Data protection officer (DPO) o responsabile della protezione dei dati: quali sono i compiti da svolgere?
Nelle scorse settimane abbiamo abbondantemente approfondito l’importanza del rispetto della privacy in azienda. Oggi ci occupiamo di nuovo di un tema maggiormente operativo, legato al ruolo del responsabile della protezione dei dati.
L’articolo 39 del GDPR prevede un elenco di compiti che devono essere affidati tassativamente al DPO:
a. informare e fornire consulenza in merito agli obblighi derivanti dal GDPR nonché da altre disposizioni relative alla protezione dei dati;
b. sorvegliare l’osservanza del GDPR, di altre disposizioni relative alla protezione dei dati nonché delle politiche aziendali in materia di protezione dei dati personali, compresi l’attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo. È bene evidenziare a riguardo che tale compito di sorveglianza non comporta una responsabilità personale del DPO in caso di inosservanza del GDPR da parte dell’azienda. La norma è chiara nel porre in capo al Titolare l’onere di “mettere in atto misure tecniche e organizzative adeguate a garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al presente Regolamento” (art. 24, comma 1, GDPR).
c. fornire, se richiesto, un parere in merito alla valutazione d’impatto sulla protezione dei dati e sorvegliarne lo svolgimento ai sensi dell’articolo 35 del GDPR. Lo svolgimento di una Valutazione di Impatto è un compito che spetta sempre al Titolare e non al DPO. Tuttavia, in questo caso il DPO svolge un ruolo fondamentale in quanto è esplicitamente chiamato dal Regolamento a supportare l’azienda in tale attività fornendo, se richiesto, un parere sulla valutazione e sorvegliandone lo svolgimento.
d. cooperare con l’autorità di controllo e fungere da punto di contatto per questioni connesse al trattamento, tra cui la consultazione preventiva di cui all’articolo 36 GDPR, ed effettuare, se del caso, consultazioni relativamente a qualunque altra questione.
Il DPO funge quindi da “intermediario” tra l’azienda e l’Autorità.
Per tale motivo egli è anche il primo soggetto interpellato dall’Autorità stessa in caso di richiesta di informazioni, chiarimenti, documentazione ovvero in caso di attività ispettiva.
Nell’eseguire i suoi compiti, il DPO deve considerare debitamente i rischi inerenti al trattamento, tenendo conto della natura, dell’ambito di applicazione, del contesto e delle finalità del medesimo.
Il ruolo del DPO, si ricorda, non è quello di impedire all’azienda di attuare determinati trattamenti, ma di supportarla e consigliarla in ogni processo che coinvolga dati personali, garantendo sempre la conformità al GDPR.
Un tale approccio non può che tradursi in vantaggi per l’azienda in termini di immagine, organizzazione e risparmio di risorse.
Articolo originale pubblicato su Informazione Fiscale qui: Cosa fa il responsabile della protezione dei dati in azienda?
