Il regolamento privacy (Regolamento (UE) 2016/679, GDPR) sarà a breve direttamente applicabile su tutto il territorio europeo. Ha inizio per imprese, pubbliche amministrazioni e privati cittadini il rush finale per adeguarsi alle disposizioni previste dalla nuova normativa. Allo scopo di facilitare la lettura di un testo complesso e articolato come il GDPR, si propongono una serie di semplici schede informative, attraverso la formula del Q&A, che, riprendendo concetti ormai noti nell’ambito privacy, offrono un sintetico orientamento alla nuova normativa.
Chi è il Data Protection Officer?
Il Data Protection Officer, o più comunemente D.P.O. (in italiano, “Responsabile della protezione dei dati”), è la figura nominata dal titolare o dal responsabile del trattamento avente, principalmente, un duplice ruolo: da un lato, quello di sorvegliare e coordinare l’osservanza della disciplina privacy all’interno dell’organizzazione del soggetto che l’ha designato; dall’altro, quello di interfaccia esterna con le autorità e con i soggetti interessati.
Quando deve essere nominato il D.P.O.?
La designazione del D.P.O. è obbligatoria quando: a) il trattamento è effettuato da un soggetto pubblico (eccettuate le autorità giurisdizionali); b) il trattamento richiede il monitoraggio sistematico degli interessati su larga scala; c) viene effettuato il trattamento su larga scala di particolari categorie di dati (ad esempio: dati sensibili, dati genetici, biometrici, dati giudiziari o dati riferiti a minori). Tuttavia, la legge nazionale o il diritto europeo possono prevedere ulteriori casi di designazione obbligatoria.
Al di fuori di queste ipotesi, la nomina del D.P.O. è facoltativa ma è comunque fortemente raccomandata, data la rilevante funzione di ausilio e di supporto nell’osservanza del GDPR.
Quali sono i requisiti necessari per essere nominati D.P.O.?
Il D.P.O. deve possedere conoscenze specialistiche proporzionate alla sensibilità, complessità e quantità dei dati sottoposti a trattamento. In particolare, deve padroneggiare la normativa e le prassi nazionali ed europee in materia di protezione dei dati e avere un’approfondita conoscenza del GDPR, così come del settore di attività e della struttura organizzativa del titolare del trattamento.
Infine, deve avere una buona familiarità con le operazioni di trattamento svolte, nonché con i sistemi informativi e le esigenze di sicurezza e protezione dei dati manifestate dal titolare/responsabile.
Quali compiti può svolgere il D.P.O.?
Oltre alla funzione di coordinamento interno e di interfaccia esterna, il D.P.O. deve occuparsi della formazione continua dell’organico del titolare/responsabile del trattamento in materia privacy, monitorare il rispetto del GDPR, nonché fornire – ove richiesto – un parere in merito alla valutazione d’impatto sulla protezione dei dati e sorvegliarne lo svolgimento. L’elenco delle mansioni non è esaustivo e il titolare o il responsabile del trattamento possono decidere di affidargli ulteriori compiti, come ad esempio la tenuta del registro delle attività di trattamento.
Il D.P.O. può essere un dipendente?
Il titolare o il responsabile del trattamento possono decidere di nominare D.P.O. un soggetto interno alla propria organizzazione ovvero di affidare la mansione ad un soggetto esterno (mediante outsourcing o un contratto di servizi). In entrambi i casi, occorrerà garantire la piena autonomia e indipendenza del D.P.O., così come l’assenza di conflitti di interesse. Per questo motivo, il D.P.O. non può ricevere istruzioni né essere rimosso o penalizzato per l’adempimento dei propri compiti.
Il D.P.O. può avvalersi di ausiliari?
È obbligo del titolare o del responsabile del trattamento fornire al D.P.O. tutte le risorse necessarie in termini di tempo e budget sufficienti per espletare i propri compiti, infrastrutture (sede, attrezzature, strumentazione) e personale. Il D.P.O. può infatti avvalersi di un team di collaboratori che lo coadiuvino nei propri compiti. In tal caso, occorrerà ripartire chiaramente i compiti all’interno del team e prevedere che sia un solo soggetto identificato a fungere da referente.
Chi è responsabile delle violazioni del GDPR?
Il controllo del rispetto del GDPR non significa che il D.P.O. sia personalmente responsabile in caso di inosservanza. Il titolare e il responsabile del trattamento continueranno a rispondere delle eventuali violazioni in materia privacy derivanti dal loro trattamento.
Il titolare/responsabile deve rendere pubblica la nomina del D.P.O.?
La nomina del D.P.O. deve essere resa nota tanto all’interno, quanto all’esterno dell’organizzazione del titolare o del responsabile del trattamento. In particolare, sul sito del titolare/responsabile del trattamento andranno pubblicati i dati di contatto del D.P.O., tra cui recapito postale, numero telefonico dedicato e/o indirizzo dedicato di posta elettronica. I medesimi dati di contatto dovranno poi essere comunicati all’Autorità Garante per la protezione dei dati personali, nonché resi noti ai soggetti interessati per il tramite dell’informativa (vd. scheda sull’informativa).
Aggiungi commento