Blog

DPO.jpeg

DPO: il Responsabile della Protezione dei Dati Personali

Il Regolamento (UE) 2016/679, noto con l’acronimo inglese GDPR, prevede diversi adempimenti da parte delle aziende, tra cui la designazione del Responsabile della Protezione dei Dati Personali, ovvero del Data Protection Officer (DPO).

Questa figura, che è già presente in alcune legislazioni europee e in alcune organizzazioni più complesse presenti sul mercato italiano, diverrà obbligatoria per tutta la pubblica amministrazione e, in alcuni casi, anche in ambito privato.

Il DPO è una figura ibrida, interna o esterna all’organizzazione, che deve avere determinati requisiti che spesso non sono riconducibili a un’unica persona.  Funge da ruolo di vigilanza dei processi interni alla struttura (del Titolare e del Responsabile del trattamento, che lo devono nominare obbligatoriamente in taluni casi previsti dalla legge) e da ruolo di consulenza. Deve essere una persona fisica che abbia una base sia di conoscenza legale in materia che una base tecnica per conoscere i processi aziendali. Deve essere autonomo, indipendente e non avere conflitti d’interesse all’interno dell’organizzazione. E infine deve fungere da ponte di contatto super partes con l’autorità Garante Nazionale.

La norma prevede che la designazione di questa figura avvenga per:

  • Enti pubblici;
  • Aziende private dove la core activities consista nell’attività di monitoraggio su larga scala di interessati con dati sensibili o giudiziari;
  • Aziende private che svolgono un’attività di monitoraggio regolare e su larga scala degli interessati a condanne penali e a reati.

I principali compiti del DPO invece sono i seguenti:

  • Informare e fornire consulenza al Titolare o al Responsabile del trattamento e ai dipendenti che eseguono il trattamento;
  • Verificare l’attuazione e l’applicazione del Regolamento;
  • Fornire eventualmente pareri in merito alla valutazione d’impatto sulla protezione dei dati e sorvegliare i relativi adempimenti;
  • Cooperare con l’autorità di controllo;
  • Fungere da punto di contatto per gli interessati in merito a qualunque problematica connessa al trattamento dei loro dati.

 

Per far sì che questa figura possa svolgere a pieni i suoi compiti, il Responsabile della Protezione de Dati Personali dovrebbe poter contare su un supporto attivo da parte del senior management, su un supporto in termini di risorse finanziarie, infrastrutturali e, ove opportuno, di personale, e infine di una formazione permanente.

Da tenere a mente però che il DPO non è direttamente responsabile dell’inosservanza degli obblighi in materia di protezione dei dati personali, infatti, è il titolare a dover metter in atto le misure tecniche ed organizzative opportune. Quindi, questa figura è uno degli elementi chiave all’interno del nuovo sistema di governance dei dati capace di indicizzare e garantire l’accountability del titolare/responsabile riducendo il rischio sanzionatorio.



Pubblicato da Riccardo Brambilla in data 22/05/2018