Focus

Published on marzo 19th, 2018 | by dirittodellinformatica.it

0

GDPR: Quali responsabilità ha il DPO (Guida al GDPR 4.5.2)

Il DPO ha, innanzitutto, il compito di vigilare sull’osservanza del GDPR da parte dei titolari che gli affidano tale incarico. Come emerge dall’art. 39, comma 1, lettera b), infatti, il DPO viene incaricato, tra gli altri compiti, anche di: “sorvegliare l’osservanza del presente regolamento, di altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati nonché delle politiche del titolare del trattamento o del responsabile del trattamento in materia di protezione dei dati personali, compresi l’attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo”.

Fanno parte di questi compiti di controllo svolti dal DPO:

  • la raccolta di informazioni per individuare i trattamenti svolti;
  • l’analisi e la verifica della conformità dei trattamenti;
  • l’attività di informazione, consulenza e indirizzo nei confronti di titolare o responsabile. Come precisato dall’art. 39, comma 1, lettera a).

Attenzione, però: il controllo del rispetto del Regolamento non significa che il RPD sia personalmente responsabile in caso di inosservanza degli obblighi in materia di protezione dei dati personali. Il GDPR, all’art. 24, comma 1, chiarisce infatti che è compito del titolare (e non del DPO) mettere in atto le misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al regolamento. La responsabilità di garantire il rispetto della normativa in materia di protezione dei dati ricade quindi sul titolare del trattamento o sul responsabile del trattamento.

Altro ruolo di grande importanza attribuito al DPO è poi quello di assistere il titolare del trattamento dei dati nello svolgimento della “valutazione d’impatto sulla protezione dei dati” che, come previsto dall’art. 35, comma 1 del GDPR, è un onere posto direttamente in capo al titolare del trattamento. L’art. 35, comma 2, prevede infatti in modo specifico che il titolare “si consulti” con il DPO quando svolge una valutazione d’impatto sulla protezione dei dati, e allo stesso tempo, l’art. 39, comma 1, lettera c) affida al DPO il compito di “fornire, se richiesto, un parere in merito alla valutazione di impatto sulla protezione dei dati e sorvegliarne lo svolgimento ai sensi dell’articolo 35”.

Il Gruppo di lavoro ex art. 29 ha poi precisato, nelle “Linee Guida sui responsabili della protezione dei dati”, che è opportuno che il titolare del trattamento si consulti con il DPO su una serie di argomenti, quali, a titolo esemplificativo, se condurre o meno una valutazione d’impatto, quale metodo adottare per effettuarla, se svolgerla utilizzando risorse interne o esterne all’organizzazione e quali misure adottare per attenuare i rischi per i diritti e gli interessi delle persone interessate. Si noti bene, peraltro, che, nel caso in cui il titolare del trattamento non concordi con le indicazioni fornite dal DPO, il suo dissenso dovrà essere appositamente motivato e documentato.

Altro aspetto importante è quello che emerge dall’art. 39, comma 1, lettere d) ed e), secondo i quali il DPO deve “cooperare con l’autorità di controllo” e “fungere da punto di contatto per l’autorità di controllo per questioni connesse al trattamento, tra cui la consultazione preventiva di cui all’articolo 36, ed effettuare, se del caso, consultazioni relativamente a ogni altra questione”.

Il DPO deve quindi fungere da punto di contatto per facilitare l’accesso, da parte dell’autorità di controllo, ai documenti e alle informazioni necessarie per l’adempimento dei suoi compiti, nonché ai fini dell’esercizio dei poteri di indagine, correttivi, autorizzativi e consultivi.

Aspetto importante è anche che il DPO nello svolgimento delle sue funzioni ha l’obbligo di rispettare le norme in materia di segreto o riservatezza, in base a quanto stabilito dal diritto dell’Unione Europea o degli stati membri.

In base all’art. 39, comma 2, il DPO deve poi -nell’esecuzione dei suoi compiti- considerare “debitamente i rischi inerenti al trattamento, tenuto conto della natura, dell’ambito di applicazione, del contesto e delle finalità del medesimo”. Ciò che si richiede al DPO è, in sostanza, un’attenzione particolare verso quelle che sono le questioni che presentino maggiori rischi in termini di protezione dei dati. La norma appena richiamata sottolinea quindi l’opportunità di dedicare un’attenzione maggiore verso gli ambiti che presentino rischi più elevati, sulla base di valutazioni specifiche e concrete effettuate per ciascuna realtà di trattamento.

L’art. 30 del GDPR prevede che sia compito del titolare del trattamento o del responsabile del trattamento, e non del DPO, quello di tenere un registro delle attività di trattamento svolte, o un registro di tutte le categorie di trattamento svolte per conto del titolare del trattamento. In realtà, il Gruppo di Lavoro ex art. 29 ha rilevato come sia una prassi consolidata (fondata sulle disposizioni di numerose leggi) quella di attribuire proprio al DPO il compito di realizzare l’inventario dei trattamenti e tenere un registro di tali trattamenti sulla base delle informazioni fornite dai vari uffici che trattano i dati personali. Tuttavia, spetterà al titolare e al responsabile, i quali rimangono onerati di tale adempimento e responsabili nei confronti degli interessati e delle Autorità di controllo per eventuali violazioni, fornire tutte le informazioni necessarie e ad approvare quanto riportato dal DPO nel registro dei trattamenti.

Va comunque tenuto presente che l’elenco di compiti affidati al DPO previsto dall’art. 39, comma 1 del GDPR non esaustivo, ma meramente esemplificativo. Il titolare del trattamento ha quindi la possibilità di affidargli anche altre funzioni, tra cui appunto quella di tenere il registro delle attività di trattamento, benché si tratti sempre di attività svolte sotto la responsabilità del titolare stesso o del responsabile.

Il DPO potrà, in conclusione, rispondere di eventuali responsabilità correlate allo svolgimento dei suoi obblighi di consulenza e assistenza (contrattuali o disciplinari, a seconda che si tratti di un soggetto interno o esterno all’azienda) nei confronti del titolare del trattamento, il quale rimane (eventualmente in solido con il responsabile) l’unico soggetto responsabile del rispetto della normativa vigente.

 

Tags: , ,


About the Author



Back to Top ↑