Chi è il Data Protection Officer?

Il Data Protection Officer è una figura introdotta dal Regolamento generale sulla protezione dei dati 2016/679 | GDPR, pubblicato sulla Gazzetta Ufficiale europea L. 119 il 4 maggio 2016.

Cosa deve fare il DPO?

Il DPO (in Italia RPD – Responsabile della Protezione della Dati), è un professionista che deve avere un ruolo aziendale (sia esso soggetto interno o esterno) con competenze giuridiche, informatiche, di risk management e di analisi dei processi. La sua responsabilità principale è quella di osservare, valutare e organizzare la gestione del trattamento di dati personali (e dunque la loro protezione) all’interno di un’azienda (sia essa pubblica che privata), affinché questi siano trattati nel rispetto delle normative privacy europee e nazionali.

Che requisiti deve avere un DPO?

I requisiti richiesti al DPO, nell’assunzione di questo ruolo di fondamentale importanza, sono sia di natura tecnica che giuridica: rientra infatti tra i compiti del DPO quello di informare e consigliare il titolare in merito agli obblighi derivanti dal Regolamento, ad esempio in materia di privacy by design e di misure di sicurezza.

L’art. 39 del Regolamento europeo sulla protezione dei dati personali elenca i principali compiti del DPO.

Incarichi del DPO

a) informare e fornire consulenza al titolare del trattamento o al responsabile del trattamento nonché ai dipendenti che eseguono il trattamento in merito agli obblighi derivanti dal presente regolamento nonché da altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati;

b) sorvegliare l’osservanza del presente regolamento, di altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati nonché delle politiche del titolare del trattamento o del responsabile del trattamento in materia di protezione dei dati personali, compresi l’attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo;

c) fornire, se richiesto, un parere in merito alla valutazione d’impatto sulla protezione dei dati e sorvegliarne lo svolgimento ai sensi dell’articolo 35;

d) cooperare con l’autorità di controllo;

e) fungere da punto di contatto per l’autorità di controllo per questioni connesse al trattamento, tra cui la consultazione preventiva di cui all’articolo 36, ed effettuare, se del caso, consultazioni relativamente a qualunque altra questione.”

Chi nomina il DPO?

Una delle domande più ricorrenti riguardo a questo tema è “chi nomina il DPO?” Il DPO deve essere nominato dal titolare o responsabile del trattamento. Sul punto tra l’altro è bene ricordare gli ultimi orientamenti della Corte di Cassazione a Sezioni unite, secondo cui l’organo in cui si esprime la volontà del titolare, in ragione del rapporto di immedesimazione organica con la persona giuridica che rappresenta è il CDA (cfr Cass. SSUU n. 1545/2017) e in relazione al soggetto che deve nominare il DPO anche lo stesso articolo 37 è chiaro nell’affermare che la nomina compete al titolare del trattamento.

È importante ricordare che la nomina del DPO non è un adempimento formale, il soggetto prescelto deve avere la qualità professionali imposte dall’art. 37 del

GDPR che fa particolare riferimento alla conoscenza specialistica che il DPO deve avere.

Meglio il DPO interno o il DPO esterno?

Anche in questo caso non esiste risposta univoca in grado di mettere tutti d’accordo, ciò che si avvicina più alla verità assoluta è la risposta “dipende dal contesto”. Esistono soprattutto 2 possibili incompatibilità e svantaggi di nominare un DPO interno all’azienda:

– Potrebbe subire intimidazioni;

– Rischia il conflitto di interessi;

– Impossibile nascondere i potenziali vantaggi di nominare un Data Protection

Officer interno:

– Conosce in maniera più approfondita le dinamiche e i problemi aziendali;

– Sempre presente fisicamente e aggiornato in merito all’azienda.

Nominare un DPO esterno invece regala alcuni benefici:

– Professionista che conosce in maniera approfondita la normativa;

– Ha esperienza sul campo e si forma in maniera autonoma;

– Il rapporto di lavoro può variare nel tempo e quindi potenzialmente è più economico;

– Possiede risorse e mezzi specifici.

SE NON SEI SICURO DEL PROCESSO DI NOMINA DI UN DPO O SE HAI BISOGNO DI MAGGIORI INFORMAZIONI

CONTATTACI SENZA IMPEGNO +39 02 54101458 OPPURE SCRIVICI A  contatti@ecoconsult.it

Ecoconsult, da oltre 25 anni si fa promotrice di valori come il rispetto per l’ambiente e la sostenibilità nelle aziende. Affidati a chi fa del suo meglio, per fare le cose al meglio.