Smentita del Garante su rinvii entrata in vigore del GDPR - LEGGI QUI

Data Protection Officer – DPO

alias

Responsabile Protezione dei dati – RPD

Il Nuovo Regolamento Europeo ha introdotto una figura molto importante che nella versione italiana della norma viene definito Responsabile della Protezione dei dati.

Il suo ruolo è fondamentale, seppur non obbligatorio per tutte le aziende. Leggi il nostro articolo per sapere quando il DPO è obbligatorio.

Questa figura può essere sia interna sia esterna, deve essere formalmente nominata ed è fondamentale che risponda a tutta una serie di requisiti che la rendono idonea all’incarico:

  • deve avere competenze approfondite sul nuovo regolamento GDPR 2016/679
  • deve sapersi interfacciare con le figure interne dell’aziende assumendo un ruolo di coordinamento e supervisione
  • deve avere carattere di imparzialità e autonomia
  • deve essere una figura di riferimento a cui gli interessati possano rivolgersi
  • non può assumere il ruolo se in conflitto con altre mansioni aziendali (esempio: il responsabile dei servizi IT potrebbe non essere idoneo al ruolo perché agirebbe da controllore e controllato)
  • deve sapersi interfacciare con le autorità di controllo in maniera professionale e competente

Gli articoli del regolamento 

Il regolamento specifica ancora meglio all’ARTICOLO 39 le attività previste per il DPO:

  1. informare e fornire consulenza al titolare e al responsabile del trattamento in merito agli obblighi derivanti dal Regolamento 679/2016 o dalle altre disposizioni legislative interne o europee in materia di protezione dati;
  2. sorvegliare l’osservanza del Regolamento da parte del titolare e del responsabile del trattamento in tutte le sue parti, comprese l’attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa al trattamento;
  3. fornire su richiesta pareri in merito alla valutazione d’impatto e sorvegliarne lo svolgimento;
  4. cooperare con l’autorità di controllo fungendo, tra le altre cose, da punto di contatto per questioni connesse al trattamento effettuando consultazioni di ogni tipo, con particolare riguardo e attenzione ad un’eventuale attività di consultazione preventiva.

E all’ARTICOLO 38 definisce la “Posizione del responsabile della protezione dati”:

  1. Il titolare del trattamento e il responsabile del trattamento si assicurano che il responsabile della protezione dei dati sia tempestivamente e adeguatamente coinvolto in tutte le questioni riguardanti la protezione dei dati personali.
  2. Il titolare e del trattamento e il responsabile del trattamento sostengono il responsabile della protezione dei dati nell’esecuzione dei compiti di cui all’articolo 39 fornendogli le risorse necessarie per assolvere tali compiti e accedere ai dati personali e ai trattamenti e per mantenere la propria conoscenza specialistica
  3. Il titolare del trattamento e il responsabile del trattamento si assicurano che il responsabile della protezione dei dati non riceva alcuna istruzione per quanto riguarda l’esecuzione di tali compiti. Il responsabile della protezione dei dati non è rimosso o penalizzato dal titolare del trattamento o dal responsabile del trattamento per l’adempimento dei propri compiti. Il responsabile della protezione dei dati riferisce direttamente al vertice gerarchico del titolare del trattamento o del responsabile del trattamento
  4. Gli interessati possono contattare il responsabile della protezione dei dati per tutte le questioni relative al trattamento dei loro dati personali e all’esercizio dei loro diritti derivanti dal presente regolamento
  5. Il responsabile della protezione dei dati è tenuto al segreto o alla riservatezza in merito all’adempimento dei propri compiti, in conformità del diritto dell’Unione o degli Stati membri
  6. Il responsabile della protezione dei dati può svolgere altri compiti e funzioni. Il titolare del trattamento o il responsabile del trattamento si assicura che tali compiti e funzioni non diano adito a un conflitto di interessi.

Lo stesso Garante punta a responsabilizzare moltissimo la figura del DPO e propone sul proprio sito tutta una serie di contenuti volti a dare indicazioni su come scegliere questa figura e sulle caratteristiche che essa deve avere. In particolar modo si segnala un’interessante pagina di FAQ in cui è possibile trovare risposta alle più frequenti domandi sulla figura del responsabile della protezione dei dati.

L’aspetto su cui vorremmo fermarci è quello della valorizzazione della figura del DPO. Attualmente risulta tra le professioni “non regolamentate” da albi veri e propri, ma molti enti di certificazioni e realtà private, avendone percepito l’importanza, si sono mossi per creare degli schemi di certificazione proprietari per attestare le qualifiche dei professionisti. E’ quindi possibile e consigliabile ricercare consulenti che possano assumere l’incarico dimostrando di aver superato selezioni ed esami qualificanti.

I professionisti di Mondo Privacy delegati ad assumere l’incarico DPO sono tutti certificati TUV o CSQA.