L'approfondimento

Ruolo, profilo e inquadramento del DPO: cosa dice la normativa

Facciamo chiarezza sulla figura del DPO (Data Protection Officer), considerando il contesto normativo e le sue funzioni negli ambiti pubblici e privati

Pubblicato il 19 Dic 2019

P
Valentina Pepoli

Privacy Manager & DPO - Giurista d’Impresa & Legal Consultant

Nella teoria generale del diritto non si rinviene una definizione, a differenza di altre figure professionali, della natura giuridica del Data Protection Officer (DPO). Ai fini di tentarne un possibile inquadramento giuridico, è opportuno prendere in considerazione i seguenti elementi giuridici: definizione, struttura organizzativa e funzioni.

Tali elementi caratterizzano la figura del DPO, secondo la disciplina dettata dal GDPR e dalla legislazione ordinaria rilevante in materia.

Origini: il BDSG ispirazione del GDPR

I primi ad adottare una legge sulla protezione dei dati personali furono i tedeschi, con il Decreto Federale sulla Protezione dei Dati (c.d. Bundesdatenschutzgesetz o BDSG)[1], modificato nel 1990, e successivamente emendato nel 1994 e nel 1997.

WHITEPAPER
La Top 5 delle minacce informatiche e come contrastarle
Sicurezza
Cybersecurity

Infatti, molto probabilmente il Federal Data Protection Act della Repubblica federale ha ispirato la Commissione Europea durante la redazione del  Regolamento Generale sulla protezione dei dati cosiddetto GDPR, con il quale non a caso vi sono molti punti in comune.

Non è, pertanto, da escludere che la figura professionale del DPO o RPD, creata dal GDPR, sia stata ispirata all’agenzia federale[2] indipendente responsabile della sorveglianza dell’applicazione del Decreto Federale sulla Protezione dei Dati (BDSG) e del Decreto Federale sulla Libertà di Informazione.

Le norme sopracitate rappresentano un’evoluzione dalla concezione originaria della protezione dei dati, imperniata sulla disciplina del diritto di proprietà (che definiva il dato come qualcosa di materiale), ad una visione di tutela alla riservatezza nella sua più ampia accezione possibile, cioè come quell’insieme di informazioni che consentono di indentificare un individuo specifico.

In merito, il Tribunale Costituzionale federale tedesco, in una famosa sentenza del 1983[3], fornisce una definizione del principio dell’autodeterminazione informativa, coniugando le due libertà fondamentali dello sviluppo della personalità e dell’intangibilità della dignità umana, definendo tale autodeterminazione come il diritto dell’interessato a decidere in prima persona sulla cessione, l’uso e, più in generale, in merito a qualsiasi vicenda relativa ai dati che lo riguardano.

DPO, la definizione del ruolo

Il ruolo del “Responsabile della Protezione dei Dati” – RPD è stato formalmente definito dall’Unione europea nella sezione 4 del GDPR, secondo cui il responsabile della protezione dei dati personali, anche conosciuto con la dizione in lingua inglese Data Protection Officer – DPO, è una figura prevista dall’art. 37 del Regolamento (UE) 2016/679.

Si tratta di un soggetto designato dal titolare o dal responsabile del trattamento per assolvere a funzioni di supporto e controllo, consultive, formative e informative relativamente all’applicazione del Regolamento medesimo.

Il suo nominativo deve essere comunicato al Garante, in quanto coopera con l’Autorità e costituisce il punto di contatto, anche rispetto agli interessati, per le questioni connesse al trattamento dei dati personali (artt. 38 e 39 del Regolamento).

Sono tenuti alla designazione del responsabile della protezione dei dati personali il titolare e il responsabile del trattamento tutte le autorità pubbliche e tutti coloro che rientrino nei casi previsti dall’art. 37, par. 1, lett. a), b) e c), del Regolamento (UE) 2016/679.

Si tratta di soggetti le cui principali attività (in primis, le attività c.d. di “core business“) consistono in trattamenti che richiedono il monitoraggio regolare e sistematico degli interessati su larga scala[4] o in trattamenti su larga scala di categorie particolari di dati personali o di dati relative a condanne penali e a reati. Il diritto dell’Unione o degli Stati membri può prevedere ulteriori casi di designazione obbligatoria del responsabile della protezione dei dati (art. 37, par. 4).

Il comma 5 dell’art. 30 del Regolamento esonera dagli adempimenti appena accennati le piccole e medie imprese (quelle dunque con meno di 250 dipendenti), a meno che, però, “…il trattamento che esse effettuano possa presentare un rischio per i diritti e le libertà dell’interessato, il trattamento non sia occasionale o includa il trattamento di categorie particolari di dati (sensibili)…o i dati personali relativi a condanne penali…”.

Il concetto di larga scala è un concetto di tipo “economico” che, utilizzato in ambito giuridico, comporta non poche complicazioni, cosicché chi scrive è dell’idea che sia preferibile dare un’interpretazione specifica del concetto di larga scala, e verificare come questo concetto economico si rapporta con il GDPR.

Nello specifico, il termine “scala” deriva dall’inglese “scale”, ovvero “dimensione”, mentre “larga” deriva da “large”, ovvero “vasta” e in un contesto economico fa riferimento ad un meccanismo che consente di stabilire in determinate situazioni se applicare o meno una determinata condizione o azione; se si rapporta tale concetto nel nostro contesto giuridico di riferimento, e alla luce del GDPR, esso consente di far corrispondere a determinate situazioni “quantitative” e “qualitative”, a cui fanno riferimento i diritti degli interessati, l’obbligo o meno della nomina del DPO.

Il concetto di larga scala indica, di fatto, il rapporto che viene a crearsi tra la crescita di una scala di diritti da tutelare e la necessità di dover garantire la tutela di tali diritti in un determinato contesto.

Parliamo di qualcosa che si viene a determinare parallelamente all’aumento dei diritti degli interessati coinvolti, e anche alla qualità dei diritti trattati. Pertanto, sarebbe opportuno attribuire alla definizione di “larga scala” un’interpretazione “estensiva”, con la conseguenza di estendere gli obblighi previsti dal Regolamento UE n. 679/2016, anche a quelle realtà borderline, che pur di dimensioni piccole e modeste trattano dati particolarmente meritevoli di tutela, come ad esempio le Case di Cura, che anche se di piccole dimensioni dovrebbero nominare un DPO e monitorare e proteggere adeguatamente i dati dei propri pazienti.

L’interpretazione proposta risulterebbe anche utile estensivamente la nozione “larga scala” sia utile e funzionale a focalizzare l’attenzione sulla “qualità” del dato più che sulla “quantità”, che rappresenta il modo attraverso il quale perseguire e realizzare concretamente le intenzioni e gli obbiettivi del GDPR, ovvero garantire la “tutela del dato”, che diventa possibile grazie alla nuova figura del DPO, a condizione che possa operare indipendentemente.

Non a caso, infatti, il ruolo e la peculiare funzione del Responsabile della protezione dei dati, che assicura la corretta ed incondizionata applicazione del Regolamento, entra spesso in conflitto con altri ruoli che si occupano di proteggere i dati e allo stesso tempo li elaborano e sfruttano per finalità di Business.

Profilo del responsabile della protezione dei dati

La figura del Data Protection Officer è diventata di nevralgica importanza nella realtà Pubbliche e Private, in quanto non riveste semplicemente il ruolo di «tecnico» del diritto, ma assume necessariamente un peso determinante nei processi decisionali dell’Ente o dell’Azienda in cui opera, divenendone un indispensabile supporto tecnico-giuridico; potrebbe essere definito come il “supervisor” dell’evoluzione digitale connotato da competenze legali e scientifiche.

In merito, si è espresso il TAR per il Friuli-Venezia Giulia, Sezione Prima, Sentenza 13 settembre 2018, n. 287, che ha definito il profilo del DPO prevalentemente giuridico, ritenuto maggiormente idoneo per espletare i compiti previsti dal GDPR.

Il TAR è arrivato a queste conclusioni in quanto in materia di tutela dei dati personali e della riservatezza la minuziosa conoscenza e l’applicazione della disciplina di settore restano, indipendentemente dal possesso o meno della certificazione ISO/IEC/27001[5], il nucleo essenziale ed irriducibile della figura professionale del DPO il cui profilo, non può che qualificarsi come eminentemente giuridico.

DPO interno o esterno

Occorre sottolineare che è di fondamentale importanza assicurare al Responsabile della Protezione dei Dati assoluta autonomia ed indipendenza (così come garantito dall’art. 38 del Regolamento) nello svolgimento delle proprie mansioni, attraverso le quali potrà applicare le proprie competenze sia giuridiche sia informatiche, di capacità di analisi dei processi e di risk management, che consentiranno di applicare la normativa vigente in modo incondizionato.

Tuttavia, secondo una recente sentenza del Tar Lecce n. 1468/2019, il DPO dovrebbe essere un dipendente. Chi scrive non condivide però tale opinione, in quanto si basa unicamente su quanto affermato dalle “linee guida”: “… appartenente alla persona giuridica”, non prendendo minimamente in considerazione gli articoli 37 e ss. del GDPR, che in merito affermano (art. 37, par. 6) che il “ responsabile della protezione dati può essere un dipendente del titolare del trattamento o del responsabile del trattamento oppure assolvere il suo compito in base ad un contratto di servizi”.

La scrivente osserva inoltre che il Tar Lecce fonda la sua pronuncia non su Leggi o Regolamenti, ma esclusivamente sulle Linee Guida, che nella sentenza sono elevate ad “interpretazione autentica” della normativa europea. Occorre puntualizzare che però le Linee Guida sono prive di valenza precettiva, e che quindi non sono norme imperative, e che comunque anch’esse non sembrano “imporre” un rapporto di dipendenza.

Per tali ragioni, a parere di chi scrive, è preferibile che il DPO sia un soggetto esterno all’ente pubblico o privato, presso cui dovrà avere un ruolo attivo sia nell’esecuzione e monitoraggio del piano di adeguamento e sia nel modello di funzionamento a regime. Inoltre, a seconda della realtà e del contesto di riferimento, si potrebbe optare non per un unico DPO, ma per un vero e proprio “Organismo Privacy” (composto da esperti professionisti nel settore giuridico, informatico, manageriale, che possa supportare al meglio il titolare ed il responsabile del trattamento nello svolgimento degli adempimenti richiesti dalla normativa comunitaria), con funzioni di controllo e propositive, che consenta di poter meglio affrontare le problematiche che l’applicazione della normativa comporta, e che persegua la realizzazione dei seguenti obiettivi:

  • formazione della “cultura del rispetto della riservatezza altrui” all’interno dell’Azienda o dell’Ente;
  • fornitura di tutti gli strumenti adeguati a consentire il corretto svolgimento di tutte le fasi del trattamento dati;
  • aggiornamento continuo delle misure tecniche ed organizzative (ex art. 32 GDPR) adottate per la salvaguardia dei dati personali;
  • costante verifica della concreta applicazione di tali misure;
  • aggiornamento del Registro dei Trattamenti, ex art.30 GDPR;
  • gestione della procedura di “Data Breach”, ogni qualvolta si verifichi una violazione di sicurezza che comporti – accidentalmente o in modo illecito – la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati.

Funzioni

Il Responsabile della protezione dei dati deve possedere una conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati nonché la capacità di svolgere le seguenti funzioni, ex art. 39 GDPR:

  • sorvegliare l’osservanza del presente regolamento, di altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati nonché delle politiche del titolare del trattamento o del responsabile del trattamento in materia di protezione dei dati personali, compresi l’attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo. In particolare, il DPO deve informare e fornire consulenza al titolare del trattamento o al responsabile del trattamento nonché ai dipendenti che eseguono il trattamento; indicare al Titolare e/o al Responsabile le aree funzionali alle quali riservare un audit interno o esterno in tema di protezione dei dati, sensibilizzare attraverso le attività di formazione interna per tutto il personale che tratta dati personali, e su quali trattamenti dedicare maggiore attenzione.

A mio avviso grazie alle attività di formazione è possibile trasmettere ciò che realmente manca, cioè una vera e propria “cultura privacy”, volta esplicitamente alla tutela della dignità, dei diritti e delle libertà fondamentali della persona, che può essere ricostruita a partire dalle origini del diritto alla riservatezza.[6]

  • sorvegliare l’osservanza del GDPR e delle altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati nonché delle politiche del titolare del trattamento o del responsabile del trattamento in materia di protezione dei dati personali, compresi l’attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo.

Queste funzioni si traducono nelle seguenti attività:

  • raccolta di informazioni per individuare i trattamenti svolti;
  • verificare che ogni trattamento di dati personali avvenga nel rispetto dei principi fissati all’articolo 5 del Regolamento (UE) 2016/679[7];
  • individuare le tipologie di trattamenti, soggetti al meccanismo di coerenza, da sottoporre a valutazione d’impatto[8];
  • analisi dei rischi e Valutazione di impatto Privacy;
  • attività di informazione, consulenza e indirizzo nei confronti del Titolare e del Responsabile del trattamento analizzato.

Ulteriori funzioni del DPO sono:

  • sorvegliare sulle attribuzioni delle responsabilità, sulle attività di sensibilizzazione, formazione e controllo attuate dal Titolare e dal Responsabile del trattamento;
  • fornire, se richiesto, un parere in merito alla valutazione d’impatto sulla protezione dei dati e sorvegliarne lo svolgimento ai sensi dell’articolo 35;
  • cooperare con il Garante per la protezione dei dati personali e fungere da punto di contatto per detta Autorità.

Nell’eseguire i propri compiti il responsabile della protezione dei dati considera debitamente i rischi inerenti al trattamento, tenuto conto della natura, dell’ambito di applicazione, del contesto e delle finalità del medesimo. Pertanto, dall’art. 39 GDPR si evince chiaramente che il compito principale del Data Protection Officer consiste nell’osservare, valutare e organizzare la gestione del trattamento di dati personali e la loro protezione all’interno della realtà in cui opera, sia essa pubblica o privata.

Nomina formale o sostanziale del DPO

In base all’articolo 37, paragrafo 7, del Regolamento occorre che i soggetti pubblici e privati comunichino al Garante per la protezione dei dati personali il nominativo del Responsabile della Protezione dei dati, se designato. Questa disposizione mira a garantire che le autorità di controllo possano contattare il Responsabile della Protezione dei Dati in modo facile e diretto, come chiarito nelle Linee guida sui Responsabili della Protezione dei Dati (RPD) adottate dal Gruppo Articolo 29 (WP243 rev. 01 – punto 2.6).

Il Responsabile della Protezione dei Dati in base all’articolo 39, paragrafo 1, lettera e) del Regolamento funge da punto di contatto fra il singolo ente o azienda e il Garante; sul sito www.garanteprivacy.it è disponibile una procedura online per la comunicazione, variazione e revoca del nominativo.

La maggior parte dei soggetti, sia pubblici che privati, ha nominato il proprio DPO così come previsto dalla normativa, designando un soggetto interno alla propria organizzazione, mentre altri hanno preferito designare un soggetto esterno.

Al fine di stabilire se sia o meno possibile nella propria organizzazione nominare un soggetto interno all’organizzazione di riferimento occorre effettuare preliminarmente una dettagliata valutazione circa la possibilità o meno del verificarsi un conflitto di interessi. Se dall’analisi preliminare dovesse infatti emergere la possibilità di un conflitto di interessi, la comunicazione al Garante dei dati di contatto del soggetto designato Responsabile della Protezione dei Dati risulterebbe priva di efficacia e soprattutto in contrasto con i principi del Regolamento.

Il Titolare del Trattamento dei Dati deve poter essere in grado di dimostrare l’assenza di conflitto di interessi, provando di aver predisposto il soggetto nominato RPD in una condizione neutrale che si traduce in ampia autonomia e indipendenza nell’espletamento dei propri compiti (con rapporti diretti con i vertici aziendali); e nel suo inquadramento al vertice o nei pressi del vertice dell’organizzazione.

Pertanto, chi scrive ritiene che tale condizione neutrale sia compromessa in tutti i casi in cui il Titolare del trattamento nomina DPO o RPD uno dei propri manager ( come ad esempio: l’amministratore delegato, il direttore operativo, il responsabile IT etc.) il quale proprio per la funzione che svolge, influenza concretamente la gestione del trattamento dei dati, ed inoltre contribuisce a determinare le finalità e le modalità del trattamento dei dati personali, in quanto li tratta con regolarità e frequenza.

Dunque, a parere di chi scrive, si rischierebbe di incorrere in una nomina meramente formale, che potrebbe diventare sostanziale solo e soltanto a fronte di una ridefinizione concreta e sostanziale del ruolo originario del manager nominato DPO, che consisterebbe nello svolgere all’interno dell’organizzazione un ruolo differente da quello originario, diventato incompatibile.

DPO e ambiente di lavoro

La nascita della nuova figura del DPO, la cui nomina deve avvenire secondo le modalità previste dal Garante (articolo 37, paragrafo 7)[9], si è dimostrata un interessante spunto di riflessione sotto diversi profili giuridici, tecnici e socioculturali.

Anche ora non si ha una normativa organica della figura del Data Protection Officer, e pertanto per gestirla ed inquadrarla è opportuno ricorrere alle categorie giuridiche attualmente previste dal nostro ordinamento, facendo in particolare rifermento alle norme giuslavoristiche, che consentono di regolare le funzioni del DPO attraverso la stipula di un contratto, che rispecchi le caratteristiche concrete con cui si realizzerà il rapporto tra lo stesso ed il Titolare del Trattamento.

In primo luogo, occorre specificare se il DPO sia o non sia un lavoratore autonomo alla luce delle funzioni previste dal GDPR.

In merito, il Tar di Lecce avrebbe potuto sviluppare le proprie argomentazioni focalizzandosi non solo esclusivamente sulle Linee Guida, ma soprattutto sfruttando le norme del Regolamento (artt. 37 e ss. del GDPR). In particolare,  ai sensi dell’art. 37, par. 6) il “responsabile della protezione dati può essere un dipendente del titolare del trattamento o del responsabile del trattamento oppure assolvere il suo compito in base ad un contratto di servizi”.

Per comprendere, quindi, quale sia la vera natura della prestazione lavorativa in esame è necessario partire dalla distinzione eziologica tra lavoro subordinato e lavoro autonomo. Il nostro diritto positivo prevede due distinte figure di prestatore di lavoro: l’art. 2094 c.c. definisce il “prestatore di lavoro subordinato” e l’art. 2222 c.c. disciplina il lavoro autonomo. A parere di chi scrive, le modalità di inserimento di questa nuova figura professionale in un modo piuttosto che in un altro nell’organizzazione di riferimento (sia essa pubblica o privata) comporterebbe conseguenze differenti e condurrebbe anche a risultati diversi che potrebbero non essere in linea con quanto auspicato dal GDPR.

Ed invero, basti pensare ai riflessi che si potrebbero verificare se si sceglie di adottare:

  • il rapporto di lavoro subordinato, perché si applicherebbe la tutela giuslavorista prevista dal codice civile, dalle leggi speciali e dai contratti collettivi di lavoro;
  • il rapporto di lavoro autonomo, che soggiace invece alla disciplina del contratto d’opera, se ha carattere personale, ovvero alla disciplina sull’impresa, nel caso in cui rivesta carattere imprenditoriale.

Orbene, occorre tener presente che il tipo di contratto “ideale” per la figura del Data Protection Officer deve potergli consentire di eseguire tutte le funzioni attribuite alla sua figura e di implementare gli elementi essenziali del Regolamento, (come ad esempio i principi di trattamento dei dati, i diritti degli interessati, la protezione dei dati fin dalla progettazione e per default, la registrazione delle attività, la sicurezza dei trattamenti, la notifica e la comunicazione propria del data breach), e pertanto dovrebbe contenere gli elementi essenziali che caratterizzano i contratti sia di lavoro autonomo che subordinato.

Infatti, se tanto il contratto di lavoro autonomo quanto quello subordinato sono contratti sinallagmatici, ponendosi le prestazioni in termini di corrispettività (scambio lavoro – compenso), tuttavia, nel contratto di lavoro subordinato vi è un peculiare elemento, costituito dall’inseriment nell’organizzazione, del datore di lavoro che manca nel contratto di lavoro autonomo.

La teoria delle obbligazioni

A sostegno di quanto espresso, si rileva che anche se si prende in considerazione la teoria generale sulle obbligazioni, non è possibile distinguere il rapporto di lavoro subordinato da quello autonomo a seconda del tipo di obbligazione che lo caratterizza. La teoria richiamata distingue le obbligazioni in:

  • Obbligazioni di mezzo: secondo cui il debitore è tenuto a svolgere una specifica attività a prescindere dal conseguimento o meno di un risultato, che comporterà l’inadempimento del debitore a prescindere dalla prova del comportamento diligente di quest’ultimo.
  • Obbligazioni di risultato: secondo cui il debitore è obbligato a compiere un’attività e da ciò ottenere un certo risultato (cfr. Mengoni), e il mancato raggiungimento del risultato non determina inadempimento (v. Cass. 26 febbraio 2003, n. 2836).

Per le prime l’inadempimento (o l’inesatto adempimento) consiste nell’aver tenuto un comportamento non conforme alla diligenza richiesta, mentre per le altre il mancato raggiungimento del risultato può costituire danno consequenziale alla non diligente prestazione o alla colpevole omissione dell’attività. Trattandosi di obbligazioni inerenti all’esercizio di attività professionali la diligenza nell’adempimento deve valutarsi, a norma dell’art. 1176 c.c., comma 2, con riguardo alla natura dell’attività esercitata. Le obbligazioni di mezzo dovrebbero essere riferibili ai rapporti di lavoro autonomi, come, per la professione del Data Protection Officer, mentre le obbligazioni di risultato in generale dovrebbero caratterizzare i rapporti di lavoro subordinato.

Gli indici di subordinazione

Dunque, a parere di chi scrive, occorre prendere in considerazione anche gli indici di subordinazione dettati dalla Giurisprudenza, che consentono di analizzare i caratteri essenziali che caratterizzano il rapporto di lavoro analizzato. Gli indici individuati dalla Cassazione sono di seguito elencati:

  • retribuzione fissa mensile in relazione sinallagmatica con la prestazione lavorativa
  • orario di lavoro fisso e continuativo
  • continuità della prestazione in funzione di collegamento tecnico organizzativo e produttivo con le esigenze aziendali
  • vincolo di soggezione personale del lavoratore al potere organizzativo, direttivo e disciplinare del datore di lavoro, con conseguente limitazione della sua autonomia
  • l’inserimento nell’organizzazione aziendale

Attraverso tali indici è possibile realizzare una vera e propria indagine sulla sussistenza o meno del rischio aziendale: se tale requisito non è presente, ciò determina un chiaro indizio della mancanza di ogni reale autonomia del prestatore. La Suprema Corte, con sentenza n. 7024 dell’8 aprile 2015, ha riconfermato che gli indici di subordinazione (sopra elencati) devono essere presi in considerazione per qualificare il rapporto di lavoro; e ha specificato che, al di là del nomen juris indicato dalle parti nel contratto, si deve dare prevalenza al dato fattuale delle concrete modalità di svolgimento del rapporto di lavoro esaminato.

Conclusioni

Attualmente, risulta arduo dare una esatta e precisa definizione della natura del Data Protection Officer, sia perché è un ruolo che per sua natura è destinato ad evolversi, tanto dal punto di vista giuridico, quanto da quello tecnico; e sia perché il concreto ed effettivo operato del professionista sarà determinato dalle specifiche modalità con cui verrà inserito nell’organizzazione, sia essa pubblica o privata. L’ente pubblico o privato, in qualità di Titolare del Trattamento definirà contrattualmente il rapporto con il professionista, che dovrà il più possibile essere messo nelle condizioni di operare e applicare i principi previsti dal Regolamento 679/2016, lex generalis relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché’ alla libera circolazione di tali dati, integrato con il Regolamento E-Privacy, lex specialis, che dovrà sostituire la Direttiva ePrivacy 2002/58/CE in tema di protezione dati nelle comunicazioni elettroniche.

A parere di chi scrive è opportuno e doveroso sottolineare che il Data Protection Officer deve avere la possibilità di espletare le sue funzioni con le modalità previste dal GDPR, per evitare il rischio di una mera nomina formale vuota e priva del potere concreto di poter dare attuazione ai principi del Regolamento, e dunque senza proteggere effettivamente il trattamento dei dati personali.

Checklist del DPO Cosa monitorare per avere tutto sotto controllo. Scarica la checklist

Note

[1] Il BDSG si occupa di tutelare e proteggere il diritto alla “riservatezza” in relazione al trattamento dei dati personali e comprende tutte le operazioni di raccolta, trattamento ed utilizzo dei dati personali con modalità automatizzate o manuali da parte delle autorità federali, delle amministrazioni regionali e degli organismi privati, per finalità commerciali o professionali. Tra le norme principali contenute nel BDSG si citano quelle relative al trasferimento dei dati personali all’estero, alla videosorveglianza, al direct-marketing, alle comunicazioni in forma anonima e con l’utilizzo di pseudonimi, alle smart cards, alla raccolta e conservazione dei dati personali di natura sensibile.

[2] Il Commissario Federale per la Protezione dei Dati e per la Libertà di Informazione (Bundesbeauftragter für den Datenschutz, o BFDI) è un’agenzia federale indipendente responsabile della sorveglianza dell’applicazione del Decreto Federale sulla Protezione dei Dati (BDSG) e del Decreto Federale sulla Libertà di Informazione. Il BFDI coordina e monitora le attività degli enti pubblici della Federazione in relazione alle disposizioni del BDSG, gestisce il registro federale dei dati personali, esamina i reclami e le segnalazioni degli interessati, fornisce raccomandazioni al Parlamento e agli organi governativi, e pubblica una relazione biennale sull’attività svolta e sullo stato di attuazione della Legge.

[3] Il celebre Volkszählungsurteil, Bundesverfassungsgericht 15-12-1983, 1 BvR 209/83. Il Tribunale individuava nel trattamento di dati a mezzo di procedure automatizzate un pericolo per i diritti fondamentali. Dal punto di vista costituzionale, il Tribunale fondò la propria decisione sul rispetto di due libertà fondamentali garantite dal Grundgesetz (GG), il diritto al libero sviluppo della propria personalità (allgemeines Persönlichkeitsrecht) ex art. 2, Abs. 1 e l’intangibilità della dignità dell’uomo (Menschenwürde), ex art. 1, Abs. 1.

[4] v. le “Linee guida sui responsabili della protezione dei dati” del 5 aprile 2017, WP 243

[5] Nel caso in esame, il candidato laureato in giurisprudenza era stato escluso dalla procedura di selezione pubblica in quanto non in possesso della certificazione Auditor/Lead Auditor per i Sistemi di Gestione per la Sicurezza delle Informazioni secondo la norma ISO/IEC/27001, indicata in via alternativa dal bando.

[6] La tutela alla riservatezza viene sancita solennemente dall’art. 12 della Dichiarazione Universale dei Diritti dell’Uomo, che vieta “l’arbitraria interferenza con la riservatezza”.

[7] Si indicano brevemente i principi ex art 5 GDPR:

  • liceità, correttezza e trasparenza del trattamento, nei confronti dell’interessato;
  • limitazione della finalità del trattamento, compreso l’obbligo di assicurare che eventuali trattamenti successivi non siano incompatibili con le finalità della raccolta dei dati;
  • minimizzazione dei dati: ossia, i dati devono essere adeguati pertinenti e limitati a quanto necessario rispetto alle finalità del trattamento;
  • esattezza e aggiornamento dei dati, compresa la tempestiva cancellazione dei dati che risultino inesatti rispetto alle finalità del trattamento;
  • limitazione della conservazione: ossia, è necessario provvedere alla conservazione dei dati per un tempo non superiore a quello necessario rispetto agli scopi per i quali è stato effettuato il trattamento;
  • integrità e riservatezza: occorre garantire la sicurezza adeguata dei dati personali oggetto del trattamento.

[8] ALLEGATO 1 AL PROVVEDIMENTO N. 467 DELL’11 OTTOBRE 2018 [doc. web n. 9058979]. Pubblicato sulla Gazzetta Ufficiale n. 269 del 19 novembre 2018.

[9] Si veda: Responsabile della protezione dei dati (RPD) Scheda informativa/ Doc-Web:6383594.

WHITEPAPER
Cloud pubblico: ecco la strada verso una maggiore sicurezza, scopri di più!
Cloud
ERP
@RIPRODUZIONE RISERVATA

Valuta questo articolo

La tua opinione è importante per noi!

Speciale PNRR

Tutti
Incentivi
Salute digitale
Formazione
Analisi
Sostenibilità
PA
Sostemibilità
Sicurezza
Digital Economy
CODICE STARTUP
Imprenditoria femminile: come attingere ai fondi per le donne che fanno impresa
DECRETI
PNRR e Fascicolo Sanitario Elettronico: investimenti per oltre 600 milioni
IL DOCUMENTO
Competenze digitali, ecco il nuovo piano operativo nazionale
STRUMENTI
Da Istat e RGS gli indicatori per misurare la sostenibilità nel PNRR
STRATEGIE
PNRR – Piano nazionale di Ripresa e Resilienza: cos’è e novità
FONDI
Pnrr, ok della Ue alla seconda rata da 21 miliardi: focus su 5G e banda ultralarga
GREEN ENERGY
Energia pulita: Banca Sella finanzia i progetti green incentivati dal PNRR
TECNOLOGIA SOLIDALE
Due buone notizie digitali: 500 milioni per gli ITS e l’inizio dell’intranet veloce in scuole e ospedali
INNOVAZIONE
Competenze digitali e InPA cruciali per raggiungere gli obiettivi del Pnrr
STRATEGIE
PA digitale 2026, come gestire i fondi PNRR in 5 fasi: ecco la proposta
ANALISI
Value-based healthcare: le esperienze in Italia e il ruolo del PNRR
Strategie
Accordi per l’innovazione, per le imprese altri 250 milioni
Strategie
PNRR, opportunità e sfide per le smart city
Strategie
Brevetti, il Mise mette sul piatto 8,5 milioni
Strategie
PNRR e opere pubbliche, la grande sfida per i Comuni e perché bisogna pensare digitale
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr
CODICE STARTUP
Imprenditoria femminile: come attingere ai fondi per le donne che fanno impresa
DECRETI
PNRR e Fascicolo Sanitario Elettronico: investimenti per oltre 600 milioni
IL DOCUMENTO
Competenze digitali, ecco il nuovo piano operativo nazionale
STRUMENTI
Da Istat e RGS gli indicatori per misurare la sostenibilità nel PNRR
STRATEGIE
PNRR – Piano nazionale di Ripresa e Resilienza: cos’è e novità
FONDI
Pnrr, ok della Ue alla seconda rata da 21 miliardi: focus su 5G e banda ultralarga
GREEN ENERGY
Energia pulita: Banca Sella finanzia i progetti green incentivati dal PNRR
TECNOLOGIA SOLIDALE
Due buone notizie digitali: 500 milioni per gli ITS e l’inizio dell’intranet veloce in scuole e ospedali
INNOVAZIONE
Competenze digitali e InPA cruciali per raggiungere gli obiettivi del Pnrr
STRATEGIE
PA digitale 2026, come gestire i fondi PNRR in 5 fasi: ecco la proposta
ANALISI
Value-based healthcare: le esperienze in Italia e il ruolo del PNRR
Strategie
Accordi per l’innovazione, per le imprese altri 250 milioni
Strategie
PNRR, opportunità e sfide per le smart city
Strategie
Brevetti, il Mise mette sul piatto 8,5 milioni
Strategie
PNRR e opere pubbliche, la grande sfida per i Comuni e perché bisogna pensare digitale
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr