Il Regolamento UE 679/16 richiede la nomina del DPO ovvero del “Responsabile della Protezione dei Dati” (in ITALIANO RPD); tale nomina è OBBLIGATORIA per gli enti pubblici come ad esempio le Scuole, i Comuni . . . nonché:
- per tutti i soggetti che trattino categorie particolari di dati
- o in alternativa effettuino un monitoraggio regolare e sistematico su larga scala delle persone fisiche.
Al DPO viene quindi richiesta un’approfondita conoscenza della normativa vigente, così come delle procedure di gestione dei dati personali.
Ulteriori competenze specialistiche vanno richieste anche in funzione dei trattamenti di dati effettuati dal titolare o dal responsabile del trattamento e delle misure di protezione imposte.
L’art. 39 del GDPR prevede che il DPO svolga una funzione di sorveglianza, volta ad assistere il titolare e il responsabile del trattamento nel controllo del rispetto della normativa sulla “privacy” ovvero del regolamento medesimo.
Per fare ciò, il DPO si occupa di raccogliere tutte le informazioni necessarie e utili a individuare i trattamenti svolti, e ad analizzare e verificare i trattamenti in termini di conformità, svolgendo al contempo attività di informazione e consulenza nei confronti del titolare del trattamento in merito agli obblighi derivanti dalla normativa vigente in materia di protezione dei dati personali.
Su richiesta, il DPO fornisce inoltre al titolare del trattamento un supporto e un parere legato alla valutazione d’impatto sulla protezione dei dati e, qualora necessario, ha la facoltà di monitorarne lo svolgimento.
il DPO deve anche fungere da punto di contatto con l’Autorità Garante e con i soggetti preposti dalla stessa per funzioni legate al trattamento; coopera con le autorità di controllo, apportando in tal modo notevoli benefici all’organizzazione.
Tale azione promossa dal DPO permette infatti di assecondare l’obbligo di collaborazione imposto dall’art. 31 GDPR, agevolando in tal modo l’accesso ai documenti e alle informazioni necessarie all’espletamento dei poteri correttivi, autorizzativi e consultivi.
Appare altresì fondamentale che il titolare del trattamento si assicuri di coinvolgere in maniera adeguata e tempestiva il DPO in tutte le questioni riguardanti la protezione dei dati personali, fornendogli le risorse umane, tecnologiche e finanziarie utili e imprescindibili per l’adempimento delle proprie mansioni.
Viene da sé che, quanto più complessi o sensibili risultino i trattamenti effettuati dall’organizzazione, tanto maggiori dovranno essere le risorse messe a disposizione del Data Protection Officer.
Esattamente come il consulente, anche il responsabile della protezione dei dati è un professionista della privacy: la differenza risiede nei compiti e nelle relative funzioni, in quanto il consulente supporta il titolare del trattamento nell’implementazione di tutta la documentazione e gli adempimenti, mentre il DPO svolge un ruolo di controllo sulla conformità del materiale prodotto.
Il DPO ha quindi un vero e proprio compito di sorveglianza, dovendo garantire l’osservanza del GDPR all’interno dell’organizzazione per cui lavora.
Inoltre, il responsabile della protezione dei dati gode della massima autonomia e, a differenza del consulente privacy, non riceve alcuna istruzione per quanto riguarda l’esecuzione dei propri compiti.