Il Data Protection Officer: obbligatorietà, compiti e requisiti

studio legale privacy

A poco meno di 3 mesi dall’entrata in vigore del Regolamento Europeo sulla Privacy (GDPR), ancora molte aziende e pubbliche amministrazioni sono impreparate nell’inquadrare all’interno della propria struttura la figura del Data Protection Officer.

La divisione di Privacy compliance dello Studio legale LA&P aiuta a riepilogare alcuni punti fondamentali inerenti l’obbligatorietà, i compiti ed i requisiti che deve possedere il DPO.

Obbligo di nomina

Secondo quanto disposto dal GDPR il DPO dovrà essere obbligatoriamente nominato da tutte le pubbliche amministrazioni ed enti pubblici, eccetto le autorità giudiziarie. L’obbligo, inoltre, riguarderà anche tutti i soggetti (enti e imprese), che trattano dati sensibili su larga scala nello svolgimento delle loro attività, quali dati relativi alla salute o alla vita sessuale, genetici, giudiziari e biometrici, ovvero che svolgono attività in cui i trattamenti richiedono il controllo regolare e sistematico degli interessati. Gruppi di imprese o soggetti pubblici possono nominare un unico Responsabile della protezione dei dati. Le imprese, che, invece, non rientrano nelle categorie di obbligatorietà, potranno comunque decidere di dotarsi di un DPO: ciò, ovviamente, verrà valutato positivamente dall’Autorità in caso di accertamenti.

Compiti e funzioni del DPO

Compito principale del DPO, in qualità di collettore tra società ed Autorità garante della Privacy, sarà quello di informare e consigliare il titolare o il responsabile del trattamento, nonché i dipendenti, in merito agli obblighi derivanti dal GDPR e dalle altre disposizioni dell’UE, nonché dalle normative locali degli Stati membri relative alla protezione dei dati e dai provvedimenti dell’Autorità Garante. Dovrà, inoltre, verificare che la normativa vigente e le policy interne del titolare siano correttamente attuate ed applicate, incluse le attribuzioni delle responsabilità, la sensibilizzazione e la formazione del personale, ed i relativi audit. Svolgerà altresì attività di pareristica in merito alla valutazione d’impatto sulla protezione dei dati, sorvegliandone poi i relativi adempimenti. Al DPO possono essere conferiti ulteriori compiti e funzioni, salvo che non diano adito a un conflitto di interessi e che questi gli consentano di avere a disposizione il tempo sufficiente per l’espletamento dei compiti attribuiti dall’art. 39 del GDPR.

Requisiti

I titolari del trattamento devono designare come “data protection officer” un professionista che possiede una conoscenza specialistica della normativa e delle prassi di gestione dei dati personali, che sia in grado di adempiere alle proprie funzioni in piena indipendenza e in assenza di conflitti di interesse, operando come dipendente (DPO interno), oppure anche sulla base di un contratto di servizi (DPO esterno). E’ richiesto inoltre che il titolare metta a disposizione del DPO le risorse umane e finanziarie necessarie all’adempimento dei suoi compiti.

Si ricordi che, attualmente, non esistono titoli abilitanti o attestati formali che determinano l’idoneità o meno di un DPO. Ciò nonostante, eventuali certificazioni delle competenze professionali rilasciate da enti indipendenti di terza parte costituiscono un valido strumento ai fini della verifica del possesso di un livello di conoscenza della disciplina. Tali certificazioni sono sempre volontarie, e non sono mai obbligatorie per svolgere il ruolo di Data Protection Officer, sia che siano basate su schemi proprietari che su norme tecniche pubbliche.

Calendar
dicembre: 2018
L M M G V S D
« Giu    
 12
3456789
10111213141516
17181920212223
24252627282930
31  
Social