Cos’è un DPO?
Il DPO o in italiano RDP è una figura che è stata introdotta con il GDPR, nel 2016, che ha il compito di tutelare e proteggere i dati personali all’interno dell’azienda.
Questa figura, nonostante sia stata introdotta solo nel 2016, in realtà in molti paesi dell’unione europea era già presente. Il DPO può essere sia interno che esterno all’azienda (come nel mio caso), e deve avere delle competenze specifiche per svolgere tale ruolo.
Tra queste competenze specifiche troviamo sicuramente quelle giuridiche, quelle di analisi e quelle informatiche.
Quali sono i compiti che svolge il DPO?
I compiti che il DPO come riporta il GDPR sono:
– Informare e fornire consulenza al titolare del trattamento o al responsabile del trattamento nonché ai dipendenti che eseguono il trattamento in merito agli obblighi derivanti dal presente regolamento nonché da altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati;
– Sorvegliare l’osservanza del presente regolamento, di altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati nonché delle politiche del titolare del trattamento o del responsabile del trattamento in materia di protezione dei dati personali, compresi l’attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo;
– Fornire, se richiesto, un parere in merito alla valutazione d’impatto sulla protezione dei dati e sorvegliarne lo svolgimento;
– Cooperare con l’autorità di controllo;
– Fungere da punto di contatto per l’autorità di controllo per questioni connesse al trattamento, tra cui la consultazione preventiva di cui all’articolo 36, ed effettuare, se del caso, consultazioni relativamente a qualunque altra questione;
Infine nell’eseguire i propri compiti il DPO considera debitamente i rischi inerenti al trattamento, tenuto conto della natura, dell’ambito di applicazione, del contesto e delle finalità del medesimo.
Quando la designazione DPO è obbligatoria?
L’obbligo di designazione del DPO ad oggi, viene interpretato in diversi modi, pertanto su questo punto il dibattito è ancora aperto.
Seguendo però il testo del GDPR possiamo dire che il titolare del trattamento e il responsabile del trattamento designano sistematicamente un responsabile della protezione dei dati, DPO ogni qualvolta:
a) il trattamento è effettuato da un’autorità pubblica o da un organismo pubblico, eccettuate le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali;
b) le attività principali del titolare del trattamento o del responsabile del trattamento consistono in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala;
c) le attività principali del titolare del trattamento o del responsabile del trattamento consistono nel trattamento, su larga scala, di categorie particolari di dati personali di cui all’articolo 9 o di dati relativi a condanne penali e a reati di cui all’articolo 10.