Nuove Faq su DPO in ambito privato del Garante per la privacy del 26.03.2018

security-3245627_640

Il Responsabile della protezione dei dati (DPO o RPD) è un figura, prevista dall’art. 37 del GDPR, nominata dal titolare o dal responsabile del trattamento con funzione di supporto, di controllo, consultiva e di formazione e informazione inerente il Regolamento UE.

Costituisce l’interfaccia aziendale con gli interessati e con il Garante, ed infatti il suo nominativo va comunicato all’Authority.

Rappresenta quindi, il punto di contatto, anche nei confronti degli interessati, per tutto ciò che concerne le problematiche inerenti al trattamento dei dati personali.

Al DPO non sono richieste specifiche attestazioni formali né iscrizioni ad albi professionali; deve però possedere una approfondita conoscenza specialistica della normativa in materia di tutela dei dati personali e delle prassi, delle procedure amministrative e disposizioni che caratterizzano un particolare settore.

Deve avere una professionalità idonea alla complessità del suo compito ed offrire il supporto necessario per progettare, verificare e mantenere l’organizzazione per la gestione dei dati, aiutando il titolare ad adottare le misure di sicurezza nonché le garanzie necessarie per lavorare nel contesto specifico.

Inoltre il DPO deve avere risorse necessarie per l’assolvimento dei suoi compiti.

La sua nomina è compito del titolare o responsabile del trattamento ed è obbligatorio avvalersi della professionalità del DPO quando le attività principali del titolare, vale a dire quelle che caratterizzano il suo “core business”, sono costituite da trattamenti di monitoraggio regolare e sistematico degli interessati su larga scala o trattamenti su larga scala di categorie particolari di dati o di dati giudiziari.

Secondo l’art. 37 c.4, ci possono essere altri casi di nomina obbligatoria, qualora ciò venga disposto normativamente dagli Stati membri.

In altri campi, quando la nomina del DPO non sia obbligatoria, ma facoltativa, ad esempio nel caso di professionisti che operano in forma individuale, di agenti, di imprese individuali, la nomina del DPO è comunque caldamente raccomandata, come espresso nelle Linee-Guida del DPO emesse dal WP29.

Il regolamento prevede che un gruppo imprenditoriale possa nominare un solo DPO, a patto che quest’ultimo sia raggiungibile da ciascun stabilimento e che possa comunicare efficacemente con gli interessati e le autorità di controllo.

Il ruolo del DPO può essere assolto da un dipendente, ma senza conflitto d’interesse, che conosca a fondo la realtà in cui avvengono i trattamenti, oppure può essere un soggetto esterno a condizione che vi sia il reale assolvimento dei compiti preposti.

Il DPO interno sarà nominato tramite atto specifico, quello esterno opererà attraverso un contratto di servizi ed avrà le stesse tutele di quello interno. Questi atti di nomina, in forma scritta, dovranno contenere i compiti assegnati, le risorse necessarie per lo svolgimento e qualsiasi altra informazione utile.

Durante lo svolgimento dei propri compiti, il DPO dovrà avere risorse idonee, finanziarie, d’infrastrutture e anche di personale.

Rimane, comunque, responsabile dei dati il titolare o il responsabile che dovrà dimostrare l’osservanza alla normativa.

I dati di contatto del DPO dovranno essere pubblicati dal titolare ed è buona prassi, anche se non obbligatorio, pubblicarne anche il nominativo; sarà il titolare a valutare tale necessità. Invece i dati e il nominativo vanno comunicati all’autorità di controllo.

Il ruolo del DPO è compatibile con altri incarichi, se non vi è un conflitto d’interesse, in quel caso è meglio evitare, come nel caso di ruoli che abbiano potere decisionale nelle finalità del trattamento.

In assenza di conflitto d’interesse e in base al contesto, la nomina può andare ai responsabili delle funzioni di staff, tipo il responsabile della funzione legale.

Il regolamento prevede che il DPO possa essere un dipendente, in grandi e medie aziende, e comunque deve individuarsi in una persona fisica ma, potrà essere supportato da un ufficio dotato di idonee competenze inerenti al ruolo.

Se la nomina del DPO riguarda, invece, un soggetto esterno, quest’ultimo potrà anche essere, una persona giuridica.

Ma la raccomandazione è quella di attuare una ripartizione di competenze, in modo tale che sia una sola persona fisica a rappresentare il contatto con l’autorità e gli interessati.

Doc-Web:8036793

Data:26/03/18 Sito del Garante

 

 

0 commenti

Lascia un Commento

Vuoi partecipare alla discussione?
Fornisci il tuo contributo!

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *