Data protection officer

Pubblicato da Gio Lan il

-La videosintesi-

-Il commento testuale-

Il Data Protection Officer (DPO)

 

Uno degli aspetti più dibattuti del Nuovo Regolamento à senz’altro la figura del DPO, ovvero del “responsabile della protezione dati”, da non confondere con il “responsabile del trattamento”.

 

Il DPO è un professionista (o un team di professionisti), nelle intenzioni del legislatore, destinato a favorire una corretta attuazione del Regolamento da parte del titolare e del responsabile. E’, infatti, chiamato a svolgere funzioni di supporto al titolare ed al responsabile, assicurando il rispetto del Regolamento e fungendo da punto di contatto per gli interessati e per l’autorità di controllo.

 

Il DPO deve essere tempestivamente e adeguatamente coinvolto in tutte le questioni inerenti la protezione dei dati personali, nonché sostenuto nell’esecuzione dei suoi compiti dal titolare e dal responsabile del trattamento, i quali gli devono fornire tutte risorse adeguate per poter svolgere il proprio lavoro.

 

La designazione di un DPO in alcuni casi è obbligatoria. In particolare, nel settore privato, tale obbligo sussiste allorché le attività principali di titolare o responsabile comportino un monitoraggio regolare e sistematico degli interessati su larga scala o un trattamento relativo a particolari categorie di dati, condotto su larga scala.

 

Al fine di poter chiarire cosa si intenda per “attività principale” di titolare o responsabile, cosa si intenda per “trattamenti su larga scala” e cosa per “monitoraggio regolare o sistematico”, molto utili sono gli spunti interpretativi contenuti nelle linee guida pubblicate dall’Article 29 Working Party. Spunti che non esimono, tuttavia, titolare e responsabile da una severa valutazione dei trattamenti, da condurre caso per caso, proprio al fine di accertare se la nomina di un DPO possa reputarsi una misura organizzativa necessaria per la propria organizzazione, in considerazione del livello di rischio che determinati trattamenti possono comportare.

 

Nell’ambito di gruppi di imprese, potrà essere nominato anche un solo DPO, a condizione che quest’ultimo sia “facilmente raggiungibile da ciascuno stabilimento” e possa, quindi, rappresentare un valido punto di contatto per gli interessati, le autorità di controllo ed i dipendenti del gruppo.

 

Il DPO potrà essere un lavoratore dipendente o anche un soggetto esterno, incaricato sulla base di un contratto di servizi. Il Regolamento tratteggia anche le caratteristiche soggettive e oggettive che questa figura deve garantire, tra le quali spiccano l’indipendenza (e, quindi, l’assenza di conflitti di interesse) e la competenza, da misurare anche in materia di protezione dei dati personali.

 

Anche per i casi in cui il Regolamento non impone in modo specifico la designazione di un DPO, la nomina potrà comunque avvenire su base volontaria. Scelta che in molti casi, in special modo per organizzazioni complesse, è certamente consigliabile.

Categorie: GDPR

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *