GUARDA QUIhttps://www.accademiaitalianaprivacy.it/assets/images/immagineFB.jpg

Dettaglio news
COMPITI E REQUISITI DEL DPO AI SENSI DEL GDPR


giovedì 22 novembre 2018
Avv. Gianni Dell’Aiuto





Nuove sigle e nuovi acronimi con cui combattere ogni giorno per aziende e professionisti ma, come si suol dire, lo chiede l’Europa. Anzi; in questo caso lo impone.
Il nuovo regolamento Europeo in materia di protezione dati personali (GDPR) prevede all’articolo 37 la figura del DPO (Data Protection Officer o meglio, Responsabile della Protezione Dati), che può essere nominato (in alcune ipotesi la nomina è obbligatoria) dal Titolare del Trattamento Dati e dal Responsabile del Trattamento, laddove nominato (rispettivamente il Controller e il Processor nella versione inglese del testo). Si tratta di una figura nuova, non prevista nel previgente testo della L. 196/2003, di cui non viene fornita una descrizione esaustiva e dettagliata: il Regolamento infatti si limita ad elencare le capacità tecniche e giuridiche di cui deve essere in possesso, demandando ai singoli Stati un’eventuale disciplina normativa o la creazione di appositi albi.

I requisiti  e le competenze del DPO
Il DPO dovrà possedere un’adeguata conoscenza della normativa e delle prassi di gestione dei dati personali. È tenuto ad adempiere alle proprie funzioni in piena indipendenza ed in assenza di conflitti di interesse (e ciò genera forti dubbi sull’opportunità di una nomina interna ad un’azienda) e, infine, opera alle dipendenze del Titolare o del Responsabile oppure sulla base di un contratto di servizi. In ogni caso la nomina deve essere in forma scritta anche ai fini dell’opponibilità ai terzi e, principalmente, per la conoscenza da parte degli interessati che hanno prestato il consenso al trattamento dei loro dati. Nell’eseguire i propri compiti il DPO considera debitamente i rischi inerenti al trattamento, tenuto conto della natura, dell’ambito di applicazione, del contesto e delle finalità del medesimo. 

Nel frattempo il Garante ha precisato che il DPO deve avere una specifica competenza “della normativa e delle prassi in materia di dati personali nonché delle norme e delle procedure amministrative che caratterizzano il settore”. Deve poi avere “qualità professionali adeguate alla complessità del compito da svolgere” e, specialmente negli ambiti delicati, dimostrare di avere competenze specifiche rispetto ai tipi di trattamento posti in essere.

Le funzioni del DPO
Il DOPO deve presidiare i profili privacy organizzativi dell’azienda attraverso un’opera di sorveglianza sulla corretta applicazione del Regolamento e della L. 196/2003 (così come è oggi modificata) e sulle politiche interne, sull’attribuzione delle responsabilità, informazione, sensibilizzazione e formazione del personale, consulenza e rilascio di pareri. Il DPO deve cooperare con l’Autorità Garante e riferire direttamente al vertice gerarchico aziendale. È inoltre il front office nei casi di richieste di informazioni da parte degli utenti (Interessati, come li definisce la normativa) che, è bene ricordare, devono poter avere accesso in ogni momento ai loro dati per poterne controllare la correttezza e le modalità di trattamento. 

Il DPO, l'azienda/l'ente
IL DPO ha quindi una posizione apicale all’interno di un’azienda o ente, potendo incidere anche su procedure interne laddove queste mettano in pericolo i dati trattati, la loro conservazione e cancellazione o il trasferimento nei casi di portabilità. Da una lettura sistematica del Regolamento, emerge comunque che quella del DPO è una figura rilevante, ma non è il “centro” del sistema GDPR, che resta il Titolare del trattamento. Da ciò deriva che la designazione del DPO, ad iniziare dall’accertamento delle sue capacità professionali, è sempre nella responsabilità del titolare, che a tal fine deve tener conto dei tipi di trattamento concretamente posti in essere.

Il DPO: esistono titoli abilitanti/qualificanti?
Attualmente, in attesa di una normativa specifica, attestati rilasciati a seguito di corsi di formazione, di perfezionamento e di master, anche universitari, sono probabilmente una utile documentazione della quale è opportuno tenere conto, ma non sono titoli qualificanti o abilitanti e l’idoneità del RDP va verificata con riferimento ai trattamenti in essere nonché alla organizzazione e alle tecnologie impiegate. Ergo non esiste ad oggi una “abilitazione qualificante” allo svolgimento del ruolo di DPO basata su titoli acquisiti attraverso corsi o altro.

La trasparenza:i dati del DPO

L’identità e i dati di contatto del DPO devono essere riportati, nell’ottica di trasparenza, nell’informativa (art. 13, primo comma, lett.b) che deve essere fornita prima della prestazione del consenso e devono essere pubblicati sul sito dell’ente o società (art.37) e contenuti anche nel registro dei trattamenti.




CONDIVIDI QUESTA PAGINA!