Nomina DPO
Che cosa si intende per DPO
Il Data Protection Officer (DPO), o anche Responsabile per la Protezione dei Dati (RPD), è una figura introdotta dal nuovo regolamento europeo in materia di protezione di dati personali.
Il DPO è un consulente esperto, che va ad affiancare il titolare nella gestione delle problematiche del trattamento dei dati personali, garantendo, anche in considerazione della crescente importanza e complessità del settore, che un soggetto qualificato si occupi in maniera della materia, aggiornandosi sui rischi e le misure di sicurezza.
Il ruolo di DPO può essere affidato ad uno dei dipendenti dell’azienda oppure essere esternalizzato a un fornitore di servizi (libero professionista o azienda) tramite apposito contratto.
Chi deve designare il DPO
Anzitutto è importante premettere che NON tutte le imprese svolgono attività tali da richiedere la designazione di un responsabile della protezione dei dati.
Occorre infatti valutare nel caso concreto la tipologia e la quantità di dati trattati, la quale può rendere consigliabile la nomina di un DPO. Magari l’azienda è piccola ma si occupa di marketing, oppure è un call center, o ancora è un negozio che raccoglie informazioni sui clienti ai fini del rilascio di tessere di fedeltà o speciali scontistiche. In tal caso è opportuno per il titolare farsi assistere da un esperto.
È preferibile che sia un soggetto esterno all’azienda, dal momento che il rapporto di lavoro subordinato non si concilia sempre con l’indipendenza che questa figura deve mantenere, specialmente nelle realtà più piccole, dove non è pensabile destinare una risorsa integralmente alla gestione dei dati personali.
Quali sono i compiti del DPO
– sorvegliare l’osservanza del regolamento, valutando i rischi di ogni trattamento alla luce della natura, dell’ambito di applicazione, del contesto e delle finalità;
– collaborare con il titolare / responsabile, laddove necessario, nel condurre una valutazione di impatto sulla protezione dei dati (DPIA);
– informare e consigliare il titolare o il responsabile del trattamento, nonché i dipendenti, sugli obblighi previsti dalle norme in materia e quindi verificarne l’attuazione e l’applicazione;
– raccogliere informazioni sui trattamenti svolti, e verificarne la conformità alle norme;
– cooperare con il Garante e fungere da punto di contatto per i Garante su ogni questione connessa al trattamento;
– supportare il titolare o il responsabile in ogni attività connessa al trattamento dei dati personali, anche con riguardo alla tenuta di un registro delle attività di trattamento.
È bene chiarire tuttavia che il DPO non è personalmente responsabile dell’inosservanza degli obblighi in materia di protezione dei dati personali, infatti è compito del titolare (art. 24) mettere in atto le misure tecniche ed organizzative adeguate. Il DPO risponde solo per lo svolgimento dei suoi obblighi di consulenza ed assistenza nei confronti del titolare, che è (eventualmente in solido col responsabile) l’unico soggetto responsabile del rispetto della normativa.