Le nuove figure professionali

introdotte dal GDPR

Il Regolamento generale sulla protezione dei dati (GDPR) ridisegna il ruolo, i
compiti e le responsabilità del Titolare e del Responsabile del trattamento dei
dati personali e individua la nuova figura del Responsabile della protezione
dei dati (DPO) in relazione ai nuovi principi e strumenti introdotti dalla
normativa: vediamo di seguito le caratteristiche di queste figure.

Titolare del trattamento dei dati personali

1
 Questa figura è responsabile di far rispettare i principi stabiliti dal GDPR: in
particolare, deve assicurarsi che vengano rispettati:

1. correttezza e trasparenza del trattamento dei dati

2. rispetto delle finalità; esattezza
3. riservatezza durante il trattamento
A tali fini, questa figura mette in atto misure tecniche ed organizzative
adeguate per garantire ed essere in grado di dimostrare che il trattamento
di dati personali sia effettuato in modo conforme al GDPR. Le misure sono
definite fin dalla fase di progettazione al fine di adempiere ai compiti del GDPR
e agevolare l’esercizio dei diritti dell’interessato (utente) stabiliti dagli articoli
15-22 GDPR.

Responsabile del trattamento

Il responsabile deve essere in grado di garantire che i
trattamenti siano effettuati in conformità al GDPR e
deve mettere in atto le misure tecniche e organizzative
necessarie a realizzarle. Le garanzie devono misurarsi in
termini di conoscenza specialistica, affidabilità e risorse.

È consentita la nomina di sub-responsabili del trattamento da parte di

ciascun responsabile del trattamento per specifiche attività di trattamento, nel
rispetto degli stessi obblighi contrattuali che legano il Titolare ed il
Responsabile primario; le operazioni di trattamento possono essere effettuate
solo da incaricati che operano sotto la diretta autorità del Responsabile
attenendosi alle istruzioni loro impartite per iscritto. Il Responsabile risponde,
anche dinanzi al Titolare, dell’inadempimento dell’operato del sub-responsabile,
anche ai fini del risarcimento di eventuali danni causati dall’impropria gestione,
salvo riesca dimostrare che l’evento dannoso non gli è in alcun modo
imputabile e che ha rispettato tutte le norme prestabilite.

Responsabile della protezione dati (DPO)

2
 L’istituzione della nuova figura DPO è la principale novità
normativa del Regolamento sulla Privacy europeo che mira
al potenziamento del controllo dell’efficacia e della sicurezza
dei sistemi di protezione dei dati personali.
Il Responsabile della protezione dei dati è incaricato di
Informare e fornire consulenza alle due figure
summenzionate nonché ai dipendenti coinvolti nel trattamento dei dati.

In tal senso il DPO può indicare al Titolari e/o al Responsabile:

 quando attuare un audit interno o esterno in tema di protezione dei dati

 le attività di formazione per il personale
 a quali trattamenti dedicare maggiori risorse e tempo in relazione al rischio
riscontrato
 sorvegliare l’osservanza del GDPR e delle altre normative relative alla
protezione dei dati
 fornire un parere in merito alla valutazione di impatto sulla protezione dei
dati (DPIA)
 cooperare con il Garante per la protezione dei dati personali e fungere da
punto di contatto con detta Autorità
 verificare la tenuta dei registri del Titolare e del/dei Responsabili sul
trattamento
Se questi sono i compiti del DPO, va segnalato che gli stessi possono essere
assegnati anche ad una figura professionale esterna, con particolare
riferimento alla comprovata conoscenza specialistica della normativa e della
prassi in materia di protezione dei dati.

L’INCARICATO DEL TRATTAMENTO

 Diversa considerazione
trattamento ex art 30 del vecchio codice (D.Lgs.
196/2003) che è una figura non presente in nessuna delle

3
 altre legislazioni degli Stati membri dell’Unione e che non era prevista
nemmeno dalla direttiva 95/46/CE del 1995 né dal GDPR.
 L’introduzione nella legge italiana della figura autonoma dell’Incaricato del
trattamento invece, è stata il risultato di una scelta del nostro legislatore e lo
stesso Garante nelle proprie faq illustrative del GDPR evidenzia che “Pur non
prevedendo espressamente la figura dell´Incaricato” del trattamento (ex art.
30 Codice), il regolamento non ne esclude la presenza in quanto fa riferimento
a “persone autorizzate al trattamento dei dati personali sotto l´autorità diretta
del titolare o del responsabile” (si veda, in particolare, art. 4, n. 10, del
regolamento).”.
 pienamente compatibili con il principio di “responsabilizzazione” di Titolari e
Responsabili del trattamento che prevede l’adozione di misure atte a garantire
proattivamente l’osservanza del regolamento nella sua interezza.
 ci si riferisce sostanzialmente a dipendenti o collaboratori e, pertanto, non vi
è dubbio che essi appaiano le figure sostanzialmente analoghe o comunque
molto aderenti di “Incaricato del trattamento” ai sensi del vecchio Codice
Privacy anche se il regolamento in realtà non conferisce ad esse un
inquadramento formale.

Il “soggetto designato” nel decreto Gdpr 101/2018: ruolo e funzioni

La figura del “soggetto designato” per compiti e funzioni relative al trattamento

dati personali è stata introdotto dal decreto legislativo 101/2018 Gdpr.

Qui il legislatore nell’ambito della propria delega ha abrogato espressamente le

disposizioni del Codice Privacy (d.lgs. 196/2003 – «Codice») incompatibili con
le disposizioni contenute nel GDPR, e dunque, con riferimento ai ruoli, gli art
4 , 28,29 e 30 ed ha introdotto un’ulteriore definizione: il cosiddetto
“soggetto designato” di cui all’art 2-quaterdecies il cui titolo recita
“Attribuzione di funzioni e compiti a soggetti designati” e nel quale si
riporta testualmente:

4
  Il titolare o il responsabile del trattamento possono prevedere, sotto la
propria responsabilità e nell’ambito del proprio assetto organizzativo, che
specifici compiti e funzioni connessi al trattamento di dati
personali siano attribuiti a persone fisiche, espressamente designate,
che operano sotto la loro autorità.
 Il titolare o il responsabile del trattamento individuano le modalità più
opportune per autorizzare al trattamento dei dati personali le persone
che operano sotto la propria autorità.

Il principio di “portabilità”

Nel Regolamento viene introdotto il diritto alla “portabilità”, ovvero il diritto dell’interessato di
ricevere in un formato strutturato, di uso comune e leggibile da dispositivo automatico i propri
dati personali per trasferirli da un titolare del trattamento a un altro e, se tecnicamente fattibile, la
trasmissione diretta dei propri dati. Il diritto alla portabilità può essere esercitato quando il
trattamento si basa sul consenso, su un contratto o sia effettuato con mezzi automatizzati. Tale
diritto non si applica al trattamento necessario per l’esecuzione di un compito di interesse
pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento. La
norma fa eccezione nei casi i cui si tratta di dati contenuti in archivi di interesse pubblico, come ad
esempio le anagrafiche.

Il principio di “responsabilizzazione”

Vi sono altri importanti elementi di novità. E’, infatti, stata introdotta la responsabilizzazione dei
titolari del trattamento (accountability), ovvero l’adozione di comportamenti proattivi e tali da
dimostrare la concreta adozione di misure finalizzate ad assicurare l’applicazione del regolamento
del GDPR, e un approccio che tenga in maggior considerazione i rischi che un determinato
trattamento di dati personali può comportare per i diritti e le libertà degli interessati, tenendo
conto dei rischi noti o evidenziabili, nonché delle misure tecniche e organizzative (anche di
sicurezza) ritenute adeguate dai titolari per mitigare tali rischi.

5
Data breach Gdpr

Il titolare del trattamento dovrà comunicare eventuali violazioni dei dati personali al Garante che
comportano impatti sui diritti e le libertà degli interessati. Rispondere in modo efficace a un data
breach per il Gdpr (qui la guida completa) richiede un approccio multidisciplinare ed integrato e
una maggiore cooperazione a livello Ue. L’attuale approccio presenta numerose falle che vanno
corrette. Non è semplice ma occorre farlo per non perdere l’occasione fornita dal GDPR.

A seguito della notifica all’Autorità di controllo si potranno altresì verificare i seguenti scenari:

REGISTRO DELLE ATTIVITÀ DI TRATTAMENTO

Il primo adempimento da porre in essere per le imprese italiane è senz’altro l’adozione

del Registro dei trattamenti di dati personali, obbligatorio per le imprese che contano almeno
250 dipendenti. Tale previsione non si applica, quindi, alle imprese o organizzazioni con meno di
250 dipendenti, a meno che il trattamento che esse effettuano possa presentare un rischio per i
diritti e le libertà dell’interessato, il trattamento non sia occasionale o includa il trattamento di
categorie particolari di dati o i dati personali relativi a condanne penali e a reati.

Si tratta di uno strumento fondamentale allo scopo di disporre di un quadro aggiornato dei
trattamenti in essere all’interno di un’azienda o di un soggetto pubblico – indispensabile per ogni
valutazione e analisi del rischio, da esibire su richiesta del Garante. Il registro deve avere forma
scritta, anche elettronica.

Le responsabilità e le sanzioni per le aziende

Ci sono diverse fattispecie e si va da un mera diffida amministrativa a sanzioni fino al 40% del
fatturato o fino a 20 milioni di euro. Ecco tutto ciò che c’è da sapere sulle sanzioni GDPR. Come
già anticipato sopra, accanto alle sanzioni amministrative previste dal GDPR, a livello nazionale
sono state introdotte anche alcune fattispecie di illeciti penali.

6
LA FIGURA DEL DPO (DATA PROTECTION OFFICER)

Non a caso è stata prevista la figura del “Responsabile della protezione dei dati” (Data
ProtectionOfficer o DPO), incaricato di sorvegliare l’osservanza delle disposizioni in materia di
protezione dei dati personali nelle imprese e negli enti e individuato in funzione delle qualità
professionali e della conoscenza specialistica della normativa e della prassi in materia di
protezione dati.

Il Responsabile della protezione dei dati:

1. Riferisce direttamente al vertice,

2. E’ indipendente, non riceve istruzioni per quanto riguarda l’esecuzione dei compiti;
3. Come già anticipato sopra, accanto alle sanzioni amministrative previste dal GDPR, a livello
nazionale sono state introdotte sanzioni di carattere penale.
4. Gli vengono attribuite risorse umane e finanziarie adeguate alla mission.

In realtà persistono ancora troppi dubbi su cosa sia il DPO. E’ una figura rilevante, ma certamente
non è il “centro” del sistema posto in essere dal GDPR, che nel nuovo ordinamento è sempre il
Titolare del trattamento. Il DPO deve avere una specifica competenza “della normativa e delle
prassi in materia di dati personali nonché delle norme e delle procedure amministrative che
caratterizzano il settore”. È non meno importante però che abbia anche “qualità professionali
adeguate alla complessità del compito da svolgere” e, specialmente con riferimento a settori
delicati come quello della sanità, possa dimostrare di avere anche competenze specifiche rispetto
ai tipi di trattamento posti in essere al titolare. E’ altrettanta importante l’autonomia decisionale e
l’estraneità del DPO rispetto alla determinazione delle finalità e delle modalità del trattamento dei
dati se si vuole restituire agli interessati quella sovranità sulla circolazione dei propri dati.

7
 TRATTAMENTO DATI

IL RESPONSABILE DEL TRATTAMENTO DEI DATI INTERNO

Sempre con riguardo alla nozione di Responsabile del trattamento il GDPR, partendo dalla
previsione della direttiva n. 46/95/CE, ha chiarito ulteriormente il ruolo, imponendo obblighi di
conformità direttamente rivolti ai responsabili del trattamento dei dati che comportano gravi
sanzioni a loro carico, qualora non risultino conformi alle norme. Si pensi tra gli altri ad esempio
all’obbligo di riservatezza dei dipendenti e collaboratori (art 28.3.b), all’obbligo
di assistenza, di cancellazione o di restituzione dei dati (art 28.3.h) e a ciò si aggiunga
l’esposizione al rischio per la responsabilità solidale del danno causato da una violazione del
regolamento (Art. 82.1).

Tutti obblighi che possono essere ricondotti ed applicabili esclusivamente ad un Responsabile del
trattamento cosiddetto“esterno”.