GDPR: Quali responsabilità ha il DPO (Guida al GDPR 4.5.2)

unione europea

Il DPO ha, innanzitutto, il compito di vigilare sull’osservanza del GDPR da parte dei titolari che gli affidano tale incarico. Come emerge dall’art. 39, comma 1, lettera b), infatti, il DPO viene incaricato, tra gli altri compiti, anche di: “sorvegliare l’osservanza del presente regolamento, di altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati nonché delle politiche del titolare del trattamento o del responsabile del trattamento in materia di protezione dei dati personali, compresi l’attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo”.

Fanno parte di questi compiti di controllo svolti dal DPO:

  • la raccolta di informazioni per individuare i trattamenti svolti;
  • l’analisi e la verifica della conformità dei trattamenti;
  • l’attività di informazione, consulenza e indirizzo nei confronti di titolare o responsabile. Come precisato dall’art. 39, comma 1, lettera a).

Attenzione, però: il controllo del rispetto del Regolamento non significa che il RPD sia personalmente responsabile in caso di inosservanza degli obblighi in materia di protezione dei dati personali. Il GDPR, all’art. 24, comma 1, chiarisce infatti che è compito del titolare (e non del DPO) mettere in atto le misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al regolamento. La responsabilità di garantire il rispetto della normativa in materia di protezione dei dati ricade quindi sul titolare del trattamento o sul responsabile del trattamento.

Altro ruolo di grande importanza attribuito al DPO è poi quello di assistere il titolare del trattamento dei dati nello svolgimento della “valutazione d’impatto sulla protezione dei dati” che, come previsto dall’art. 35, comma 1 del GDPR, è un onere posto direttamente in capo al titolare del trattamento. L’art. 35, comma 2, prevede infatti in modo specifico che il titolare “si consulti” con il DPO quando svolge una valutazione d’impatto sulla protezione dei dati, e allo stesso tempo, l’art. 39, comma 1, lettera c) affida al DPO il compito di “fornire, se richiesto, un parere in merito alla valutazione di impatto sulla protezione dei dati e sorvegliarne lo svolgimento ai sensi dell’articolo 35”.

Il Gruppo di lavoro ex art. 29 ha poi precisato, nelle “Linee Guida sui responsabili della protezione dei dati”, che è opportuno che il titolare del trattamento si consulti con il DPO su una serie di argomenti, quali, a titolo esemplificativo, se condurre o meno una valutazione d’impatto, quale metodo adottare per effettuarla, se svolgerla utilizzando risorse interne o esterne all’organizzazione e quali misure adottare per attenuare i rischi per i diritti e gli interessi delle persone interessate. Si noti bene, peraltro, che, nel caso in cui il titolare del trattamento non concordi con le indicazioni fornite dal DPO, il suo dissenso dovrà essere appositamente motivato e documentato.

Altro aspetto importante è quello che emerge dall’art. 39, comma 1, lettere d) ed e), secondo i quali il DPO deve “cooperare con l’autorità di controllo” e “fungere da punto di contatto per l’autorità di controllo per questioni connesse al trattamento, tra cui la consultazione preventiva di cui all’articolo 36, ed effettuare, se del caso, consultazioni relativamente a ogni altra questione”.

Il DPO deve quindi fungere da punto di contatto per facilitare l’accesso, da parte dell’autorità di controllo, ai documenti e alle informazioni necessarie per l’adempimento dei suoi compiti, nonché ai fini dell’esercizio dei poteri di indagine, correttivi, autorizzativi e consultivi.

Aspetto importante è anche che il DPO nello svolgimento delle sue funzioni ha l’obbligo di rispettare le norme in materia di segreto o riservatezza, in base a quanto stabilito dal diritto dell’Unione Europea o degli stati membri.

In base all’art. 39, comma 2, il DPO deve poi -nell’esecuzione dei suoi compiti- considerare “debitamente i rischi inerenti al trattamento, tenuto conto della natura, dell’ambito di applicazione, del contesto e delle finalità del medesimo”. Ciò che si richiede al DPO è, in sostanza, un’attenzione particolare verso quelle che sono le questioni che presentino maggiori rischi in termini di protezione dei dati. La norma appena richiamata sottolinea quindi l’opportunità di dedicare un’attenzione maggiore verso gli ambiti che presentino rischi più elevati, sulla base di valutazioni specifiche e concrete effettuate per ciascuna realtà di trattamento.

L’art. 30 del GDPR prevede che sia compito del titolare del trattamento o del responsabile del trattamento, e non del DPO, quello di tenere un registro delle attività di trattamento svolte, o un registro di tutte le categorie di trattamento svolte per conto del titolare del trattamento. In realtà, il Gruppo di Lavoro ex art. 29 ha rilevato come sia una prassi consolidata (fondata sulle disposizioni di numerose leggi) quella di attribuire proprio al DPO il compito di realizzare l’inventario dei trattamenti e tenere un registro di tali trattamenti sulla base delle informazioni fornite dai vari uffici che trattano i dati personali. Tuttavia, spetterà al titolare e al responsabile, i quali rimangono onerati di tale adempimento e responsabili nei confronti degli interessati e delle Autorità di controllo per eventuali violazioni, fornire tutte le informazioni necessarie e ad approvare quanto riportato dal DPO nel registro dei trattamenti.

Va comunque tenuto presente che l’elenco di compiti affidati al DPO previsto dall’art. 39, comma 1 del GDPR non esaustivo, ma meramente esemplificativo. Il titolare del trattamento ha quindi la possibilità di affidargli anche altre funzioni, tra cui appunto quella di tenere il registro delle attività di trattamento, benché si tratti sempre di attività svolte sotto la responsabilità del titolare stesso o del responsabile.

Il DPO potrà, in conclusione, rispondere di eventuali responsabilità correlate allo svolgimento dei suoi obblighi di consulenza e assistenza (contrattuali o disciplinari, a seconda che si tratti di un soggetto interno o esterno all’azienda) nei confronti del titolare del trattamento, il quale rimane (eventualmente in solido con il responsabile) l’unico soggetto responsabile del rispetto della normativa vigente.

 

FocusGDPRNormativaPrivacy e sicurezza Informatica
marzo 19, 2018
gdprprivacyregolamento euroepo
logo fclex nero

Scopri anche

intelligenza artificiale settimana lavorativa

Rivoluzione Lavorativa: Intelligenza Artificiale e Settimana da 4 Giorni – Implicazioni Giuridiche

28 Mar
Leggi tutto
linee guida agcom influencer

Nuove Linee guida AGCOM per Influencer e Content Creator: Criticità, multe e sfide nel Contesto Giuridico

17 Gen
Leggi tutto
ecommerce sanzioni direttiva omnibus 2023 omnibus

Nuovi obblighi per gli eCommerce: maggiori responsabilità per le imprese e tutele per i consumatori

14 Apr
Leggi tutto
recesso contratto clausola ecommerce limite

Diritto di recesso dal contratto: limiti e clausola di recesso

6 Apr
Leggi tutto
COME REGISTRARE MARCHIO

Come registrare un marchio? Le 5 domande più frequenti

29 Mar
Leggi tutto
guadagnare con marchio e licenza

Licensing e modelli di Business: 5 licenze per monetizzare il tuo marchio

18 Gen
Leggi tutto

Ultimi aggiornamenti

password garante

Linee guida del Garante Privacy in materia di Funzioni Crittografiche e Conservazione delle Password

Con il provvedimento n. 9962283 del 7 dicembre 2023, il Garante per la Protezione dei Dati Personali e l’Agenzia per la cybersicurezza nazionale (ACN) hanno emanato alcune Linee Guida in materia “Funzioni Crittografiche e Conservazione delle Password”. Successivamente, con un comunicato del 1° marzo 2024, il […]
aprile 4, 2024
Leggi tutto
intelligenza artificiale settimana lavorativa

Rivoluzione Lavorativa: Intelligenza Artificiale e Settimana da 4 Giorni – Implicazioni Giuridiche

Avv. Giuseppe Croari – Dott.ssa Francesca Gattarello Ad oggi sono notoriamente risaputi i vantaggi che l’intelligenza artificiale ha apportato anche nel mondo del lavoro (a tal proposito vi segnaliamo questo articolo). A ciò si aggiunga la maggiore consapevolezza che la società ha acquisito, negli ultimi anni, […]
marzo 28, 2024
Leggi tutto
contratto vendere webinar

Il Contratto come strumento per vendere di più

Hai mai pensato al tuo contratto come a un’arma segreta per il successo? Probabilmente no. La maggior parte delle persone considera il contratto come un ostacolo burocratico, un documento noioso e pieno di “legalese” incomprensibile. Ma se ti dicessi che il tuo contratto può essere molto […]
marzo 15, 2024
Leggi tutto

Iscriviti alla nostra newsletter

i nostri social

Guarda i nostri video e rimani aggiornato con notizie e guide

Lo sapevi che per continuare a fare Smart Working in azienda bisognerà adottare degli accorgimenti entro il 30 giugno?

Le modalità per fare marketing si sono evolute di pari passo alle norme in tema di privacy, questo porta ad un binomio complesso: lead generation e privacy. Come fare contatti rispettando però il GDPR?

Il marchio oggi non rappresenta meramente un simbolo identificativo, ma diviene uno degli elementi fondanti della brand identity di un’impresa. La registrazione è fondamentale per tutela e VALORE del tuo business.

scopri altri video

Dirittodellinformatica.it è rivista telematica registrata il 08.04.2008 presso il Tribunale di Foggia (n. 10/08 registro periodici, cron. n. 816/08). Proprietari del sito: Gianluigi Fioriglio e Giuseppe Croari. Direttore responsabile: Gerardo Antonio Cavaliere. P.I. Studio Legale Associato Fioriglio-Croari: 02863681207.

Il contenuto del sito è sottoposto a licenza Creative Commons (Attribuzione-Non commerciale-Non opere derivate 3.0 Unported). E' possibile riprodurre, distribuire, comunicare al pubblico, esporre in pubblico, rappresentare, eseguire e recitare il contenuto del sito purché sia attribuita esplicitamente la paternità di ogni sua singola parte; non sono consentiti utilizzi per fini commerciali, nè alterazioni o trasformazioni del contenuto del sito.

© 2024 dirittodellinformatica.it