Il DPO – Data Protection Officer previsto dal GDPR 2016/679

CHI È IL DPO?

Il DPO è il terzo protagonista del trattamento dati, insieme al responsabile e al titolare.

DPO sta per “data protection officer” e indica il responsabile della protezione dei dati, la nuova figura professionale introdotta dal nuovo GDPR, il regolamento n. 2016/679.

Lo stesso regolamento prevede che il DPO possa essere un soggetto interno esterno alla struttura del titolare o del responsabile.

Si tratta di una figura di supporto e di affiancamento per il titolare o per il responsabile del trattamento dati, nella gestione dei rischi, e in generale nell’applicazione e nella osservanza del gdpr.

Di cosa si occupa il DPO? Quali sono le sue funzioni?

Andiamo a vedere insieme cosa fa nello specifico il DPO e di cosa si occupa.

Il responsabile della protezione dati personali deve vantare specifiche conoscenze di tutta la normativa che ruota intorno alla privacy e delle norme che disciplinano l’intero settore.

Le linee guida dell’Art 29 WP in relazione alle competenze specifiche che caratterizzano il DPO indicano conoscenza, tecnologie informatiche in tema di sicurezza dei dati, e conoscenza del gdpr.

Il DPO deve:

    • coadiuvare il titolare del trattamento nell’adottare tutte le misure necessarie per adempiere alle sue mansioni;
    • deve fornire la consulenza necessaria al fine di controllare e organizzare il sistema di gestione dei dati personali;
    • agisce in totale autonomia e senza ricevere alcuna istruzione in relazione all’esplicazione dei suoi poteri;
    • si occupa di tenere il registro dei trattamenti e dell’attività ex articolo 30;
    • sorvegliare sul rigoroso rispetto del regolamento e sulla sua applicazione e in generale di tutte le disposizioni del diritto europeo del diritto interno nell’ambito della protezione dei dati;
    • svolgere attività di controllo e di formazione;
    • controllare poi che le violazioni dei dati vengono notificate e comunicate;
    • fornire pareri e controllare la “DPIA” (“Data protection impact assessment”).

La nomina del DPO. Chi lo nomina e come.

L’articolo 37 del GDPR prevede espressamente che “il titolare del trattamento e il responsabile del trattamento designano sistematicamente un responsabile della protezione dei dati ogniqualvolta che:

  • il trattamento è effettuato da un’autorità pubblica o da un organismo pubblico, eccettuate le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali;
  • le attività principali del titolare del trattamento o del responsabile del trattamento consistono in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala;
  • oppure le attività principali del titolare del trattamento o del responsabile del trattamento consistono nel trattamento, su larga scala, di categorie particolari di dati personali di cui all’articolo 9 o di dati relativi a condanne penali e a reati di cui all’articolo 10.
  • il titolare del trattamento o il responsabile del trattamento sia un’autorità pubblica o un organismo pubblico, un unico responsabile della protezione dei dati può essere designato per più autorità pubbliche o organismi pubblici, tenuto conto della loro struttura organizzativa e dimensione.”

La nomina del DPO deve essere innanzitutto formalizzata per iscritto tramite apposito atto di designazione del responsabile oppure tramite accordo che si perfezione con la sottoscrizione di un contratto di servizi. L’atto di nomina del DPO deve contenere i compiti e le funzioni che il DPO è destinato a svolgere le risorse che gli sono state conferite.

La nomina deve poi essere comunicata ufficialmente a tutto il personale al fine di assicurare che la sua presenza e i suoi compiti vengano resi noti all’interno della struttura del titolare e del responsabile

DPO interno ed esterno

Il regolamento all’articolo 37 paragrafo sei prevede che il DPO può essere un dipendente interno alla struttura del titolare o del responsabile oppure un soggetto esterno che si trova ad esplicare tali funzioni in virtù di un accordo contrattuale più precisamente un contratto di servizi. Il responsabile della protezione dei dati viene denominato interno quando è a conoscenza della realtà strutturale ed operativa in cui avvengono i trattamenti, viene invece definito esterno quando si tratta di una persona fisica o giuridica che svolge i propri compiti su base contrattuale. Sia nel caso di più interno che esterno quest’ultimo non deve comunque trovarsi in una condizione di conflitto di interessi (nel caso in cui i ruoli ricoprano delle posizioni quali amministratore delegato, responsabile finanziario, responsabile sanitario ecc.)

E se il DPO non osserva gli obblighi?

In caso di violazione o inosservanza del regolamento il DPO non risponde direttamente e personalmente, perché sarà onere del responsabile e del titolare adottare tutte le misure necessarie a provare che le operazioni effettuate siano conformi alla normativa.

Quali sono i rapporti tra il DPO il titolare e il responsabile del trattamento? 

La figura del DPO è disciplinato dagli articoli 37, 38, e 39 del regolamento.

Il regolamento europeo n. 2016/ 679 ha chiaramente previsto che il responsabile della protezione dei dati personali possa essere un dipendente del titolare o del responsabile del trattamento.

Le disposizioni tracciano un rapporto di assistenza reciproca tra il titolare e il responsabile del trattamento dati e il DPO

Il titolare e il responsabile del trattamento infatti:

  • hanno il compito di coinvolgere immediatamente e in maniera adeguata il responsabile della protezione dei dati in tutte quelle questioni che riguardano la protezione dei dati personali;
  • devono inoltre sostenere il responsabile della protezione dei dati nella esecuzione dei suoi compiti mettendolo nelle condizioni di potere assolvere alle sue funzioni;
  • mettere a disposizione le risorse necessarie per accedere ai dati e mantenere sempre alto lo standard della sua conoscenza;
  • devono sincerarsi che il DPO non riceva istruzioni per tutto ciò che concerne il modus operandi dei suoi compiti;
  • invitano il DPO a partecipare alle riunioni del management e in tutte quelle in cui è necessario assumere decisioni di impatto sulla protezione dei dati.

Viceversa il DPO deve invece ricevere adeguato supporto oltre che personale anche finanziario e infrastrutturale come strutture, servizi e attrezzature.

Il titolare e il responsabile del trattamento non possono penalizzarlo o rimuoverlo per ciò che concerne l’esecuzione dei propri compiti (il divieto di penalizzazione opera nel caso di DPO interno che esterno: risulta ingiustificata infatti la risoluzione del contratto di servizi in relazione alle attività svolte in quanto responsabile della protezione dei dati).

Lo scioglimento del rapporto con il DPO. Come si interrompe il rapporto?

Le ipotesi di interruzione del rapporto con il responsabile della protezione dei dati per motivi diversi dallo svolgimento delle sue funzioni proprie, tra cui rilevanti violazioni deontologiche, furto, molestie ecc.

Poiché il regolamento non fornisce delle chiare indicazioni in relazione alle modalità della interruzione del rapporto con il DPO, le linee guida intervengono per chiarire che “quanto maggiore è la stabilità del contratto stipulato con il responsabile e maggiori le tutele previste contro l’ingiusto licenziamento tanto maggiore sarà la probabilità che l’azione del responsabile si svolga in modo indipendente”.

Attenersi alla normativa in tema di privacy è oggi più che mai importante, sia per non incorrere in sanzioni ma anche e soprattutto per lavorare e gestire gli affari in totale sicurezza.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *