DPO
(Responsabile della protezione dei dati)
In base all’art. 37 .1 del Regolamento UE 2016/679 sono obbligati a designare sistematicamente un DPO:
- le pubbliche amministrazioni e gli enti pubblici, ad eccezione delle autorità giudiziarie;
- tutti i soggetti Titolari del trattamento o il Responsabile del trattamento la cui attività principale consiste in trattamenti che per la loro natura, ambito di applicazione e/o finalità richiedono il monitoraggio regolare e sistematico degli interessati su larga scala;
- tutti i soggetti Titolari del trattamento o il Responsabile del trattamento la cui attività principale consiste nel trattamento, su larga scala, di categorie particolari di dati personali di cui all’art. 9 (che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche o l’appartenenza sindacale, dati genetici, dati biometrici, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona) o di dati relativi a condanne penali e a reati di cui all’ art.10.
L’Autorità Garante ha già fornito delle linee guida per interpretare questi concetti ma in determinati casi sarà difficile avere l’assoluta certezza sulla obbligatorietà o meno di designare un DPO.
A meno che non risulti evidente che un soggetto non è tenuto a nominare un Data Protection Officer è consigliabile effettuare una valutazione con l’aiuto di professionisti qualificati. Nel caso invece in cui si decida di non nominarlo è opportuno documentare per iscritto le argomentazioni a sostegno di questa decisione per evitare contestazioni da parte del Garante.
art. 37 – Designazione del Responsabile della protezione dei dati:
5. Il Responsabile della protezione dei dati è designato in funzione delle qualità professionali, in particolare della conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati, e della capacità di assolvere i compiti di cui all’articolo 39.
6. Il Responsabile della protezione dei dati può essere un dipendente del titolare del trattamento o del responsabile del trattamento oppure può essere esterno all’azienda e assolvere i suoi compiti in base a un contratto di servizi.
L’art. 39 del GDPR elenca i principali compiti del DPO:
a) informare e fornire consulenza al titolare del trattamento o al responsabile del trattamento nonché ai dipendenti che eseguono il trattamento in merito agli obblighi derivanti dal presente regolamento nonché da altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati;
b) sorvegliare l’osservanza del presente regolamento, di altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati nonché delle politiche del titolare del trattamento o del responsabile del trattamento in materia di protezione dei dati personali, compresi l’attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo;
c) fornire, se richiesto, un parere in merito alla valutazione d’impatto sulla protezione dei dati e sorvegliarne lo svolgimento ai sensi dell’articolo 35;
d) cooperare con l’autorità di controllo; e
e) fungere da punto di contatto per l’autorità di controllo per questioni connesse al trattamento, tra cui la consultazione preventiva di cui all’articolo 36, ed effettuare, se del caso, consultazioni relativamente a qualunque altra questione.
2. Nell’eseguire i propri compiti il responsabile della protezione dei dati considera debitamente i rischi inerenti al trattamento, tenuto conto della natura, dell’ambito di applicazione, del contesto e delle finalità del medesimo.