---->https://www.accademiaitalianaprivacy.it/assets/images/immagineFB.jpg<---- È obbligatoria la nomina del DPO? Quali sono i suoi compiti e le caratteristiche?

Dettaglio news
È obbligatoria la nomina del DPO? Quali sono i suoi compiti e le caratteristiche?


giovedì 4 aprile 2019
Avv. Gianni Dell’Aiuto





Si tratta di due delle domande più frequenti da quando, lo scorso 25 Maggio 2018, è entrato definitivamente in vigore il GDPR.

  • Quali imprese o enti devono nominare il Responsabile Protezione Dati (DPR) o DPO come ormai entrato nel linguaggio comune? 

La norma è chiara quando, senza dubbio, questa nomina è indicata come obbligatoria dall’art. 37 nei confronti della Pubblica Amministrazione senza eccezioni; nel caso di trattamenti che richiedono il monitoraggio regolare e sistematico di dati su larga scala nonché quando i trattamenti riguardano dati personali sensibili (art. 9) o dati relativi a condanne penali e a reati di cui all’art.10 trattati su larga scala.

La norma relativa all’obbligatorietà della nomina del DPO non è peraltro esaustiva. Premesso che il titolare deve adottare tutte le misure organizzative e tecniche adeguate “a garantire ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al Regolamento” (art. 24. primo paragrafo), la eventuale nomina di altre figure che affianchino il Titolare e garantiscano standard adeguati di protezione dei dati può diventare un obbligo di fatto. La designazione di un DPO, tenuto conto dei compiti che questo deve svolgere e a condizione che gli siano garantiti indipendenza e mezzi organizzativi e strumentali necessari, può costituire per il titolare del trattamento una misura molto importante ai fini di dimostrare la sua compliance con quanto previsto dal GDPR, anche laddove non obbligatorio. 

È ovvio, però che, in tale ipotesi, se il titolare ritiene opportuno procedere alla nomina del RDP come ulteriore e opportuna misura idonea a dimostrare la conformità dei trattamenti al Regolamento, questa debba avvenire nel pieno rispetto della normativa relativa a questa figura. Non è possibile, insomma, che nei casi in cui la designazione del RDP non sia obbligatoria il titolare possa costruirsi una sorta di RDP “fai da te”, attribuendo tale funzione a figure professionali inadeguate o senza garantire ad esse i poteri, la posizione di indipendenza e le risorse necessarie previste dalle norme ovvero, peggio ancora, a segretari o stagisti.

In tal senso, l’ormai disciolto Gruppo art. 29 non si è limitato a precisare che i titolari devono essere in grado di dimostrare di aver compiuto all’interno dell’azienda le valutazioni necessarie per stabilire se nel caso specifico sussista o meno l’obbligo di nomina. Ha anche chiarito che, ove si decida di procedere alla nomina di un DPO, debbano essere integralmente applicate le norme di cui agli art. 37-39 del GDRP. Dobbiamo infatti ricordare che il DPO svolge, oltre a quelle di effettivo controllo sulla protezione dei dati e adeguamento al regolamento, anche una funzione di interfaccia tra Titolare e Interessati da un lato e tra Titolare e Autorità garanti dall’altro. Per tali motivi deve essere garantita al DPO una posizione di fatto al vertice dell’organizzazione che dovrà oltretutto esercitare in piena indipendenza, anche economica, andando i suoi compiti oltre la mera consulenza e vigilanza.

Ancora il Gruppo Art. 29 in un suo parere (n. 243 punto 4.2) affermava che “qualora il titolare non concordi con le indicazioni fornite dal DPO, è necessario che la documentazione relativa alla DPIA (Valutazione di impatto) riporti specificamente e per iscritto le motivazioni per cui si è ritenuto di non conformarsi a tali indicazioni”. Ancora significativo sul punto la considerazione che l’art. 38 GDPR al paragrafo 6, concede al DPO la possibilità di svolgere anche altre funzioni e compiti diversi da quelli propri del suo ruolo, ma spetta al titolare accertarsi “che tali compiti e funzioni non diano adito a conflitto di interessi”.

Il GDPR assegna dunque al DPO un ruolo che assume anche un rilievo di tipo pubblicistico: egli opera non solo nell’interesse del titolare ma anche degli interessati e del sistema di protezione dati. Si ricordi, infatti, che è suo compito entro 72 ore da un Data Breech darne informazione al Garante. Spetta sempre al titolare, il solo a rispondere delle eventuali violazioni al GDPR, accertare che il DPO designato possieda competenze specialistiche da unire a quelle specifiche necessarie alla svolgimento della funzione, tenendo conto dei trattamenti posti in essere e delle modalità organizzative e tecniche adottate. Ed è poi compito del Titolare permettere al DPO di svolger le proprie funzioni anche aderendo alle sue richieste che dovranno essere accuratamente, per risorse, strutture, adeguamenti.

Inutili e fuorvianti, oltre che ai limiti della legalità, sono invece le richieste di autocertificazione che alcune aziende vanno richiedendo ai potenziali DPO di essere in grado di svolgere le specifiche funzioni.




CONDIVIDI QUESTA PAGINA!