Consulenza e controllo assimilabile all’Organismo di vigilanza ex 231/01

Il DPO nelle P.A.

Consulenza e controllo assimilabile all’Organismo di vigilanza ex 231/01

blog-img
Privacy - Blog 19/05/2017 Saev Group

 L’art. 37 del nuovo Regolamento stabilisce espressamente che il Titolare del trattamento e il Responsabile del trattamento designino sistematicamente un “Responsabile della Protezione dei dati” o Data Protection Officer ogni qualvolta:

a) il trattamento sia effettuato da un’Autorità pubblica o da un organismo pubblico, eccettuate le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali; (omissis)

Pertanto, la designazione del DPO, oltre a risultare obbligatoria per tutti gli enti pubblici e le pubbliche amministrazioni (centrali e locali), nel settore privato risulta necessaria in particolari ambiti - come quello sanitario - e in tutti quelli in cui sono poste in essere attività di profilazione su larga scala (concetto quest’ultimo ancora di dubbia interpretazione per il quale sarebbe auspicabile che l’Autorità Garante italiana fornisse dei chiarimenti).

In particolare, il DPO può essere individuato tra il personale dipendente in organico, oppure è possibile procedere a un affidamento di tale incarico all’esterno, in base a un contratto di servizi , riferendo direttamente al vertice gerarchico del Titolare o del Responsabile del trattamento: in entrambe le ipotesi, i dati di contatto del DPO dovranno essere pubblicati dal Titolare o dal Responsabile del trattamento - in modo che gli interessati possano contattarlo per tutte le questioni relative al trattamento dei loro dati personali e all’esercizio dei loro diritti - e comunicati all’Autorità garante per la protezione dei dati personali.

In ogni caso, è fondamentale che il DPO sia designato in funzione alle qualità professionali, in particolare alla conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati, e alla capacità di assolvere i compiti elencati all’art. 39 del nuovo Regolamento 2016/679, ossia:

  • informare e fornire consulenza al Titolare o al Responsabile del trattamento, nonché ai dipendenti che eseguono il trattamento, in merito agli obblighi derivanti dallo stesso Regolamento e da altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati;
  • sorvegliare l’osservanza del Regolamento, di altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati, nonché delle politiche del Titolare o del Responsabile del trattamento in materia di protezione dei dati personali, comprese l’attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo;
  • fornire, se richiesto, un parere in merito alla valutazione d’impatto sulla protezione dei dati e sorvegliarne lo svolgimento ai sensi dell’articolo 35 del Regolamento;
  • cooperare con l’Autorità garante per la protezione dei dati personali;
  • fungere da punto di contatto con la stessa Autorità garante per questioni connesse al trattamento, tra cui la consultazione preventiva di cui all’articolo 36 del Regolamento, ed effettuare, se del caso, consultazioni relative a qualunque altra questione.

A tal fine, è proprio l’articolo 38 del Regolamento a imporre al Titolare e al Responsabile del trattamento di assicurarsi che il Data Protection Officer sia tempestivamente e adeguatamente coinvolto in tutte le questioni riguardanti la protezione dei dati personali, fornendogli altresì le risorse necessarie per assolvere tali compiti (e, quindi, anche un budget di spesa), accedere ai dati personali e ai trattamenti e per mantenere la propria conoscenza specialistica (anche mediante un piano di formazione periodico, un po’ come già oggi avviene per gli obblighi formativi che hanno i professionisti iscritti agli albi presso gli Ordini di appartenenza).

Inoltre, a tutela dell’autonomia e indipendenza del DPO nello svolgimento del proprio incarico, allo stesso non deve essere impartita alcuna istruzione per quanto riguarda l’esecuzione dei compiti di propria competenza, a differenza di quanto invece deve fare il Titolare con il Responsabile del trattamento (i cui compiti - a differenza di quanto avveniva sino ad oggi nel Codice privacy italiano - sono invece specificati all’art. 28 del Regolamento 2016/679 in maniera molto dettagliata). Lo stesso DPO, inoltre, non potrà essere rimosso o penalizzato dal Titolare o dal Responsabile del trattamento in ragione dell’adempimento dei propri compiti.

Il quadro normativo di riferimento delinea, dunque, il Data Protection Offi cer come una fi gura manageriale (executive manager), di consulenza e controllo, assimilabile, per taluni aspetti e per i requisiti di autonomia e indipendenza, alle funzioni che esercita un Organismo di Vigilanza (ex D.Lgs. 231/2001), ma ovviamente relativo all’ambito privacy: il DPO, infatti, funge sia da auditor sia da referente per la protezione dei dati e per la gestione degli adempimenti previsti per il corretto trattamento dei dati personali nel contesto dell’ente pubblico o dell’organizzazione privata in cui opera.

Da ultimo, è utile considerare che tenendo conto del nuovo approccio delle norme dell’UE alla materia privacy e del principio dell’accountability (intesa come “responsabilizzazione”) che introduce maggiori responsabilità per i titolari e responsabili del trattamento, la possibilità in futuro di poter ricorrere all’utilizzo di certifi cazioni (già previste dal nuovo Regolamento) anche per il profi lo professionale del DPO potrà sicuramente aiutare tali soggetti nella scelta delle persone più adatte a ricoprire questo ruolo e a garantire un livello di tutele e garanzie adeguate per il trattamento dei dati personali all’interno del contesto in cui tale fi gura andrà ad operare.

Potrebbe interessarti anche...

Notizie dal Blog

Eventi, Normative, Novità e Consigli dei Nostri esperti

I diritti dell’interessato nella nuova informativa alla luce della nuova disciplina comunitaria
Protezione dei dati

I diritti dell’interessato nella nuova informativa alla luce della nuova disciplina comunitaria

Necessario è l'adeguamento alla nuova Normativa
La privacy non esiste

Necessario è l'adeguamento alla nuova Normativa

Consulenza e controllo assimilabile all’Organismo di vigilanza ex 231/01
Il DPO nelle P.A.

Consulenza e controllo assimilabile all’Organismo di vigilanza ex 231/01

Il working party 29 ne chiarisce i termini
Devo nominare un DPO?

Il working party 29 ne chiarisce i termini

Strumento di contrasto agli attentati terroristici
La protezione dei dati

Strumento di contrasto agli attentati terroristici

Come “blindare” il sistema informativo e garantire un corretto trattamento dei dati dei correntisti.
Banche: clienti più sicuri con il tracciamento delle operazioni

Come “blindare” il sistema informativo e garantire un corretto trattamento dei dati dei correntisti.

Le regole del garante per rispettare la privacy dei cittadini e dei dipendenti
La PA su Internet

Le regole del garante per rispettare la privacy dei cittadini e dei dipendenti

Tutto quello che l'albergatore deve sapere
Le regole Privacy per gli hotels

Tutto quello che l'albergatore deve sapere

Il regolamento, integrato dal documento, non dovrà essere così sottoposto nuovamente al parere del Garante.
Giustizia: il Garante privacy fissa le regole per la mediazione civile

Il regolamento, integrato dal documento, non dovrà essere così sottoposto nuovamente al parere del Garante.

E' stato consentito di conservare per novanta giorni le immagini registrate
Videosorveglianza e tutela aziendale

E' stato consentito di conservare per novanta giorni le immagini registrate

Rivolto a coloro che svolgono indagini sulla qualità dei servizi offerti ai cittadini
Linee guida del Garante per gli organismi sanitari

Rivolto a coloro che svolgono indagini sulla qualità dei servizi offerti ai cittadini

In data 23 Giugno 2011 ha presentato presso la sala della Lupa la relazione sul 14° anno di attività
Relazione 2011 del Garante Privacy

In data 23 Giugno 2011 ha presentato presso la sala della Lupa la relazione sul 14° anno di attività

contatto_banner.jpg

Subito in regola in due mosse...

Prendi appuntamento con un consulente SAEV direttamente presso la tua Azienda e verifica senza impegno il Tuo stato di adeguamento, oppure richiedi subito uno dei Corsi di Formazione SAEV per essere subito operativo.

Saev al Tuo fianco

Scopri tutti i Servizi Saev

I nostri consulenti sapranno seguirti in tutte le fasi dell'adeguamento e della formazione.

Orgogliosi di aver contribuito alla loro impresa

Clienti in regola. E soddisfatti.

Inoxa Logo
Cremeria Rosa Logo
Fondazione Pergolesi Spontini Logo
Elica Logo
Defendi Logo
Schiavoni Logo
Talevi Logo
ristopro Logo
Copyright © 2018 Saev. Tutti i diritti riservati. - Saev SRL - Viale Don Minzoni, 3/f 60035 Jesi (AN) IT - P.IVA 02478240423 - REA: AN - 190683
Web Marketing e Sviluppo Portale Aziendale by Crealia - Strategie Integrate Online e Offline