Il DPO all’interno dell’Ente pubblico parte II

Come abbiamo visto nella precedente pubblicazione, tra le novità introdotte dal Regolamento UE 2016/679, c’è la figura del Responsabile della Protezione dei Dati (RPD), conosciuto anche con il termine “Data Protection Officer” (DPO), figura obbligatoria, ex art 37 GDPR, per le Pubbliche Amministrazioni.

Tra le diverse funzioni, uno dei compiti preliminare è quello di delineare il contesto in cui opera il titolare del trattamento, a partire dalle funzioni organizzative e nello specifico:

  • Creazione e controllo di conformità del registro delle attività di trattamento; 
  • Verifica delle attività di trattamento dei dati personali;
  • Verifica dei rischi posti dalle attività di trattamento;
  • Gestione dei trattamenti che possono comportare un rischio elevato. 

 

Sotto il profilo del Controllo della conformità del trattamento dei dati personali al GDPR, spetta invece al DPO curare sia la gestione delle violazioni dei dati personali (eventuale «data breach»), sia la consulenza sugli aspetti generali attinenti al trattamento dei dati personali, nonché il sostegno e la promozione dei principi di privacy by design e protection by default e il monitoraggio della compliance nel trattamento dei dati personali con specifica attenzione ai rapporti con tutte le figure coinvolte (contitolari, responsabili, altri titolari), la cooperazione con il Garante per la Protezione dei Dati Personali, la gestione delle richieste degli interessati.

Ancora deve procedere con le seguenti attività:

  • Informare e fornire consulenza al Comune e ai singoli responsabili interni in merito alle previsioni ed agli obblighi contenuti nel Regolamento UE 679/16 – GDPR e nella normativa nazionale applicabile;
  • Verificare che le responsabilità in tema di tutela dei dati personali per il flusso di dati sia all’interno sia verso l’esterno dell’Ente siano correttamente distribuite;
  • Verificare l’organigramma GDPR per definire ruoli, documentazione e procedure di gestione dei dati personali proprie di ciascuna Area di operatività e per singolo Ufficio
  • Fornire supporto e consulenza ai referenti individuati in ogni Ufficio per qualsiasi questione relativa alla normativa in materia di protezione dei dati personali;
  • Fornire un parere in merito alla valutazione d’impatto ex art. 35 GDPR e sorvegliarne lo svolgimento;
  • Sorvegliare l’osservanza della normativa in materia di protezione dei dati personali nonché delle politiche in materia del Titolare o del Responsabile del trattamento, compresi l’attribuzione di responsabilità, la sensibilizzazione e formazione del personale che partecipa al trattamento e al controllo in merito; 
  • Cooperare con l’Autorità di controllo e fungere da punto di contatto con il Garante per la protezione dei dati di personali per questioni connesse al trattamento;
  • Fungere da punto di contatto nei confronti dei cittadini, in qualità di interessati al trattamento;
  • Svolgere attività periodica di audit sul sistema di gestione degli adempimenti;

Alla luce di questi importanti compiti e responsabilità, è richiesto pertanto al DPO di avere sia  una conoscenza specialistica della normativa in materia di privacy e Data Protection italiana ed europea, una conoscenza dell’Ente in cui il DPO viene nominato, nonché una competenza in materia di procedure e regole amministrative e una conoscenza tecnica dei sistemi IT. 

Il livello di conoscenza specialistica richiesto al DPO non trova una definizione tassativa. 

Ed invero, il DPO è designato in funzione delle qualità professionali, in particolare della conoscenza specialistica della normativa, delle prassi in materia di protezione dei dati e della capacità di assolvere i compiti di cui all’articolo 39 GDPR.

Nello specifico, il considerando 97 GDPR prevede che il livello necessario di conoscenza specialistica sia determinato in base ai trattamenti di dati effettuati e alla protezione richiesta per i dati personali oggetto di trattamento.

Una conoscenza, quindi, proporzionata alla sensibilità, complessità e quantità dei dati sottoposti a trattamento.

Sul punto il Garante ha confermato che: «Le certificazioni rilasciate a seguito di iter formativi, pur rappresentando, al pari di altri titoli, uno strumento utile ai fini della verifica del possesso di un livello minimo di conoscenza della disciplina, non abilitano allo svolgimento del ruolo del DPO, né sono idonee a sostituire il giudizio, rimesso al titolare, nella valutazione dei requisiti necessari al RPD per svolgere i compiti di cui all’art. 39 del GDPR»

Ancora, il DPO deve essere autonomo ed indipendente, ossia non deve ricevere dal Titolare o dal Responsabile alcuna istruzione  per quanto riguarda l’esecuzione dei compiti affidati né è soggetto a potere disciplinare o sanzionatorio per l’adempimento dei propri compiti. 

Come specifica l’art. 38, par. 2: “Il titolare e del trattamento e il responsabile del trattamento sostengono il responsabile della protezione dei dati nell’esecuzione dei compiti di cui all’articolo 39 fornendogli le risorse necessarie per assolvere tali compiti e accedere ai dati personali e ai trattamenti e per mantenere la propria conoscenza specialistica”. 

Il DPO deve godere di autonomia decisionale e quindi non essere sottoposto a pressioni da parte del titolare ed ha il compito di supportare attivamente il Titolare senza che tale posizione possa incrinare il ruolo di terzietà e indipendenza nelle attribuzioni di sorveglianza sull’osservanza dei dettati normativi.

I DPO non rispondono personalmente in caso di inosservanza del GDPR; spetta al titolare o al responsabile del trattamento garantire ed essere in grado di dimostrare che le operazioni di trattamento sono conformi alle disposizioni del regolamento stesso (articolo 24, par. 1) in quanto l’onere di assicurare il rispetto della normativa in materia di protezione dei dati ricade sul titolare o sul responsabile. 

Related Posts

Calendario Corsi Live

Nessun evento trovato!

Archivio