GUARDA QUIhttps://www.accademiaitalianaprivacy.it/areaprivata/foto/708/01.jpg
mercoledì 7 settembre 2022
di GDPRlab.it
Il Data Protection Officer (DPO) è una figura che è stata introdotta dal GDPR. Ma quali caratteristiche / skills deve avere? Che compiti ha? Quando e perché è utile nominare il DPO?
In italiano è traducibile con Responsabile della Protezione dei dati ed è una figura nuova introdotta dal GDPR. La sua principale mansione è quella di supportare il titolare, ma anche il responsabile del trattamento, nel rispetto del GDPR. In particolare deve assicurarsi che i dati siano conservati in conformità alle previsioni del Regolamento e che siano tenuti al sicuro, gestendo i rischi e imponendo misure di sicurezza conformi alle previsioni del GDPR.
L'Art. 39 del GDPR ne specifica le funzioni:
a) informare e fornire consulenza al titolare del trattamento o al responsabile del trattamento nonché ai dipendenti che eseguono il trattamento in merito agli obblighi derivanti dal presente regolamento […];
b) sorvegliare l'osservanza del presente regolamento, di altre disposizioni dell'Unione o degli Stati membri relative alla protezione dei dati nonché delle politiche del titolare del trattamento o del responsabile del trattamento in materia di protezione dei dati personali, compresi l'attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo;
c) fornire, se richiesto, un parere in merito alla valutazione d'impatto sulla protezione dei dati e sorvegliarne lo svolgimento […];
d) cooperare con l'autorità di controllo;
e) fungere da punto di contatto per l'autorità di controllo per questioni connesse al trattamento […]
Ne emerge una figura sia tecnica che legale: insomma il DPO deve essere un consulente esperto in più campi.
Se nell'art. 39 del GDPR troviamo una definizione di massima, vi sono stati ulteriori chiarimenti rispetto alla figura del DPO. A partire da una specifica del Garante per la protezione dei dati italiano, che ha ribadito come il DPO debba avere approfondita conoscenza della normativa e della prassi in fatto di privacy. Non solo: il Garante ha anche ribadito che il DPO deve avere approfondita conoscenza con le norme e le procedure relative al settore di riferimento. Ecco perché, per la nomina a DPO, sono da privilegiare quei soggetti che dimostrino conoscenze approfondite in più campi che lo rendano adeguato a svolgere un compito complesso. Master ed esperienze di studio specifiche sono esperienze aggiuntive utili.
La normativa specifica anche che il ruolo del DPO non è tutelare gli interessi del titolare del trattamento. Al contrario il DPO deve tutelare i dati personali, quindi i diritti degli interessati. Ne discende la necessità che il DPO possa svolgere la propria mansione in piena autonomia e indipendenza e in assenza di conflitto d'interesse. Ciò rende impossibile, per chi si trova ai vertici di un'azienda o di un ente, ricoprire il ruolo di DPO. La sanzione subita dal Comuine di Villabate per aver nominato DPO il responsabile degli Affari Generali deriva proprio dalla necessità che il DPO non abbia conflitti d'interesse con il responsabile del trattamento.
Per approfondire > Nominano DPO il responsabile Affari Generali: il Garante Privacy sanziona il comune di Villabate
Il Garante sloveno è stato ancora più specifico e, rispetto al settore privato, ha specificato che figure come:
siano incompatibili con la nomina a DPO.
L'art. 38 GDPR invece specifica che il DPO non deve riceve alcuna istruzione da parte del titolare o del responsabile del trattamento, come modalità essenziali per garantirne l'autonomia di azione. Ciò non esime però titolare e responsabile del trattamento dal mettere a disposizione del DPO le risorse tecniche, umane e finanziarie necessarie per lo svolgimento, in indipendenza, dei propri compiti.
La normativa consente di nominare Data Protection Officer uno dei dipendenti dell'azienda, ma non v'è un obbligo che il DPO si interno. Il servizio di protezione dati è esternalizzabile, nominando tramite contratto, un fornitore esterno del servizio. Tale fornitore può essere sia un libero professionista che un'azienda. Nel caso in cui il responsabile della protezione dei dati sia nominato esternamente all'azienda, diviene necessario nominare anche il responsabile del trattamento.
Il titolare del trattamento ha numerosi obblighi, imposti dalla normativa, rispetto al DPO. Uno già lo abbiamo indicato sopra: il titolare del trattamento deve fornire risorse tecniche, umane e finanziarie necessarie per lo svolgimento, in indipendenza, dei propri compiti. Non finisce qui, però. Il titolare deve:
Quando nominare il DPO?
In apparenza, si potrebbe dire quindi che il Data Protection Officer sia una figura che riguardi solo le grandi aziende, ma nell'era digitale non è così. Vi sono infatti piccole aziende che trattano i dati di centinaia o migliaia di persone. Si pensi ad un call center, ma anche a chi utilizza un impianto di videosorveglianza.
Ricordiamo che non nominare il DPO quando è obbligo comporta una sanzione amministrativa fino a 10 milioni di euro o al 2% del fatturato annuo.
mercoledì 9 ottobre 2024
Leggi tutto...
CONDIVIDI QUESTA PAGINA!