Responsabile della protezione dei dati

Nel diritto europeo , il delegato per la protezione dei dati (abbreviato DPD , o DPO per protezione dei dati ) è la persona responsabile per la protezione dei dati personali all'interno di un'organizzazione.

Il regolamento europeo è entrato in vigore il 25 maggio 2018. Una nuova formulazione del Data Protection Act del 6 gennaio 1978 è in vigore dal 1 giugno 2019 e definisce il principio di protezione dei dati. La normativa europea è valida a livello europeo e prevede che le società che svolgono attività nel settore dei dati personali debbano essere controllate da un DPO appositamente incaricato a tal fine. L'articolo 37 del regolamento europeo stabilisce le disposizioni relative al Responsabile della protezione dei dati, in virtù delle quali le società interessate devono adempiere agli obblighi di legge.

Missioni

Le sue principali missioni sono, da un lato, informare e consigliare la propria organizzazione e, dall'altro, controllare l'applicazione dei testi giuridici e delle norme interne in materia di dati personali. Funge da punto di contatto tra la sua organizzazione e un'autorità di controllo nazionale, come la CNIL .

La nomina di un responsabile della protezione dei dati a volte è obbligatoria. Il Delegato può essere un membro dell'organizzazione che consiglia o lavorare come consulente esterno. Può anche essere condiviso , quando lo stesso Delegato è nominato da più strutture. In tutti i casi, il Delegato deve essere dotato dei mezzi per svolgere la sua missione ed essere in grado di agire in modo indipendente.

A livello europeo, il Data Protection Officer è il responsabile del rispetto del Regolamento Europeo sulla Protezione dei Dati Personali (GDPR) all'interno di un'organizzazione.

Terminologia

I dati personali di protezione professionale sono attualmente designati con i nomi di Beauftragter für Datenschutz in Germania , Personuppgiftsombude in Svezia , functionaris voor de gegevensbescherming nei Paesi Bassi , Personas datu aizsardzības Specialista in Lituania , Isikuandmete kaitse eest vastutav isik in Estonia , Chargé Data Protection Officer in Lussemburgo , Protezione dei dati Ufficiale in Belgio , Datenschutzberater / responsile della Protezione dei dati in Svizzera, Rapprezentant ta'data Personali in Malta , Belső adatvédelmi Fele LOS in Ungheria , Dohľad nad ochranou osobných údajov in Slovacchia e responsabile seguridad in Spagna .

I responsabili della protezione dei dati sono nominati formalmente e ufficialmente presso la Commissione nazionale per l'informatica e le libertà ( CNIL ). I loro contatti sono resi pubblici sul data.gouv.fr piattaforma .

La relazione annuale della CNIL per il 2015 indica che 4.321 corrispondenti per la protezione dei dati sono stati nominati alla Commissione da 16.406 responsabili del trattamento, privati ​​o pubblici. Nella sua relazione annuale per il 2018 "La CNIL in breve", la CNIL indica che 39.500 organizzazioni hanno nominato un delegato, che rappresenta 16.000 delegati alla protezione dei dati. Si prevede che questo numero supererà i 21.000 entro la fine del 2019.

Nell'ambito del passaggio alle nuove regole, l' Associazione francese dei corrispondenti per la protezione dei dati personali (AFCDP), un'associazione che riunisce in Francia i professionisti della conformità e delle libertà IT e della protezione dei dati personali , aveva richiesto che un prevedere una " clausola nonno "   che avrebbe consentito di confermare nella loro funzione di DPO i CIL che lo desideravano e che rispondevano ai nuovi requisiti, al fine di capitalizzare il lavoro già svolto e garantire la più ampia diffusione possibile del spirito della legge. Il segretario generale della CNIL, nel gennaio 2017, ha dichiarato pubblicamente in una conferenza che ha riunito quattrocento CIL: "Abbiamo tutto l'interesse che la maggior parte di voi venga confermata come DPO".

Designazione secondo GDPR

Prima della normativa europea, la nomina di un corrispondente informatico non era un obbligo legale. Con il regolamento europeo la designazione può essere effettuata in forma non scritta. L'imprenditore nomina il responsabile della protezione dei dati in conformità con la normativa e si impegna a informare immediatamente l'autorità di controllo ea pubblicare i dati di contatto del rappresentante. In alternativa, gli imprenditori possono optare per un responsabile della protezione dei dati aziendali, a condizione che siano facilmente raggiungibili da qualsiasi filiale. Questa opzione è particolarmente vantaggiosa per le aziende di tutta l'UE con più sedi, in quanto elimina la necessità di avere più contatti, garantendo una maggiore trasparenza e sicurezza nell'elaborazione e nella gestione.

Un incarico esterno non è necessariamente necessario se esiste un DPO interno con le qualifiche appropriate. Il metodo più adatto dipende dalla forma e dalle dimensioni dell'azienda nonché dal carico di lavoro del DPO.

Vantaggi della nomina di un responsabile della protezione dei dati

La designazione di una persona responsabile del rispetto della legge sulla protezione dei dati e delle future disposizioni del regolamento generale sulla protezione dei dati ha quindi diversi vantaggi:

• Rafforzare la certezza del diritto: la nomina di un DPO consente di individuare un punto di riferimento per le questioni di protezione dei dati personali ed è integrata nelle nuove pratiche di governance in termini di compliance. Ciò si traduce in una riduzione dei rischi di contenzioso contrattuale, amministrativo e giudiziario.
• Rafforzare la sicurezza IT: il DPO consiglia l'organizzazione su nuove modalità di utilizzo dei dati. Consente di evitare errori strategici nel lancio di nuovi servizi o prodotti e di conseguenza ottimizzare gli investimenti, la politica di archiviazione e outsourcing e le procedure interne relative alla sicurezza delle informazioni.
• Un vettore di fiducia con gli stakeholder: l'istituzione di un data protection officer nel 2018 rischia di rassicurare le persone esterne all'organizzazione (clienti, cittadini, fornitori, studenti, potenziali partner, ecc.) E il personale interno sulle garanzie assunte per il responsabile raccolta e trattamento dei dati personali .

È anche la prova di un impegno etico e civico e uno strumento per la valorizzazione del patrimonio informativo.

Attività

Funzioni

La funzione di Data Protection Officer è definita nel Regolamento generale sulla protezione dei dati (GDPR), 2016/679 del 27 aprile 2016, principalmente dal considerando 97 e dalla sua sezione 4. La nomina di un Data Protection Officer per la protezione dei dati è obbligatoria per qualsiasi organizzazione che soddisfa uno dei seguenti criteri:

• l'ente è un'autorità pubblica o un ente pubblico, ad eccezione dei tribunali che agiscono nell'esercizio della loro funzione giudiziaria;
• le attività di base dell'organizzazione comprendono trattamenti che richiedono un monitoraggio regolare e sistematico su larga scala delle persone interessate;
• le attività di base dell'organizzazione comportano il trattamento su larga scala di categorie speciali di dati (origine razziale o etnica, opinioni politiche, credenze religiose o filosofiche, appartenenza sindacale, dati genetici, dati biometrici a fini identificativi, dati riguardanti la salute, dati riguardanti vita sessuale o orientamento sessuale, condanne penali, reati).

In altri casi, le organizzazioni possono nominare volontariamente un responsabile della protezione dei dati. Un responsabile della protezione dei dati può essere condiviso tra più organizzazioni. Il responsabile della protezione dei dati può essere un membro del personale o svolgere le sue funzioni sulla base di un contratto di servizio.

Missioni

Le principali missioni del Responsabile della protezione dei dati sono le seguenti (art. 39):

• Informare e sensibilizzare, diffondere una cultura di "Informatica e Libertà": il Responsabile della Protezione dei Dati svolge o gestisce azioni volte a sensibilizzare il management ei dipendenti sulle regole da osservare in materia di protezione dei dati personali;
• Garantire il rispetto del quadro giuridico: il Responsabile della protezione dei dati monitora in modo indipendente il rispetto del Regolamento europeo (GDPR), di altre disposizioni del diritto dell'Unione o del diritto degli Stati membri e delle norme interne della sua organizzazione in materia di protezione dei dati personali. Le sue analisi e consulenza si estendono ai subappaltatori e ai fornitori di servizi che prendono parte al trattamento deciso dal responsabile del trattamento. In particolare, è strettamente associato ai seguenti soggetti: EIVP (Privacy impact study), “Privacy by Design” (considerazione degli impatti sulla privacy sin dalla fase di progettazione) e notifica di data breach e comunicazione agli interessati. Deve essere consultato prima dell'implementazione di un nuovo trattamento o della modifica sostanziale di un trattamento in corso e può formulare qualsiasi raccomandazione al Titolare.
• Informare e responsabilizzare, allertare se necessario, il proprio titolare: il Data Protection Officer informa immediatamente il titolare del rischio che le iniziative del personale operativo o il mancato rispetto delle sue raccomandazioni arrecherebbero all'organizzazione e ai suoi responsabili. A tal fine può formulare eventuali segnalazioni al Titolare e presentare richieste di arbitrato (è il Titolare ad assumersi la responsabilità dell'attuazione di un trattamento nonostante le raccomandazioni del DPO).
• Analizzare, indagare, verificare, controllare: il Responsabile della protezione dei dati conduce, predispone o gestisce, in modo controllato e indipendente, qualsiasi azione che consenta di giudicare il grado di conformità dell'organizzazione, per evidenziare eventuali non conformità. (gravità, possibili impatti per le persone interessate, origine, responsabilità, ecc.), per verificare il rispetto del quadro normativo o la corretta applicazione di procedure, metodi o istruzioni in materia di protezione dei dati personali.
• Stabilire e conservare la documentazione sotto "Responsabilità": il Responsabile della protezione dei dati stabilisce e conserva la documentazione relativa al trattamento dei dati personali (compreso il registro dei trattamenti), sotto la Responsabilità del Titolare del trattamento dei dati ("Responsabilità") e ne garantisce l'accessibilità a l'autorità di controllo.
• Mediare con gli interessati: il Responsabile della protezione dei dati riceve reclami dagli interessati dai trattamenti per i quali è stato incaricato e garantisce il rispetto dei diritti delle persone fisiche. Tratta questi reclami e reclami in modo imparziale o implementa le procedure appropriate per garantire il loro trattamento adeguato.
• Interagire con l'autorità di controllo: il Responsabile della protezione dei dati è il punto di contatto privilegiato dell'autorità di controllo, con la quale comunica in completa indipendenza su questioni relative al trattamento effettuato dall'organismo che 'ha designato, compresa la consultazione preventiva di cui di cui all'art. 36 del GDPR, ed effettuare consultazioni, se del caso, su ogni altro argomento.

Profili

Gli attuali Data Protection Officer hanno profili molto eterogenei.

Uno studio condotto su richiesta del CNIL in occasione del decimo anniversario della professione di corrispondente di informatica e libertà, nell'ottobre 2015, ha evidenziato che il 47% dei professionisti aveva una formazione tecnica (informatica), seguita da persone con formazione giuridica. Uno studio simile, condotto nel 2012 dall'AFCDP, ha mostrato che il resto dei CIL aveva seguito gli studi iniziali sulla qualità, la gestione del rischio, il controllo di gestione e la gestione delle risorse umane.

Questa diversità persiste all'interno dei DPO, poiché l'indagine condotta nel 2019 dalla Delegazione generale per l'occupazione e la formazione professionale (DGEFIP) mostra una distribuzione equilibrata tra legale (31,1%), IT (34, 9%) e altri (34%). Questa diversità si riscontra in diversi settori, con un aumento del profilo legale come confermato dalle indagini condotte tra il 2011 e il 2019 dal network SupDPO  : nel 2019 era composto dal 38% dei DPO con profili legali, e dal 41% dei DPO con profili legali Profilo IT.

Sebbene non sia obbligatorio, esistono certificazioni per diventare DPO. Il 20 settembre 2018 la CNIL ha adottato due standard per la certificazione delle competenze del responsabile della protezione dei dati:

• Un sistema di riferimento per la certificazione, che stabilisce le condizioni per l'ammissibilità delle domande e un elenco di 17 competenze e know-how attesi per essere certificati DPO.
• Un benchmark di accreditamento, che stabilisce i criteri applicabili alle organizzazioni che desiderano essere autorizzate dalla CNIL, per certificare le competenze del DPO sulla base del benchmark di certificazione.

Alla professione sono dedicati anche corsi di alta formazione, come master specialistici e diplomi universitari.

Salari

Lo studio "Privacy Professional's - Role, Function and Salary Survey 2011" condotto dall'IAPP ( International Association of Privacy Professionals ) indica che i professionisti della privacy americani guadagnano più di $ 300.000  all'anno per l'1% di questi, tra 200.000  $ e 300.000  $ all'anno al 5% tra di loro, tra 150000  $ e 200000  $ per il 13% e tra 100000  $ e 150000  $ al 37%.

Lo studio "Privacy Professional's - Role, Function and Salary Survey 2011" IAPP Canada indica che la protezione professionale canadese della privacy guadagna tra 100.000  $ e 200.000  $ all'anno nel settore privato (più il bonus) e tra 75.000  $ e 150 000  $ all'anno nel settore pubblico.

Lo studio "Privacy Professional's - Role, Function and Salary Survey 2010" IAPP Europe, afferma che i professionisti europei per proteggere la privacy guadagnano tra 150.000  $ e 200.000  $ all'anno al 9%, tra 100.000  $ e 150.000  $ per il 26% e tra 50.000  $ e 100.000  $ al 49%. Inoltre, il 30% di questi professionisti riceve anche stock option e bonus del 60%.

Secondo lo studio condotto da AFCDP nel 2012, lo stipendio medio di un CIL era di 47.000  euro lordi annui.

Principali sviluppi in relazione al corrispondente IT e libertà

Il Data Protection Officer essendo un'evoluzione del distaccato alla protezione dei dati personali della Direttiva 95/46 / CE , molte caratteristiche sono state mantenute, come la sua indipendenza, la possibilità di svolgere incarichi part-time, il fatto che deve rimanere esenti da conflitti di interesse, il suo collegamento il più direttamente possibile al titolare del trattamento o all'organo decisionale, il suo ruolo di interfaccia con la CNIL , la sua mancanza di responsabilità personale. È anche probabile che il Responsabile della protezione dei dati continui i compiti del CIL: preparazione dei fascicoli delle formalità presso la CNIL per il trattamento non esente da formalità, sviluppo di una politica di protezione dei dati personali , sensibilizzazione del personale alle disposizioni di legge, sviluppo e controllo dell'applicazione di specifici codici di condotta.

Le principali evoluzioni del responsabile della protezione dei dati rispetto al corrispondente IT e delle libertà attuali sono:

• Da facoltativo, il Delegato diventa obbligatorio in più casi;
• Anche i subappaltatori, se soddisfano i criteri, saranno tenuti a nominarne uno;
• I dati di contatto del Delegato saranno resi pubblici;
• Sarà più facile per i gruppi di società nominare un responsabile della protezione dei dati che sarà loro comune;
• I responsabili del trattamento dei dati avranno piena libertà di designare un delegato esterno all'organizzazione, mentre questa possibilità è stata offerta solo alle organizzazioni in cui meno di cinquanta dipendenti hanno accesso ai dati (i DPO esterni devono sottoscrivere un'assicurazione di responsabilità professionale).

Altre modifiche non sono esplicitamente menzionate nel regolamento ma derivano dalle sue disposizioni. Pertanto, il responsabile della protezione dei dati:

• assicurare che le analisi dei rischi e gli studi di impatto per le persone interessate siano svolte e regolarmente aggiornate in merito ai trattamenti più sensibili;
• assicura il nuovo obbligo di Responsabilità previsto dal Regolamento Generale sui Dati, che richiede la prova della conformità, fornendo all'autorità di controllo, su richiesta di quest'ultima, evidenze (documentazione, procedure e processi, piano dei controlli interni, inventario dei rischi, risultati delle verifiche) e misure correttive adottate di conseguenza, ecc.);
• garantisce che l'organismo comunichi alla CNIL, quando necessario, violazioni del trattamento dei dati personali, o addirittura comunichi alle persone interessate quando è probabile che la violazione generi un rischio elevato per i diritti e le libertà di una persona fisica.

Sanzioni in caso di violazione del GDPR

Finora è stata comminata una multa massima di 50.000 euro per mancata nomina intenzionale o negligente di un responsabile della protezione dei dati. Dal 25 maggio 2018 la sanzione salirà al 2% del fatturato annuo complessivo fino a 10 milioni di euro. L'autorità di controllo si riserva il diritto di imporre una multa più elevata. I responsabili della protezione dei dati devono dimostrare qualifiche diverse ed essere preparati ad adattarsi ai cambiamenti nella tecnologia dell'informazione. La formazione continua e la competenza giuridica sono essenziali. Le persone che non fanno parte del consiglio di sorveglianza o della direzione dell'azienda sono responsabili della protezione dei dati. Anche se la combinazione è consentita, questa costellazione può portare a pregiudizi e ostacolare il rispetto del regolamento di base sulla protezione dei dati.

Gli uffici di credito e le società di elaborazione dati dovrebbero, con l'entrata in vigore dell'EU OVDS, essere soggetti al controllo di un responsabile della protezione dei dati, garantendo così l'integrità e la competenza della loro gestione dei dati. Il mancato rispetto di tale obbligo comporterà sanzioni significative per la società interessata.

Il GDPR introduce nuovi requisiti relativi al licenziamento e alla cessazione del rapporto di lavoro di un responsabile della protezione dei dati per le autorità pubbliche e le organizzazioni private. I DPO sono soggetti a una protezione speciale contro il licenziamento, il dovere di riservatezza e il diritto di rifiutarsi di testimoniare.

Bibliografia

• Il responsabile della protezione dei dati. Una nuova posizione in azienda , Bruxelles, edizioni Bruylant, collezione Minilex, 3a edizione, 2020.
• Collettivo, Responsabile della protezione dei dati: molto più di un lavoro , edizione AFCDP, Parigi, 2015, 574 p. ( ISBN  978-2-9552430-0-8 )
• Guillaume Desgens-Pasanau, Le Correspondant Informatique et Libertés , edizioni Lexis Nexis, collezione “Droit & Professionnels”, 2013, 374 p. ( ISBN  978-2711018864 )

Note e riferimenti

1. "  RGPD - Articolo 37 - Designazione del responsabile della protezione dei dati  " , su colibri-dpo.com (accesso 22 settembre 2020 )
2. Analisi comparativa dei responsabili della protezione dei dati , CEDPO, 2012
3. CNIL set di dati di organizzazioni che hanno nominato un responsabile della protezione dei dati (DPD / DPO)
4. Rapporto annuale della CNIL per il 2015
5. La CNIL in breve 2019
6. "  RGPD - Considerant 97  " , su colibri-dpo.com (visitato il 22 settembre 2020 )
7. "  RGPD - Sezione 4  " , su colibri-dpo.com (visitato il 22 settembre 2020 )
8. "  RGPD - Articolo 39 - Missioni del responsabile della protezione dei dati  " , su colibri-dpo.com (accesso 22 settembre 2020 )
9. "  RGPD - Articolo 36 - Consultazione preliminare  " , su colibri-dpo.com (accesso 22 settembre 2020 )
10. "  CNIL: Una professione del futuro  " , su cnil.fr ,13 ottobre 2015(visitato il 25 aprile 2016 )
11. Risultati dell'indagine "Implement the General Data Protection Regulation", febbraio-aprile 2019
12. Articolo e risultati dell'indagine 2019 della rete dei DPO per l'istruzione superiore, la ricerca e l'innovazione
13. "  Certificazione delle competenze DPO: la CNIL adotta due standard | CNIL  ” , su www.cnil.fr (consultato il 22 settembre 2020 )
14. Articolo "Quattro domande sul lavoro del ... responsabile della protezione dei dati" del 7 marzo 2020
15. Indagine sulla formazione svolta dalla rete SupDPO, nell'ambito di una partnership tra CNIL e CPU
16. "  Privacy Professional's: Role, Function and Salary Survey 2011  " , su iapp.org ,14 febbraio 2012(visitato il 25 aprile 2016 )
17. "  Indagine 2011 sul ruolo, la funzione e la retribuzione del professionista della privacy  " , su iapp.org ,14 febbraio 2012(visitato il 25 aprile 2016 )
18. "  Indagine 2010 sul ruolo, la funzione e la retribuzione del professionista della protezione dei dati  " , su iapp.org ,14 febbraio 2012(visitato il 25 aprile 2016 )

Vedi anche

Articoli Correlati

• Legge sulla protezione dei dati
• Dati personali
• Anonimato su Internet
• Corrispondente IT e libertà
• Carte del diritto all'oblio digitale
• AFCDP Associazione francese dei corrispondenti per la protezione dei dati personali
• GDPR (il regolamento all'origine del DPD / DPO)
• PIA (metodo e strumento informatico)

link esterno

• Sezione CNIL "  Responsabile della protezione dei dati (DPO)  "
• Sito dell'associazione francese dei corrispondenti per la protezione dei dati personali
• CEDPO, Confederation of European Data Protection Organizations
• "  Data Protection Officer  " , su Commissione Europea - Commissione Europea (consultato il 9 giugno 2018 )