(Fonte: Ipsoa) – Il GDPR introduce la figura del Data Protection Officer o “responsabile per la protezione dei dati”, una sorta di arbitro della privacy in azienda. Il DPO deve, infatti, sorvegliare sulla corretta applicazione del Regolamento europeo e per tale motivo possedere una conoscenza specialistica della normativa e della prassi in materia di protezione dei dati. Quali sono i suoi compiti? Chi è tenuto a nominarlo?
E’ una delle novità più importanti del GDPR. Il Data Protection Officer o “responsabile per la protezione dei dati” ha principalmente il compito di sorvegliare sull’osservanza del GDPR, valutando i rischi di ogni trattamento alla luce della natura, dell’ambito di applicazione, del contesto e delle finalità
Importante anche il suo ruolo di “facilitatore” in azienda: un punto di contatto per facilitare l’accesso, da parte dell’autorità di controllo, ai documenti e alle informazioni necessarie per l’adempimento dei compiti attribuiti.
Il DPO deve essere obbligatoriamente nominato dal titolare e dal responsabile del trattamento in alcuni casi specifici. Al di furi di tali ipotesi è prevista la possibilità di nominare il DPO volontariamente.
Può essere nominato un unico DPO:
– da un gruppo imprenditoriale a condizione che il responsabile della protezione dei dati sia facilmente raggiungibile da ciascuno stabilimento
– per più autorità pubbliche o organismi pubblici, tenuto conto della loro struttura organizzativa e dimensione.
Il DPO può essere sia un dipendente del titolare del trattamento o del responsabile del trattamento oppure può assolvere i suoi compiti in base ad un contratto di servizi; deve essere dotato di ampia autonomia ed indipendenza nell’espletamento dei suoi compiti ed i suoi dati di contatto vanno comunicati all’autorità di controllo.
Cosa cambia | Prima | Dopo |
Fino al 24 maggio 2018 | Dal 25 maggio 2018 | |
Definizione | E’ una nuova figura che va nominata dal titolare del trattamento e dal responsabile del trattamento | |
Quando va nominato | – Il trattamento è effettuato da un’autorità pubblica o da un organismo pubblico, eccettuate le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali | |
– Le attività principali del titolare del trattamento o del responsabile del trattamento consistono in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala | ||
– Le attività principali del titolare del trattamento o del responsabile del trattamento consistono nel trattamento, su larga scala, di categorie particolari di dati personaliche rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, nonché trattare dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona o di dati relativi a condanne penali e a reati | ||
Competenze | Il responsabile della protezione dei dati è designato in funzione delle qualità professionali, in particolare della conoscenza specialistica della normativa e della prassi in materia di protezione dei dati, e della capacità di assolvere i compiti a lui assegnati | |
Compiti | Il DPO deve: | |
– informare e fornire consulenza al titolare del trattamento o al responsabile del trattamento nonché ai dipendenti che eseguono il trattamento in merito agli obblighi derivanti dal regolamento nonché da altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati | ||
– sorvegliare l’osservanza del regolamento, di altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati, nonché delle politiche del titolare del trattamento o del responsabile del trattamento in materia di protezione dei dati personali, compresi l’attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo | ||
– fornire, se richiesto, un parere in merito alla valutazione d’impatto sulla protezione dei dati e sorvegliarne lo svolgimento | ||
– cooperare con l’autorità di controllo | ||
– fungere da punto di contatto per l’autorità di controllo per questioni connesse al trattamento, tra cui la consultazione preventiva, ed effettuare, se del caso, consultazioni relativamente a qualunque altra questione. | ||
Risorse per l’esecuzione dei compiti | – | Il titolare del trattamento e il responsabile del trattamento devono sostenere il responsabile della protezione dei dati nell’esecuzione dei suoi compiti, fornendogli le risorse necessarie per assolverli e accedere ai dati personali e ai trattamenti e per mantenere la propria conoscenza specialistica. |
Conflitto di interessi | – | Il DPO può svolgere anche altri compiti e funzioni ma è necessario che tali compiti e funzioni non diano adito a un conflitto di interessi. |