SPECIALE GDPR

52

dicembre 2017

Non si rinviene una definizione tassativa di conoscenza

specialistica. Allo stato non è prevista alcuna certifica-

zione per l’assunzione dell’incarico. Oltre ai titoli di stu-

dio (master e corsi di studio professionale), costituisce

certamente un requisito preferenziale la documentata

esperienza nel settore (cfr. newsletter Garante Privacy

n. 432 del 15.09.2017 – regolamento privacy, come sce-

gliere il responsabile della protezione dei dati).

Come ricordato dalle Linee guida, tra le qualità profes-

sionali richieste, sono pertinenti al riguardo:

- la conoscenza da parte del DPO della normativa e delle

prassi nazionali ed europee in materia di protezione

dei dati e un’approfondita conoscenza del GDPR;

- la conoscenza dello specifico settore di attività e della

struttura organizzativa del titolare;

- buona familiarità con le operazioni di trattamento

svolte nonché con i sistemi informativi e le esigenze

di sicurezza e protezione dati manifestate dal titolare.

Il paragrafo 6 dell’articolo 37 prevede inoltre che il ruolo

di DPO possa essere affidato sia a un soggetto ester-

no che a un soggetto interno alla struttura del titolare.

Richiamando i compiti e le responsabilità che il regola-

mento ha previsto per il DPO, si deve ritenere che, in

caso di nomina di soggetto interno, questi debba avere

una posizione dirigenziale. Non solo. Il DPO è una figura

autonoma e indipendente che non deve ricevere ordini

e che quindi deve rispondere direttamente al vertice

aziendale (articolo 38 paragrafo 3).

Il Paragrafo 7 dell’articolo 37 prevede infine che i dati

del DPO siano comunicati all’autorità garante. Il DPO

deve inoltre disporre delle risorse necessarie allo svol-

gimento dei compiti a esso demandati.

I compiti del DPO

I compiti del DPO sono descritti nell’articolo 39. Si tratta

di un elenco di attività minime che il DPO deve svolgere

e in particolare:

- informare e fornire consulenza al titolare del trat-

tamento o al responsabile del trattamento nonché

ai dipendenti che eseguono il trattamento in merito

agli obblighi derivanti dal regolamento nonché altre

disposizioni dell’Unione o degli Stati membri relative

alla protezione dei dati;

- sorvegliare l’osservanza del regolamento, di altre di-

sposizioni degli Stati membri relative alla protezione

dei dati nonché delle politiche del titolare del tratta-

mento o del responsabile del trattamento in materia di

protezione dei dati personali, comprese l’attribuzione

delle responsabilità, la sensibilizzazione e la formazio-

ne del personale che partecipa ai trattamenti e alle

connesse attività di controllo;

- fornire se richiesto un parere in merito alla valutazione

di impatto sulla protezione dei dati e sorvegliarne lo

svolgimento ai sensi dell’articolo 35;

- cooperare con l’autorità di controllo;

- fungere da punto di contatto per l’autorità di con-

trollo per questioni connesse al trattamento, tra cui

la consultazione preventiva di cui all’articolo 36, ed

effettuare se del caso, consultazioni relativamente a

qualunque altra questione.

La stessa norma prevede inoltre che, nell’esecuzione

dei propri compiti, il DPO consideri debitamente i ri-

schi inerenti al trattamento, tenuto conto della natura,

dell’ambito di applicazione, del contesto e delle finalità

del medesimo. Il DPO pertanto deve essere coinvolto

sin dall’inizio in ogni questione attinente la valutazione

dei dati personali.

Il DPO, infine, non risponde personalmente in caso di

inosservanza del GDPR. Come specificato nelle citate

Linee guida, spetta sempre al titolare o al responsabile

del trattamento in base a quanto stabilito dall’articolo 24

garantire ed essere in grado di dimostrare che le opera-

zioni di trattamento sono conformi alle disposizioni del

regolamento stesso, rientrando nel rischio d’impresa la

corretta applicazione del medesimo.

© iStock - Oko_SwanOmurphy

segue da pagina 49