DPO

Il titolare del trattamento e il responsabile del trattamento sono obbligati a designare un responsabile per la protezione dei dati (Data Protection OfficerDPO) quando:

  • sono soggetti pubblici che effettuano trattamento di dati personali;

  • sono soggetti che effettuano trattamenti che richiedono il monitoraggio regolare e sistematico degli interessati su larga scala;

  • sono soggetti che, per la loro attività principale, effettuano trattamenti di categorie particolari di dati personali (p.e. dati riguardanti la salute) o di dati riguardanti condanne penali o reati.

La designazione del DPO deve avvenire tramite apposito atto o contratto, deve essere comunicata al Garante per la Protezione dei Dati Personali e deve essere resa pubblica.

Il DPO è un professionista che deve garantire l’applicazione del GDPR. Deve, quindi, agire in assoluta indipendenza dal titolare o dal responsabile del trattamento che, tra l’altro, devono fornirgli le opportune risorse (umane e materiali) per poter assolvere i compiti che la norma gli assegna.

Le caratteristiche professionali del DPO devono comprendere una solida competenza sull’analisi dei rischi, una buona conoscenza giuridica (GDPR, documentazione del Garante per la Protezione dei Dati Personali, documentazione del gruppo europeo dei garanti, ecc.) ed un’ampia capacità di analizzare l’organizzazione dei sistemi informativi.

Il DPO svolge un duplice ruolo:

  • consulenziale, a supporto del titolare o del responsabile; deve, infatti, essere coinvolto in tutte le questioni riguardanti la protezione dei dati personali;

  • di garanzia, nei confronti degli interessati e nei confronti del Garante per la Protezione dei Dati Personali.

Il DPO può essere nominato anche fra i dipendenti di una organizzazione. Tuttavia, non deve svolgere attività in conflitto di interessi con il proprio ruolo. In particolare, non deve avere alcun ruolo decisionale o operativo rispetto al trattamento dei dati personali; quindi non può essere tra le persone che il titolare ha designato come responsabili per il trattamento dei dati personali.

La violazione dell’obbligo di nomina del DPO è tra quelle che prevede sanzioni fino a 10.000.000 di euro.

Lo schema di certificazione per DPO dell’Autorità Garante dei Dati Personali spagnola

Condividi