Il Regolamento UE 2016/679 introduce, tra le varie novità, la figura del Responsabile della Protezione dei Dati, o “Data Protection Officer”.
Designazione
Devono nominare obbligatoriamente un Responsabile della Protezione dei Dati tutte le pubbliche amministrazioni ed enti pubblici, eccetto le autorità giudiziarie. L’obbligo riguarda anche tutti i soggetti (enti e imprese) che nelle loro attività principali trattano su larga scala dati sensibili, relativi alla salute o alla vita sessuale, genetici, giudiziari e biometrici, oppure che svolgono attività in cui i trattamenti richiedono il controllo regolare e sistematico degli interessati. Un gruppo di imprese o soggetti pubblici possono nominare un unico Responsabile della protezione dei dati. Le imprese, che non ricadono invece nell’obbligo di legge, possono comunque decidere di dotarsi ugualmente di un data protection officer.
Compiti
Il Responsabile della Protezione dei Dati ha il compito di informare e consigliare il titolare o il responsabile del trattamento da lui preposto, nonché i dipendenti, in merito agli obblighi derivanti dal Regolamento Europeo e dalle altre disposizioni dell’UE o delle normative locali degli Stati membri relative alla protezione dei dati. Deve poi verificare che la normativa vigente e le policy interne del titolare siano correttamente attuate ed applicate, incluse le attribuzioni delle responsabilità, la sensibilizzazione e la formazione del personale, ed i relativi audit. Su richiesta, deve fornire pareri in merito alla valutazione d’impatto sulla protezione dei dati, sorvegliandone poi i relativi adempimenti. Il Responsabile della Protezione dei Dati funge inoltre da punto di contatto sia con il Garante della Privacy che con gli interessati, che possono rivolgersi a lui anche per l’esercizio dei loro diritti. E’ consentito assegnare al DPO ulteriori compiti e funzioni, a condizione che non diano adito a un conflitto di interessi e che questi gli consentano di avere a disposizione il tempo sufficiente per l’espletamento dei compiti attribuiti dall’art.39 del Regolamento Europeo.
Requisiti
I titolari del trattamento devono designare come “data protection officer” un professionista che possieda una conoscenza specialistica della normativa e delle prassi di gestione dei dati personali, che sia in grado di adempiere alle proprie funzioni in piena indipendenza e in assenza di conflitti di interesse, operando come dipendente, oppure anche sulla base di un contratto di servizi. È richiesto inoltre che il titolare metta a disposizione del Responsabile della protezione dei dati personali le risorse umane e finanziarie necessarie all’adempimento dei suoi compiti.
NOMINE PERSONALE INTERNO TRATTAMENTO DATI
INFORMATIVA SUL TRATTAMENTO DEI DATI PERSONALI (PERSONALE, FAMIGLIE FORNITORI)