Niente Dpo nelle piccole strutture: possono bastare collaboratori ben istruiti
Chi deve nominare il Dpo, ovvero il responsabile della protezione dei dati? Si tratta di una nuova figura che il regolamento europeo (il Gdpr) ha previsto obbligatoria per gli enti pubblici e per coloro che trattano dati particolari su larga scala o svolgono trattamenti che, per loro natura, richiedono un monitoraggio continuo e un’attenzione particolare. È, tuttavia, un profilo consigliabile a tutte le aziende che, vuoi per dimensione, vuoi per tipologia di trattamento, necessitano di una figura che possa – concretamente – verificare la tenuta delle misure di sicurezza, degli adempimenti posti in essere e dell’attenzione che, all’interno dell’azienda, viene posta sulla privacy.
Il Dpo negli studi - Per gli studi professionali di piccole o medie dimensioni di certo non sarà necessaria tale nomina, che apparirebbe sproporzionata rispetto alle tipologie e alla quantità di trattamenti e di dati trattati. Tuttavia, è bene ricordare che difficilmente il titolare potrà svolgere in assoluta autonomia tutti i trattamenti.
Sovente, infatti, si avvarrà di apporti che potranno spaziare dall’aiuto di una o più risorsa di segreteria a quello di uno o più collaboratori. In questi casi è necessario che quelle persone vengano adeguatamente istruite riguardo all’utilizzo delle informazioni trattate, alle finalità che attengono il trattamento e a tutto quanto previsto nel registro dei trattamenti (si veda l’articolo sopra).
Rispetto al codice privacy, che il 25 maggio scorso ha ceduto il passo al regolamento, ora non sono più previste le figure degli “incaricati” e dei “responsabili interni”, ma con la nuova normativa resta – di fatto - valida la motivazione di responsabilizzare tutti coloro che intervengono all’interno del medesimo trattamento fatto da un titolare e quindi sarà opportuno distribuire regole diversificate per la tipologia di trattamento. Il regolamento non precisa se queste istruzioni debbano essere impartite per iscritto o meno, ma alla luce del principio di responsabilizzazione (accountability) che è il cuore della nuova normativa, sarà bene che il titolare lasci traccia di tale passaggio e, dunque, sarà preferibile che le indicazioni ai collaboratori siano scritte.
Farsi aiutare - Appare inoltre consigliabile che il titolare individui una figura all’interno che lo possa coadiuvare nelle attività collegate a un corretto trattamento delle informazioni e a un concreto adeguamento al regolamento. Una figura con cui condividere la conoscenza della materia e delle sue evoluzioni, che saranno frequenti perché si dovrà tener conto sia delle indicazioni e delle istruzioni che il Garante presumibilmente darà sui diversi temi e della giurisprudenza che aiuterà a meglio interpretare la norma europea.
Ciò che è importante mettere a fuoco è che l’adeguamento non è un fatto eccezionale che, una volta affrontato, lo si possa lasciare alle spalle, ma è piuttosto un continuo e dinamico controllo per verificare costantemente che siano rispettate le misure di attenzione e di sicurezza previste, oltre che monitorare il rispetto dei tempi di conservazione e quindi di successiva cancellazione dei dati.
Non vi è dubbio che (anche) il professionista si trova a dovere familiarizzare con una novità che non ha precedenti. Dunque, l’aspetto più complesso è gestire il cambio culturale e avviare un processo di sensibilizzazione con sé stesso e con la struttura che dirige.
Fonte: Il Sole 24 Ore del 13 agosto 2018 - Articolo a cura di Riccardo Imperiali
