|
Quali sono i suoi compiti
Il DPO dovrà:
a) informare e consigliare il titolare o il responsabile del trattamento, nonché i dipendenti, in merito agli obblighi derivanti dal Regolamento europeo e da altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati;
b) verificare l’attuazione e l’applicazione del Regolamento, delle altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati nonché delle politiche del titolare o del responsabile del trattamento in materia di protezione dei dati personali, inclusi l’attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale coinvolto nelle operazioni di trattamento, e gli audit relativi;
c) fornire, se richiesto, pareri in merito alla valutazione d’impatto sulla protezione dei dati e sorvegliare i relativi adempimenti;
d) fungere da punto di contatto per gli interessati in merito a qualunque problematica connessa al trattamento dei loro dati o all’esercizio dei loro diritti;
e) fungere da punto di contatto per il Garante per la protezione dei dati personali oppure, eventualmente, consultare il Garante di propria iniziativa.
In sintesi, il DPO effettua sia un’attività interna alla struttura del preponente, sia un’attività esterna, in quanto punto di contatto fra la struttura e l’Autorità Garante. Il ragionamento appena svolto, tuttavia, non deve essere interpretato, in modo restrittivo, nel senso di ritenere precluso ai non giuristi lo svolgimento delle funzioni di Responsabile per la Protezione dei Dati ma, più correttamente, secondo chi scrive, nel senso di ritenere verosimile che la funzione di Data Protection Officer, possa utilmente essere svolta, in alcune circostanze, solo ed esclusivamente in forza di una sinergia risultante dalla collaborazione di un Team di professionalità eterogenee che riportino - questo si - a un soggetto che conosca la legge e le regole che presiedono alla sua corretta interpretazione.
In base al Regolamento, il DPO dovrebbe essere nominato quando il trattamento è effettuato da un’autorità pubblica o da un organismo pubblico: le linee guida danno un’interpretazione estensiva di organismo pubblico e raccomandano, come una buona pratica, la nomina del DPO anche da parte delle organizzazioni private che svolgono funzioni pubbliche o che esercitano pubblici poteri. La sua attività dovrebbe coprire tutte le operazioni di trattamento, comprese quelle che non sono legate alla esecuzione di un compito pubblico o esercizio del dovere ufficiale (ad esempio la gestione di un database dei dipendenti).
a) informare e consigliare il titolare o il responsabile del trattamento, nonché i dipendenti, in merito agli obblighi derivanti dal Regolamento europeo e da altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati;
b) verificare l’attuazione e l’applicazione del Regolamento, delle altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati nonché delle politiche del titolare o del responsabile del trattamento in materia di protezione dei dati personali, inclusi l’attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale coinvolto nelle operazioni di trattamento, e gli audit relativi;
c) fornire, se richiesto, pareri in merito alla valutazione d’impatto sulla protezione dei dati e sorvegliare i relativi adempimenti;
d) fungere da punto di contatto per gli interessati in merito a qualunque problematica connessa al trattamento dei loro dati o all’esercizio dei loro diritti;
e) fungere da punto di contatto per il Garante per la protezione dei dati personali oppure, eventualmente, consultare il Garante di propria iniziativa.
In sintesi, il DPO effettua sia un’attività interna alla struttura del preponente, sia un’attività esterna, in quanto punto di contatto fra la struttura e l’Autorità Garante. Il ragionamento appena svolto, tuttavia, non deve essere interpretato, in modo restrittivo, nel senso di ritenere precluso ai non giuristi lo svolgimento delle funzioni di Responsabile per la Protezione dei Dati ma, più correttamente, secondo chi scrive, nel senso di ritenere verosimile che la funzione di Data Protection Officer, possa utilmente essere svolta, in alcune circostanze, solo ed esclusivamente in forza di una sinergia risultante dalla collaborazione di un Team di professionalità eterogenee che riportino - questo si - a un soggetto che conosca la legge e le regole che presiedono alla sua corretta interpretazione.
In base al Regolamento, il DPO dovrebbe essere nominato quando il trattamento è effettuato da un’autorità pubblica o da un organismo pubblico: le linee guida danno un’interpretazione estensiva di organismo pubblico e raccomandano, come una buona pratica, la nomina del DPO anche da parte delle organizzazioni private che svolgono funzioni pubbliche o che esercitano pubblici poteri. La sua attività dovrebbe coprire tutte le operazioni di trattamento, comprese quelle che non sono legate alla esecuzione di un compito pubblico o esercizio del dovere ufficiale (ad esempio la gestione di un database dei dipendenti).
|