I Compiti del DPO (Data Protection Officer):
Come previsto dal Regolamento Ue sulla protezione dei dati personali, il DPO deve essere una figura di alto livello professionale, deve essere coinvolto in tutte le questioni riguardanti la protezione dei dati personali garantendone l’attuazione in piena autonomia.
Tra le maggiori novità del Regolamento Europeo sulla protezione dei dati personali n. 2016/679 rientra sicuramente la previsione del Data Protection Officer (DPO) o responsabile della protezione dei dati.
Viene designato sistematicamente dal titolare e dal responsabile del trattamento in tre occasioni:
- quando il trattamento è effettuato da un’autorità pubblica o da un organismo pubblico (ad eccetto delle autorità giurisdizionali nell’esercizio delle loro funzioni);
- quando i trattamenti consistono e richiedono il monitoraggio regolare e sistematico degli interessati su larga scala;
- quando il trattamento riguarda, su larga scala, dati sensibili o relativi a condanne penali e reati.
In tutti gli altri casi è facoltà dei titolari e responsabili del trattamento, nonché di loro associazioni o altri organismi che li rappresentano, designare il responsabile della protezione dati che può agire per dette associazioni e organismi.
Il DPO viene selezionato e scelto in base alle sue qualità professionali e in particolar modo il titolare e il responsabile del trattamento devono considerare la preparazione del DPO in ambito di trattamento dati, sia sul piano teorico che su quello pratico. Tale figura può essere selezionata tra i dipendenti del titolare del trattamento oppure può essere un libero professionista, esterno e autonomo, ingaggiato in base a un contratto di servizi.
In ogni caso, i dati di contatto del DPO devono essere pubblicati e resi noti agli interessati oltre ad essere comunicati all’autorità di controllo competente.
Il DPO deve essere tempestivamente e adeguatamente coinvolto in tutte le questioni inerenti la protezione dei dati nonché sostenuto nell’esecuzione dei suoi compiti dal titolare e dal responsabile del trattamento che gli devono fornire tutte le risorse necessarie sia per svolgere il suo lavoro, sia per permettergli di mantenere aggiornata la sua conoscenza specialistica. In qualunque caso il lavoro del DPO deve svolgersi in assoluta autonomia e indipendenza: nessuno può dargli alcuna istruzione circa l’esecuzione dei suoi compiti e il responsabile della protezione dati non può svolgere altre mansioni o compiti in conflitto di interessi con quelle proprie del DPO, essendo tenuto in ogni caso al segreto e alla riservatezza in ordine alle sue funzioni di responsabile della protezione.
L’articolo 39 del Regolamento specifica poi nel dettaglio quali sono i compiti del DPO:
– informare e fornire consulenza al titolare e al responsabile del trattamento in merito agli obblighi derivanti dal Regolamento 679/2016 o dalle altre disposizioni legislative interne o europee in materia di protezione dati;
– sorvegliare l’osservanza del Regolamento da parte del titolare e del responsabile del trattamento in tutte le sue parti, compresi l’attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa al trattamento;
– fornire su richiesta pareri in merito alla valutazione d’impatto e sorvegliarne lo svolgimento;
– cooperare con l’autorità di controllo fungendo, tra le altre cose, da punto di contatto per questioni connesse al trattamento effettuando consultazioni di ogni tipo, con particolare riguardo e attenzione ad un’eventuale attività di consultazione preventiva.
Qualora, poi, il titolare del trattamento o il responsabile del trattamento sia un’autorità pubblica o un organismo pubblico, un unico responsabile della protezione dei dati può essere designato per più autorità pubbliche o organismi pubblici, tenuto conto della loro struttura organizzativa e dimensione.
Infine è un diritto degli interessati contattare il responsabile della protezione dei dati per tutte le questioni relative al trattamento dei loro dati.
