Verso il GDPR Privacy: il ruolo del Data Protection Officer nelle aziende private

767 Views

L’individuazione della figura del DPO è una delle novità più importanti del nuovo regolamento europeo sulla privacy. Ecco un breve vademecum di Conflavoro PMI in merito.

In vista della piena applicazione del General Data Protection Regulation, che scatterà venerdì 25 maggio 2018, Conflavoro PMI dedica un focus alle principali novità del regolamento europeo. Il quale, come vedremo, rivoluzionerà il quotidiano non solo delle grandi compagnie, ma anche e soprattutto – visti i diversi mezzi a disposizione – quello delle piccole imprese.

Chi è il DPO?

In italiano è conosciuto come il responsabile della protezione dei dati personali. La sua figura, designata dal titolare o responsabile del trattamento, è prevista dall’art. 37 del Regolamento 2016/679 UE. Come si evince dalla titolatura del ruolo, il DPO costituisce il punto di contatto con l’Autorità garante della privacy per le questioni connesse al trattamento dei dati personali dei soggetti. Assolve, pertanto, a funzioni di supporto e consultive, di controllo e informative circa l’applicazione del GDPR.

Quando è obbligatorio designare il DPO?

Questa figura è designata (art. 31, par. 1) in presenza di determinate ipotesi. Vediamo quali.

 Il trattamento è effettuato da un’autorità pubblica.
 Le attività principali del titolare del trattamento o del responsabile consistono in trattamenti che per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala.
 Le attività principali del titolare del trattamento o del responsabile consistono nel trattamento, su larga scala, di categorie particolari di dati personali (art. 9) o di dati relativi a condanne penali e a reati (art. 10). Al di fuori di questi casi, il titolare o il responsabile del trattamento possono comunque designare un responsabile della protezione dei dati (art. 37, par. 4).

I principali compiti del DPO

Il nuovo regolamento europeo sulla privacy prevede che il DPO sia responsabile di numerosi compiti (art. 39). Vediamo i principali.

 Informare e fornire consulenza al titolare del trattamento o al responsabile del trattamento, nonché ai dipendenti che eseguono il trattamento in merito agli obblighi derivanti dal presente regolamento, nonché da altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati.
 Sorvegliare l’osservanza del presente regolamento, di altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati nonché delle politiche del titolare del trattamento o del responsabile del trattamento in materia di protezione dei dati personali, compresi l’attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo.
 Fornire, se richiesto, un parere in merito alla valutazione d’impatto sulla protezione dei dati e sorvegliarne lo svolgimento ai sensi dell’articolo 35.
 Cooperare con l’autorità di controllo.
 Fungere da punto di contatto per l’autorità di controllo per questioni connesse al trattamento, tra cui la consultazione preventiva di cui all’articolo 36, ed effettuare, se del caso, consultazioni relativamente a qualunque altra questione.

La raccomandazione del Garante

Fermo restando i casi in cui la designazione del DPO è obbligatoria, il GDPR ne permette comunque la designazione discrezionale nelle ipotesi in cui non sia prevista esplicitamente la sua figura. Il Garante della privacy, a tal proposito, raccomanda il DPO a tutte quante le imprese. Non solo alle grandi, dunque, ma anche alle imprese individuali o familiari, nonché alle piccole o medie imprese. Ritiene la designazione del DPO, in sostanza, sempre conveniente per le aziende, indipendentemente dal coefficiente di pericolosità del trattamento e della relativa protezione.