Il DPO: compiti e funzioni del Responsabile della Protezione dei Dati (RPD)

Lascia un commento / Di /

Dopo aver esaminato l’importanza e le circostanze in cui è necessaria la nomina di un Data Protection Officer (DPO) nel nostro articolo precedente, è ora il momento di analizzare i compiti del DPO, disciplinati all’art. 39 del Regolamento sulla Protezione dei Dati Personali (GDPR).

Il ruolo del DPO

Il DPO funge da principale punto di contatto tra il Titolare/Responsabile del Trattamento dei dati e l’Autorità di controllo (Garante della Privacy) e ricopre molteplici funzioni di supporto relativamente all’applicazione del Regolamento Generale sulla Protezione dei Dati (RGPD). Per fare ciò, deve essere tempestivamente ed adeguatamente coinvolto in tutte le questioni riguardanti la protezione dei dati personali in modo da poter intervenire opportunamente sul campo.

I compiti del DPO

Gli incarichi assegnati al DPO, previsti dall’art. 39 del GDPR, possono essere suddivisi in macro-aree, quali consulenza, sorveglianza, pareristica, cooperazione e consultazione.

  1. Consulenza
    Al primo comma dell’art. 39 leggiamo che

    “Il responsabile della protezione dei dati è incaricato almeno dei seguenti compiti:

    • informare e fornire consulenza al titolare del trattamento o al responsabile del trattamento nonché ai dipendenti che eseguono il trattamento in merito agli obblighi derivanti dal presente regolamento nonché da altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati”;

    Il DPO affianca Titolare e Responsabile sull’applicazione del GDPR e li informa sugli obblighi da esso derivanti: assodato che il ruolo di DPO può essere ricoperto da una persona fisica o da una persona giuridica, come ad esempio una società di consulenza, la stessa potrà essere svolta da un gruppo di professionisti dalla formazione variegata (per approfondire questo punto rimandiamo all’articolo dedicato alla figura del DPO). L’RPD poi, in un’ottica di privacy by design e by default, potrà anche effettuare specifica formazione del personale in materia privacy, attraverso corsi e incontri di volta in volta concordati con Titolare e Responsabile.

  2. Sorveglianza
    Alla lettera b) del medesimo articolo leggiamo il secondo incarico oggetto dell’approfondimento di oggi:

    “sorvegliare l’osservanza del presente regolamento, di altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati nonché delle politiche del titolare del trattamento o del responsabile del trattamento in materia di protezione dei dati personali, compresi l’attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo”

    Sentiamo spesso parlare di audit: in tema di sorveglianza essi costituiscono uno strumento fondamentale per monitorare la scena di adeguamento privacy di Titolare e Responsabile del Trattamento: attraverso degli audit infatti (dove per audit possiamo intendere delle analisi di diverso tipo) il DPO potrà approfondire i vari trattamenti messi in opera ed evidenziarne criticità o riconoscere il rispetto delle misure.

  3. Pareristica
    Alla lettera c) la normativa ci presenta il terzo:

    “fornire, se richiesto, un parere in merito alla valutazione d’impatto sulla protezione dei dati e sorvegliarne lo svolgimento ai sensi dell’articolo 35”;

    Il DPO potrà fornire, su richiesta, pareristica non vincolante sull’applicazione del GDPR in merito alla DPIA (Data Protection Impact Assestment – Valutazioni d’Impatto della Protezione dei dati), se necessari; coopererà infine con l’Autorità Garante della Privacy per tutte le esigenze in entrata e in uscita e fungerà da mero punto di contatto in caso di una consultazione preventiva.

  4. Cooperazione e consultazioneAlla lettera d) ed e) gli ultimi due oggetto dell’approfondimento di oggi:
    • d) “cooperare con l’autorità di controllo”;
    • e) ”fungere da punto di contatto per l’autorità di controllo per questioni connesse al trattamento, tra cui la consultazione preventiva di cui all’articolo 36, ed effettuare, se del caso, consultazioni relativamente a qualunque altra questione.”

    Nondimeno, ad ogni eventuale data breach il DPO dovrà essere consultato di modo da poter agire tempestivamente ed affiancare passo per passo Titolare e Responsabile del Trattamento; allo stesso modo farà da ponte e coordinamento per ogni esigenza in entrata da parte dell’Autorità.

  5. Cooperazione e consultazione
    Alla lettera d) ed e) gli ultimi due oggetto dell’approfondimento di oggi:

    d) “cooperare con l’autorità di controllo”;e) ”fungere da punto di contatto per l’autorità di controllo per questioni connesse al trattamento, tra cui la consultazione preventiva di cui all’articolo 36, ed effettuare, se del caso, consultazioni relativamente a qualunque altra questione.”

    Nondimeno, ad ogni eventuale data breach il DPO dovrà essere consultato di modo da poter agire tempestivamente ed affiancare passo per passo Titolare e Responsabile del Trattamento; allo stesso modo farà da ponte e coordinamento per ogni esigenza in entrata da parte dell’Autorità.

L’Importanza di avere un DPO

Esclusi i casi in cui la nomina del DPO è obbligatoria, è una best practice designarne uno.
Scopri i servizi che offriamo come Data Protection Officer da oltre 10 anni e verifica se sei tenuto a nominarlo. Non esitare a contattarci al seguente link per ulteriori informazioni.

Articoli correlati

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *


Torna in alto