se i DPO sono

autorizzati a svolgere altre funzioni, queste gli possono essere affidate purché non diano luogo a conflitti di interessi. Ciò

comporta in particolare che il DPO non può avere una posizione all'interno dell'organizzazione che possa influenzare finalità e

modalità relative al trattamento dei dati personali. Vista la specificità di ogni struttura organizzativa, questo deve essere

valutato caso per caso.34

34 Una regola empirica è che le posizioni in conflitto possono includere posizioni di management direzionale (ad esempio,

amministratore delegato, direttore operativo, finanziario, capo dell’ufficio sicurezza e prevenzione, capo del reparto marketing,

responsabile delle risorse umane, o responsabile dei dipartimenti IT) ma anche altri ruoli inferiori nella struttura organizzativa, se tali

posizioni o ruoli concorrono alla determinazione delle finalità e modalità del trattamento.

15

A seconda delle attività, delle dimensioni e della struttura dell'organizzazione, può essere buona prassi per Titolari o

Responsabili del Trattamento:

• identificare le posizioni che sono incompatibili con la funzione di DPO

• elaborare un regolamento interno in tal senso, al fine di evitare conflitti d’interesse

• includere una valutazione più generale sui conflitti di interessi

• dichiarare che il proprio DPO non ha alcun conflitto d’interessi per quanto concerne le sua funzione di DPO, per

sensibilizzare l’importanza di questo requisito

• includere garanzie nelle norme interne dell'organizzazione per garantire che la il bando di selezione per ricoprire

la posizione di DPO o il contratto di servizio siano sufficientemente precisi e dettagliati al fine di evitare

conflitti d'interessi. A questo proposito, si dove anche tener conto che i conflitti di interessi possono essere

differenti a seconda se il DPO sia reclutato internamente o esternamente.

4 Compiti del DPO

4.1. Monitoraggio della conformità con il GDPR

L’Articolo 39(1)(b) affida al DPO, tra le altre funzioni, il compito di monitorare la conformità con il GDPR. La

Considerazione 97 specifica ulteriormente che il DPO ' deve assistere il Titolare o il Responsabile del trattamento nel

monitoraggio del rispetto a livello interno del presente regolamento '.

Nell'ambito di questi compiti per controllare la conformità, in particolare il DPO può:

raccogliere informazioni per identificare le attività di elaborazione,

analizzare e verificare la conformità delle attività di elaborazione, e

informare, consigliare e rilasciare raccomandazioni al Titolare o al Responsabile del Trattamento..

Il Controllo della conformità non implica che il DPO sia personalmente responsabile in caso di inosservanza. Il GDPR

chiarisce che è il Titolare del Trattamento, non il DPO, che è tenuto a "mettere in atto misure tecniche e organizzative

adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al presente

regolamento" (articolo 24(1)). La conformità della protezione dei dati è una responsabilità aziendale del Titolare del

Trattamento, non del DPO.

4.2. Il ruolo di DPO in una valutazione dell'impatto sulla protezione dei dati

A norma dell' Art. 35(1), è compito del Titolare del Trattamento, non del DPO, di svolgere, ove necessario, una

valutazione d'impatto relativamente alla protezione dei dati ('DPIA'). Tuttavia, il DPO può svolgere un ruolo molto importante

e utile nell'assistere il Titolare del Trattamento. Seguendo il principio di protezione programmata dei dati, l’Articolo 35(2)

prevede espressamente che il Titolare del Trattamento 'richieda assistenza” al DPO allorquando svolge una DPIA . L’Articolo

39(1)©,a sua volta, assegna al DPO il compito di ' fornire, se richiesto, un parere in merito alla [DPIA] e di sorvegliarne lo

svolgimento '.

16

Il WP29 raccomanda che il Titolare del Trattamento richieda il parere del DPO, tra le altre ,sulle seguenti questioni:

• Se sia opportuno o meno eseguire una DPIA

• quale metodologia seguire quando si effettua una DPIA

• se effettuare la DPIA internamente o in outsourcing

• quali misure di salvaguardia (comprendendo le misure tecniche e organizzative) adottare per

limitare i rischi per i diritti e gli interessi dei soggetti interessati al trattamento dei dati

• se la valutazione d'impatto sulla protezione dei dati sia stata eseguita correttamente e se le sue conclusioni (se

proseguire o meno con il trattamento dei dati e quali salvaguardie applicare) siano conformi al GDPR

Se il Titolare del Trattamento non è d'accordo con i rilievi forniti dal DPO, la documentazione DPIA deve giustificare nel dettaglio per iscritto il motivo per cui il suggerimento non è stato preso in considerazione

36.

Il WP29 raccomanda inoltre al Titolare del Trattamento di delineare con chiarezza, ad esempio nel contratto di nomina del DPO, ma anche nelle informazioni fornite ai dipendenti, al management (e altre parti interessate, se è il caso), i compiti precisi del DPO e i loro obiettivi, in particolare per quanto riguarda la realizzazione della DPIA.

4.3. Approccio basato sul rischio

L’Articolo 39(2) richiede che il DPO 'consideri debitamente i rischi inerenti alle operazioni di trattamento dei dati, tenuto

conto della natura, dello scopo, del contesto e delle finalità del medesimo. '.

Questo articolo richiama un principio generale di comune buon senso, che può essere rilevante per molti aspetti del lavoro

quotidiano di un DPO. In sostanza,si richiede al DPO di dare priorità e concentrare i propri sforzi su quelle attività e su quegli

aspetti che presentino rischi più elevati rispetto alla protezione dei dati. Questo non significa che si debbano trascurare il

monitoraggio e la conformità delle operazioni di trattamento dei dati che hanno un livello relativamente più basso di rischio,

ma indica che i DPO dovrebbero dare priorità, principalmente, alle aree a rischio più elevato.

Questo approccio pragmatico e selettivo dovrebbe aiutare il DPO nel consigliare il Titolare del Trattamento su quale

metodologia sia opportuno utilizzare nello svolgimento di un DPIA, quale aree debbano essere sottoposte a audit, interni o

esterni, per la protezione dei dati, quali attività formative effettuare internamente per il personale o il management

responsabile delle attività di trattamento dei dati e a quale procedure di trattamento dati dedicare più tempo e risorse.

35 L’Articolo 39(1) riporta i compiti del DPO e indica che il DPO deve avere «almeno» le seguenti mansioni. Di conseguenza,

nulla impedisce al Titolare del Trattamento di assegnare al DPO altre funzioni oltre a quelle esplicitamente menzionate all'articolo

39, paragrafo 1, o di specificare tali attività in modo più dettagliato.

36 L’Articolo 24(1) stabilisce che 'Tenuto conto della natura, scopo, contesto e finalità del trattamento dati , nonché dei rischi

aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche, il titolare del trattamento mette in atto le misure

tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al

presente regolamento. Dette misure sono riesaminate e aggiornate qualora necessario.'.

17

4.4. Il ruolo del DPO relativamente al registro delle attività

L’articolo 30(1) e (2), stabilisce che il titolare del trattamento o il responsabile , non il DPO, debbono’ mantenere

sotto la propria responsabilità un registro delle attività di trattamento svolte ' o ' mantenere un registro di tutte le categorie

di attività relative al trattamento svolte per conto del titolare del trattamento '.

In pratica, il DPO spesso creano archivi e mantengono un registro delle operazioni di trattamento dei dati, in base alle

informazioni fornite dai vari reparti della loro organizzazione, incaricati del trattamento dei dati personali. Questa prassi è

stata istituita con molte leggi nazionali vigenti e con le norme di protezione dei dati applicabili alle istituzioni e agli organi

dell'UE37

L’Articolo 39(1) fornisce un elenco minimo di compiti che il DPO deve avere. Di conseguenza, nulla impedisce al Titolare o

al responsabile del trattamento dati di assegnare al DPO il compito di mantenere il registro delle procedure di trattamento dati,

sotto la responsabilità del Responsabile del trattamento. Il Registro deve essere considerato uno degli strumenti tramite il

quale il DPO può svolgere i propri compiti di verifica della conformità, di informazione e consulenza al Titolare o al

responsabile del Trattamento.

In ogni caso il registro deve essere conservato ai sensi dell'articolo 30 deve essere visto come uno strumento che consente al

Titolare del Trattamento e all'autorità di vigilanza, su richiesta, di avere una panoramica di tutte le attività di trattamento dei

dati personali che un'organizzazione sta svolgendo. È quindi un prerequisito per la conformità, e come tale, una misura della

effettiva capacità di aderire alle norme.

37 Articolo 24(1)(d), Regulation (EC) 45/2001.

18