Il Regolamento UE n. 679/2016 introduce nella compagine aziendale una nuova figura professionale, quella del DPO, indicando anche i requisiti e le mansioni che tale soggetto dovrà svolgere

a cura di Carmela Miranda

Fra le novità più significative introdotte dal GDPR rientra il “Data Protection Officer” – DPO (Responsabile della Protezione dei Dati).
Scopriamo quali sono i connotati principali di tale nuova figura professionale, rispondendo ad alcune domande essenziali:

La designazione del DPO è sempre obbligatoria?

In ambito privato, no.

Ai sensi dell’art. 37 è necessario nominare un DPO ogniqualvolta:

  • le attività principali del titolare del trattamento o del responsabile del trattamento consistono in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala; oppure
  • le attività principali del titolare del trattamento o del responsabile del trattamento consistono nel trattamento, su larga scala, di categorie particolari di dati personali (ad es. quelli rivelano l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose filosofiche, o l’appartenenza sindacale, nonché i dati genetici, i dati biometrici intesi a identificare in modo univoco una persona fisica).

In ambito pubblico, si.

Ogniqualvolta il trattamento è effettuato da un’autorità pubblica o da un organismo pubblico, eccettuate le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali, il titolare del trattamento e il responsabile del trattamento sono tenuti a nominare un DPO.

Può essere designato quale DPO un dipendente del titolare del trattamento?

Si, purchè non versi in una situazione di conflitto di interessi.

In alternativa, sussiste la possibilità di nominare quale DPO un soggetto esterno alla compagine aziendale, il quale potrà assolvere i suoi compiti in base a un contratto di servizi.

Quali sono i requisiti che un soggetto deve possedere ai fini della sua designazione quale DPO?

Il DPO, nominato dal titolare del trattamento o dal responsabile del trattamento, dovrà:

a) disporre di un’adeguata conoscenza della normativa e delle prassi di gestione dei dati personali, anche in termini di misure tecniche e organizzative o di misure atte a garantire la sicurezza dei dati.

Il Garante della Privacy ha precisato che non sono richieste attestazioni formali o l’iscrizione ad appositi albi professionali, anche se la partecipazione a master e corsi di studio/professionali può rappresentare un utile strumento per valutare il possesso di un livello adeguato di conoscenze.

b) poter adempiere alle sue funzioni in piena indipendenza e in assenza di conflitti di interesse.

Ciò significa che il DPO non può essere un soggetto che decide sulle finalità o sugli strumenti del trattamento di dati personali (es. l’amministratore delegato).

Quali sono i compiti che il DPO è chiamato a svolgere?

L’art. 39 dispone che il DPO sia tenuto, in particolare, a:

  • sorvegliare l’osservanza del regolamento, valutando i rischi di ogni trattamento alla luce della natura, dell’ambito di applicazione, del contesto e delle finalità;
  • collaborare con il titolare/responsabile, laddove necessario, nel condurre una valutazione di impatto sulla protezione dei dati (DPIA);
  • informare e sensibilizzare il titolare o il responsabile del trattamento, nonché i dipendenti di questi ultimi, riguardo agli obblighi derivanti dal regolamento e da altre disposizioni in materia di protezione dei dati;
  • cooperare con il Garante e fungere da punto di contatto per il Garante su ogni questione connessa al trattamento;
  • supportare il titolare o il responsabile in ogni attività connessa al trattamento di dati personali, anche con riguardo alla tenuta di un registro delle attività di trattamento.

 

Articoli correlati: