Alla scoperta del Responsabile della protezione dati (Data protection officer)

29 Mag

Alla scoperta del Responsabile della protezione dati (Data protection officer)

L’istituzione della nuova figura del Responsabile della protezione dei dati (DPO) è, come è ormai noto, la principale novità normativa del Regolamento europeo che mira al potenziamento del controllo dell’efficacia e della sicurezza dei sistemi di protezione dei dati personali, cioè tutti quei dati che rendono una persona identificata o almeno identificabile. Una persona risulta identificabile se, conoscendo quel dato, altre informazioni possono essere ottenute senza sforzi irragionevoli, consentendone l’identificazione.

Il DPO, obbligatorio se il trattamento è svolto da un’azienda che ha come core business la gestione di dati personali, se l’azienda che supera i 250 dipendenti o se il trattamento è svolto da un organismo pubblico, deve essere autonomo, indipendente, esterno e deve esser dotato di indipendenza economica e finanziaria. È incaricato dei seguenti compiti:

  1. Informare e fornire consulenza al titolare ed al responsabile dei dati, nonché ai dipendenti che eseguono il trattamento in merito agli obblighi derivanti dal RGPD (regolamento generale sulla protezione dei dati) e dalle altre normative relative alla protezione dei dati. In tal senso il DPO può indicare al titolari e/o al responsabile i settori funzionali ai quali riservare un audit interno o esterno in tema di protezione dei dati, le attività di formazione interna per il personale che tratta dati personali, e a quali trattamenti dedicare maggiori risorse e tempo in relazione al rischio riscontrato;
  2. Sorvegliare l’osservanza del RGPD e delle altre normative relative alla protezione dei dati, fermo restando le responsabilità del titolare e del responsabile del trattamento;
  3. Sorvegliare sulle attribuzioni delle responsabilità, sulle attività di sensibilizzazione, formazione e controllo poste in essere dal titolare e dal responsabile del trattamento;
  4. Fornire, se richiesto, un parere in merito alla valutazione di impatto sulla protezione dei dati (DPIA) e sorvegliarne lo svolgimento;
  5. Cooperare con il Garante per la protezione dei dati personali e fungere da punto di contatto per detta Autorità;
  6. Verificare la tenuta dei registri del titolare e del/dei responsabili sul trattamento.

Con l’introduzione di questa nuova figura professionale si è quindi aggiunta un ulteriore e decisivo tassello sulla protezione e il rispetto dei dati personali che, oltre all’essere ormai una vera e propria merce, spesso sono trattati in modo improprio e illegittimo (vedi il caso Facebook/Cambridge Analytica). È comunque importante precisare che tale figura non riduce la responsabilità del titolare del trattamento dei dati personali raccolti, che rimane in egual modo responsabile del rispetto dei principi stabiliti dall’art. 5 del RGPD: liceità, correttezza e trasparenza; limitazione della finalità; minimizzazione dei dati; esattezza; limitazione della conservazione; integrità e riservatezza.

Scritto da Giuseppe Lupinacci

Write a Reply or Comment