Questo sito utilizza cookie anche di terze parti tecnici, di profilazione e di marketing, per inviarti pubblicità e servizi in linea con le tue preferenze. Per saperne di più Cookie Policy. Per visionare l'informativa completa relativa al trattamento dei dati CLICCA QUI Per Continuare la navigazione devi acconsentire all'utilizzo dei cookie.
Il Dpo (Data Protection Officier)
foto
L´entrata in vigore del GDPR (Regolamento Europeo 2016/679 in ambito privacy) ha determinato fra le altre cose l´ingresso in scena in Italia e il consolidamento in alcune altre nazioni europee della figura del Dpo o Responsabile della protezione dei dati.
Come riporta l´articolo 39 del GDPR il responsabile alla protezione dei dati è incaricato almeno dei seguenti compiti:
a) informare e fornire consulenza al titolare del trattamento o al responsabile del trattamento nonché ai dipendenti che eseguono il trattamento in merito agli obblighi derivanti dal presente regolamento nonché da altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati;
b) sorvegliare l’osservanza del presente regolamento, di altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati nonché delle politiche del titolare del trattamento o del responsabile del trattamento in materia di protezione dei dati personali, compresi l’attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo;
c) fornire, se richiesto, un parere in merito alla valutazione d’impatto sulla protezione dei dati e sorvegliarne lo svolgimento ai sensi dell’articolo 35;
d) cooperare con l’autorità di controllo; e
e) fungere da punto di contatto per l’autorità di controllo per questioni connesse al trattamento, tra cui la consultazione preventiva di cui all’articolo 36, ed effettuare, se del caso, consultazioni relativamente a qualunque altra questione.

La nomina del Dpo viene formalizzata tramite un contratto di servizi tra le parti e successiva comunicazione al Garante della Privacy servendosi della procedura online presente nel sito web al seguente link:
https://servizi.gpdp.it/comunicazione-rpd/compilaModulo
Al completamento della procedura il titolare e il dpo riceveranno una mail di conferma che attesterà il buon esito della nomina.
Come riportato dall´articolo 37 $ 6 del GDPR colui che svolgerà il ruolo da Dpo può essere sia un soggetto interno all´azienda o all´Ente (dipendente) o un soggetto esterno l´importante è che come dice l´art. 37 $ 5 possegga una conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati, oltre alle capacità di assolvere i diversi compiti come specificato nell´art. 39 sopra descritti.
Attualmente non esiste nessun titolo o attestazione che caratterizza questa figura. Nella designazione è comunque obbligatoria oltre alla verifica delle reali competenze del soggetto candidato ma soprattutto la posizione di indipendenza in relazione al ruolo da dpo. Non è possibile incaricare e nominare come DPO dei soggetti che occupano una posizione attiva rispetto al trattamento dei dati (es. amministratori di sistema, etc.).
E´ consigliato rivolgersi a un consulente/esperto in materia di privacy in modo tale da non commettere degli errori o delle irregolarità che potrebbero essere punite con rilevanti sanzioni come descritto dall´articolo 83 $ 4 lettera (a) con ammende fino a 10 000 000 EUR o per le imprese fino al 2 % del fatturato mondiale totale annuo dell’esercizio precedente.
Come riportato dall´art 37 del GDPR la nomina del dpo è obbligatoria ogniqualvolta:

a) il trattamento è effettuato da un’autorità pubblica o da un organismo pubblico, eccettuate le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali;
b) le attività principali del titolare del trattamento o del responsabile del trattamento consistono in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala; oppure
c) le attività principali del titolare del trattamento o del responsabile del trattamento consistono nel trattamento, su larga scala, di categorie particolari di dati personali di cui all’articolo 9 o di dati relativi a condanne penali e a reati di cui all’articolo 10.
In relazione della nomina del DPO il Garante della privacy ha voluto inoltre specificare nelle Faq sul Responsabile della Protezione dei Dati (RPD)
in ambito privato (https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/8036793 )


3. Chi sono i soggetti privati obbligati alla sua designazione?
Sono tenuti alla designazione del responsabile della protezione dei dati personali il titolare e il responsabile del trattamento che rientrino nei casi previsti dall´art. 37, par. 1, lett. b) e c), del Regolamento (UE) 2016/679. Si tratta di soggetti le cui principali attività (in primis, le attività c.d. di "core business") consistono in trattamenti che richiedono il monitoraggio regolare e sistematico degli interessati su larga scala o in trattamenti su larga scala di categorie particolari di dati personali o di dati relative a condanne penali e a reati (per quanto attiene alle nozioni di "monitoraggio regolare e sistematico" e di "larga scala", v. le "Linee guida sui responsabili della protezione dei dati" del 5 aprile 2017, WP 243). Il diritto dell´Unione o degli Stati membri può prevedere ulteriori casi di designazione obbligatoria del responsabile della protezione dei dati (art. 37, par. 4).
Ricorrendo i suddetti presupposti, sono tenuti alla nomina, a titolo esemplificativo e non esaustivo: istituti di credito; imprese assicurative; sistemi di informazione creditizia; società finanziarie; società di informazioni commerciali; società di revisione contabile; società di recupero crediti; istituti di vigilanza; partiti e movimenti politici; sindacati; caf e patronati; società operanti nel settore delle "utilities" (telecomunicazioni, distribuzione di energia elettrica o gas); imprese di somministrazione di lavoro e ricerca del personale; società operanti nel settore della cura della salute, della prevenzione/diagnostica sanitaria quali ospedali privati, terme, laboratori di analisi mediche e centri di riabilitazione; società di call center; società che forniscono servizi informatici; società che erogano servizi televisivi a pagamento.
4. Chi sono i soggetti per i quali non è obbligatoria la designazione del responsabile della protezione dei dati personali?
Nei casi diversi da quelli previsti dall´art. 37, par. 1, lett. b) e c), del Regolamento (UE) 2016/679, la designazione del responsabile della Protezione dei Dati non è obbligatoria (ad esempio, in relazione a trattamenti effettuati da liberi professionisti operanti in forma individuale; agenti, rappresentanti e mediatori operanti non su larga scala; imprese individuali o familiari; piccole e medie imprese, con riferimento ai trattamenti dei dati personali connessi alla gestione corrente dei rapporti con fornitori e dipendenti: v. anche considerando 97 del Regolamento, in relazione alla definizione di attività "accessoria").
In ogni caso, resta comunque  raccomandata, anche alla luce del principio di "accountability" che permea il Regolamento, la designazione di tale figura (v., in proposito, le menzionate linee guida), i cui criteri di nomina, in tale evenienza, rimangono gli stessi sopra indicati.
 

 

Nota Bene: Le notizie presenti nel sito hanno carattere e finalità puramente informative. La Sardiniaportal Srl, o chi per lei, non fornisce alcuna garanzia o assicurazione in merito e non è pertanto da considerarsi responsabile per situazioni particolari legate alle indicazioni progettuali e alle offerte proposte dalle attività promotrici.