GDPR | Ruoli, compiti e responsabilità assegnati al DPO

Il responsabile della protezione dei dati personali (anche conosciuto con la dizione in lingua inglese data protection officer – DPO) è una figura prevista dall’art. 37 del Regolamento (UE) 2016/679 (pubblicato sulla Gazzetta Ufficiale europea L. 119 del 4 Maggio 2016)

Il DPO è designato dal titolare o dal responsabile del trattamento per fornire supporto e controllo relativamente all’applicazione del GDPR.

Tutti gli enti pubblici devono nominare un soggetto qualificato che si occupi della protezione dei dati personali, aggiornandosi sui rischi e le misure di sicurezza. Anche le aziende o le organizzazioni private che presentano determinate caratteristiche nei trattamenti di dati personali.

Il DPO coopera con l’Autorità (e proprio per questo, il suo nominativo va comunicato al Garante ecostituisce il punto di contatto, anche rispetto agli interessati, per le questioni connesse al trattamento dei dati personali (artt. 38 e 39 del Regolamento).

PRINCIPALI COMPITI DEL DPO

l DPO può assolvere i suoi compiti in base a un contratto di servizi oppure può essere un dipendente dell’organizzazione titolre del trattamento. Le sue competenze sono:

Giuridiche
Informatiche
In tema di risk management
In tema di analisi dei processi

Il suo compito principale è quello di osservare, valutare e organizzare la gestione del trattamento di dati personali e la loro protezione all’interno di un’azienda (sia essa pubblica che privata).

L’Articolo 39 del Regolamento Europeo sulla protezione dei dati personali elenca i principali compiti del DPO:

Informare e fornire consulenza al titolare del trattamento o al responsabile del trattamento nonché ai dipendenti che eseguono il trattamento in merito agli obblighi derivanti dal presente regolamento nonché da altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati
Sorvegliare l’osservanza del presente regolamento, di altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati nonché delle politiche del titolare del trattamento o del responsabile del trattamento in materia di protezione dei dati personali, compresi l’attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo
Fornire, se richiesto, un parere in merito alla valutazione d’impatto sulla protezione dei dati e sorvegliarne lo svolgimento ai sensi dell’Articolo 35
Cooperare con l’autorità di controllo
Fungere da punto di contatto per l’autorità di controllo per questioni connesse al trattamento, tra cui la consultazione preventiva di cui all’Articolo 36, ed effettuare, se del caso, consultazioni relativamente a qualunque altra questione

SCELTA DEL DPO

Il responsabile della protezione dei dati personali non è richiesta l’iscrizione ad appositi Albi. I soggetti privati dovranno scegliere il responsabile della protezione dei dati personali con particolare attenzione, verificando la presenza di competenza ed esperienza specifica.

La figura del DPO dovrà avere un’approfondita conoscenza della normativa e della prassi in materia di privacy nonché la padronanza delle norme e delle procedure amministrative che caratterizzeranno lo specifico settore di riferimento.

Sarà opportuno privilegiare soggetti che possano dimostrare qualità professionali ed esperienze adeguate alla complessità del compito da svolgere, comprovate e documentate.

Scarica modulistica ed esempi del Kit GDPR Privacy per consulenti ed aziende

CERTIFICAZIONI IDONEE A LEGITTIMARE IL DPO

Per la figura del DPO si sono diffusi degli schemi di certificazione volontaria delle competenze. Si pensi alla norma ISO 11697/2017. Queste attestazioni ad ogni modo non equivalgono ad una “abilitazione” del ruolo né, allo stato, sono idonee a sostituire il giudizio rimesso alle Pubbliche Amministrazioni nella valutazione dei requisiti necessari al DPO per svolgere i compiti previsti dall’art. 39 del GDPR.

REQUISITI DI UN DPO

Al Responsabile della Protezione dei Dati Personali non sono richieste specifiche attestazioni formali o iscrizione in appositi albi.

Il DPO ad ogni modo deve necessariamente possedere un’approfondita conoscenza della normativa nonché delle procedure amministrative del settore specifico di riferimento.

La figura in questione deve essere in grado di progettare, verificare e mantenere un sistema di gestione dei dati personali organizzato comprensivo di tutte le misure – anche di sicurezza – e le garanzia adeguate al contesto in cui è chiamato ad operare.

Deve avere piena indipendenza (Rif. Considerando n. 97 del Regolamento UE 2016/679) ed autonomia riferendo direttamente ai vertici delle organizzazioni.

Il DPO deve disporre, infine di adeguate risorse (personale, locali, attrezzature etc.,) utili all’espletamento dei propri compiti.

IL RUOLO DI DPO È COMPATIBILE CON ALTRI INCARICHI?

Si, a condizione che non sia in conflitto di interessi.

In tale prospettiva, appare preferibile evitare di assegnare il ruolo di responsabile della protezione dei dati personali a soggetti con incarichi di alta direzione come ad esempio:

Amministratore delegato
Direttore Generale
Membo del CdA (Consiglio di Amministrazione)

È fondamentale pertanto che il DPO sia inserito nel contesto organizzativo a livello apicale per poter esercitare il proprio potere decisionale.

Scarica modulistica ed esempi del Kit GDPR Privacy per consulenti ed aziende

DPO COME PERSONA FISICA O GIURIDICA

Il Regolamento (UE) 2016/679 prevede espressamente che il responsabile della protezione dei dati personali possa essere un “dipendente” del titolare o del responsabile del trattamento (Art. 37, par. 6, del Regolamento).

Qualora il responsabile della protezione dei dati personali sia individuato in un soggetto esterno, quest’ultimo potrà essere anche una persona giuridica.

LE RESPONSABILITÀ DEL DPO

Il Considerando 146 del Regolamento sottolinea che il titolare o il responsabile del trattamento devono risarcire i danni causati a una persona da un trattamento non conforme al GDPR, a meno che questi non riescano a dimostrare che l’evento dannoso non gli è in alcun modo imputabile.

Il riferimento congiunto al titolare e al responsabile è volto ad ottenere la massima tutela degli interessati, al fine di garantire agli stessi il pieno ed effettivo risarcimento per il danno subito.

Conseguentemente, qualora i titolari del trattamento o i responsabili del trattamento siano coinvolti nello stesso trattamento, ogni titolare del trattamento o responsabile del trattamento sarà chiamato a rispondere, in solido, per la totalità̀ del danno, salvo dimostri che l’evento dannoso non gli sia imputabile e fermo restando, in ogni caso, il diritto di proporre un’azione di regresso nei confronti degli altri titolari o responsabili coinvolti nel medesimo trattamento.

Nello specifico, l’art. 82 GDPR stabilisce che “Chiunque subisca un danno materiale o immateriale causato da una violazione del presente regolamento ha il diritto di ottenere il risarcimento del danno dal titolare del trattamento o dal responsabile del trattamento”.

LA DISTRIBUZIONE DELLE RESPONSABILITÀ

Ciò premesso, la norma chiarisce che un titolare del trattamento risponde per il danno cagionato dal trattamento che violi il presente regolamento, mentre il soggetto nominato responsabile del trattamento ai sensi dell’art. 28 GDPR risponde solo in caso di inadempimento degli obblighi del GDPR specificatamente diretti ai responsabili del trattamento ovvero qualora abbia agito in modo difforme o contrario rispetto alle legittime istruzioni del titolare del trattamento.

Il contratto stipulato tra titolare e responsabile proprio per dirimere tutti gli aspetti relativi alla nomina di questi nell’ambito di uno o più trattamenti di dati dovrebbe essere la sede adatta anche per prevedere allocazioni preventive di responsabilità e delle eventuali azioni rimediali.

Quanto, infine, alla responsabilità del “Data Protection Officer”, si evidenzia che lo stesso ha certamente responsabilità contrattuali nei confronti del titolare del trattamento, ma non potrà essere responsabile nei confronti degli interessati in caso di inosservanza degli obblighi in materia di protezione dei dati personali.

Ricordiamolo ancora una volta: tale responsabilità resta in capo al titolare e non è in alcun modo delegabile, anche in virtù del principio di accountability: è il titolare che deve essere in grado di dimostrare la liceità del trattamento e la non imputabilità alla propria condotta di eventuali danni a terzi per poter evitare di incorrere nelle sanzioni sopra illustrate.

Scarica l'elenco generale dei contenuti del kit GDPR Privacy

Cookie	Durata	Descrizione
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

Il responsabile della protezione dei dati personali (anche conosciuto con la dizione in lingua inglese data protection officer – DPO) è una figura prevista dall’art. 37 del Regolamento (UE) 2016/679 (pubblicato sulla Gazzetta Ufficiale europea L. 119 del 4 Maggio 2016)

Il DPO è designato dal titolare o dal responsabile del trattamento per fornire supporto e controllo relativamente all’applicazione del GDPR.

Tutti gli enti pubblici devono nominare un soggetto qualificato che si occupi della protezione dei dati personali, aggiornandosi sui rischi e le misure di sicurezza. Anche le aziende o le organizzazioni private che presentano determinate caratteristiche nei trattamenti di dati personali.

Il DPO coopera con l’Autorità (e proprio per questo, il suo nominativo va comunicato al Garante ecostituisce il punto di contatto, anche rispetto agli interessati, per le questioni connesse al trattamento dei dati personali (artt. 38 e 39 del Regolamento).

PRINCIPALI COMPITI DEL DPO

l DPO può assolvere i suoi compiti in base a un contratto di servizi oppure può essere un dipendente dell’organizzazione titolre del trattamento. Le sue competenze sono:

Giuridiche

Informatiche

In tema di risk management

In tema di analisi dei processi

Il suo compito principale è quello di osservare, valutare e organizzare la gestione del trattamento di dati personali e la loro protezione all’interno di un’azienda (sia essa pubblica che privata).

L’Articolo 39 del Regolamento Europeo sulla protezione dei dati personali elenca i principali compiti del DPO:

Fornire, se richiesto, un parere in merito alla valutazione d’impatto sulla protezione dei dati e sorvegliarne lo svolgimento ai sensi dell’Articolo 35

Cooperare con l’autorità di controllo

Fungere da punto di contatto per l’autorità di controllo per questioni connesse al trattamento, tra cui la consultazione preventiva di cui all’Articolo 36, ed effettuare, se del caso, consultazioni relativamente a qualunque altra questione

SCELTA DEL DPO

Il responsabile della protezione dei dati personali non è richiesta l’iscrizione ad appositi Albi. I soggetti privati dovranno scegliere il responsabile della protezione dei dati personali con particolare attenzione, verificando la presenza di competenza ed esperienza specifica.

La figura del DPO dovrà avere un’approfondita conoscenza della normativa e della prassi in materia di privacy nonché la padronanza delle norme e delle procedure amministrative che caratterizzeranno lo specifico settore di riferimento.

Sarà opportuno privilegiare soggetti che possano dimostrare qualità professionali ed esperienze adeguate alla complessità del compito da svolgere, comprovate e documentate.

CERTIFICAZIONI IDONEE A LEGITTIMARE IL DPO

REQUISITI DI UN DPO

Al Responsabile della Protezione dei Dati Personali non sono richieste specifiche attestazioni formali o iscrizione in appositi albi.

Il DPO ad ogni modo deve necessariamente possedere un’approfondita conoscenza della normativa nonché delle procedure amministrative del settore specifico di riferimento.

La figura in questione deve essere in grado di progettare, verificare e mantenere un sistema di gestione dei dati personali organizzato comprensivo di tutte le misure – anche di sicurezza – e le garanzia adeguate al contesto in cui è chiamato ad operare.

Deve avere piena indipendenza (Rif. Considerando n. 97 del Regolamento UE 2016/679) ed autonomia riferendo direttamente ai vertici delle organizzazioni.

Il DPO deve disporre, infine di adeguate risorse (personale, locali, attrezzature etc.,) utili all’espletamento dei propri compiti.

IL RUOLO DI DPO È COMPATIBILE CON ALTRI INCARICHI?

Si, a condizione che non sia in conflitto di interessi.

In tale prospettiva, appare preferibile evitare di assegnare il ruolo di responsabile della protezione dei dati personali a soggetti con incarichi di alta direzione come ad esempio:

Amministratore delegato

Direttore Generale

Membo del CdA (Consiglio di Amministrazione)

È fondamentale pertanto che il DPO sia inserito nel contesto organizzativo a livello apicale per poter esercitare il proprio potere decisionale.

DPO COME PERSONA FISICA O GIURIDICA

Il Regolamento (UE) 2016/679 prevede espressamente che il responsabile della protezione dei dati personali possa essere un “dipendente” del titolare o del responsabile del trattamento (Art. 37, par. 6, del Regolamento).

Qualora il responsabile della protezione dei dati personali sia individuato in un soggetto esterno, quest’ultimo potrà essere anche una persona giuridica.

LE RESPONSABILITÀ DEL DPO

Il Considerando 146 del Regolamento sottolinea che il titolare o il responsabile del trattamento devono risarcire i danni causati a una persona da un trattamento non conforme al GDPR, a meno che questi non riescano a dimostrare che l’evento dannoso non gli è in alcun modo imputabile.

Il riferimento congiunto al titolare e al responsabile è volto ad ottenere la massima tutela degli interessati, al fine di garantire agli stessi il pieno ed effettivo risarcimento per il danno subito.

Nello specifico, l’art. 82 GDPR stabilisce che “Chiunque subisca un danno materiale o immateriale causato da una violazione del presente regolamento ha il diritto di ottenere il risarcimento del danno dal titolare del trattamento o dal responsabile del trattamento”.

LA DISTRIBUZIONE DELLE RESPONSABILITÀ

Il contratto stipulato tra titolare e responsabile proprio per dirimere tutti gli aspetti relativi alla nomina di questi nell’ambito di uno o più trattamenti di dati dovrebbe essere la sede adatta anche per prevedere allocazioni preventive di responsabilità e delle eventuali azioni rimediali.

Questo sito utilizza i cookies