L’Articolo 37, Par. 1 del GDPR prevede che il titolare ed il responsabile del trattamento designino il DPO. L’atto di designazione è parte costitutiva dell’adempimento.
Nel caso in cui la scelta del DPO ricada si una figura interna all’ente, occorre formalizzare un apposito “Atto di designazione a Responsabile della Protezione dei Dati”.
Diversamente, in caso di ricorso a soggetti esterni, la designazione costituirà parte integrante dell’apposito contratto di servizi redatto in base a quando previsto dall’Articolo 37 del GDPR.

SCHEDA ATTO DI DESIGNAZIONE

Indipendentemente dalla natura e dalla forma dell’atto utilizzato, è necessario che nello stesso sia individuato in maniera inequivocabile il soggetto che opererà come DPO, riportandone espressamente le generalità i compiti e le funzioni che questi sarà chiamato a svolgere in ausilio al titolare/responsabile del trattamento, in conformità a quanto previsto dal quadro normativo di riferimento.
Nell’atto formale di nomina sarà necessario tenere conto ed indicare in modo specifico l’assegnazione al DPO di eventuali compiti aggiuntivi specie se questi comportino una modifica delle clausole contrattuali.
Nel documento di designazione dovrà essere indicata anche la motivazione che ha indotto l’ente ad individuare, nella persona fisica selezionata il proprio DPO al fine di consentire la verifica del rispetto dei requisiti previsti dall’Articolo 37 – Par. 5 del GDPR (qualità professionali e conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati).
Una volta designato il DPO, il titolare oppure il responsabile del trattamento è tenuto ad indicare, con una apposita informativa fornita alle parti interessati, i dati di contratto del DPO pubblicando gli stessi anche sui siti Web e comunicarli al Garante stesso (Art. 37 – Par. 7).
Nei siti Web delle organizzazioni è davvero importante inserire i riferimenti ed i contatti del DPO nella sezione “Amministrazione trasparente” oltre che naturalmente nella sezione “Privacy”.
Resta invece fermo l’obbligo di comunicare il nominativo agli interessati in caso violazione dei dati personali.