Telefono e Fax
Tel: 0172425634 Fax: 0172439098

Il GDPR prevede la figura del Responsabile della Protezione dei Dati personalI (RPD) o Data Protection Officer (DPO)

Martedì 10/07/2018, a cura di TuttoCamere.it


Tra le maggiori novità del Regolamento Europeo 2016/679 sulla protezione dei dati personali (c.d. "GDPR") rientra sicuramente la previsione del Responsabile della Protezione dei Dati (RPD) o Data Protection Officer (DPO), anche se il centro del nuovo sistema posto in essere dal GDPR rimane sempre il Titolare del trattamento.

Il Responsabile della Protezione dei Dati o DPO, a norma dell'art. 37 del Regolamento, è il soggetto designato dal Titolare o dal Responsabile del trattamento per assolvere a funzioni di supporto e controllo, consultive, formative e informative relativamente all'applicazione del GDPR.

Il DPO è designato in funzione delle qualità professionali, in particolare della conoscenza specialistica della normativa e delle pratiche in materia di protezione dei dati, e della capacità di adempiere ai propri compiti.

Tale figura, di alto livello professionale, può essere un dipendente del titolare del trattamento o del responsabile del trattamento oppure adempiere ai suoi compiti in base a un contratto di servizi e quindi può essere un libero professionista.

Come precisato dal Garante, le Pubbliche Amministrazioni, così come i soggetti privati, dovranno scegliere il Responsabile della protezione dei dati personali (DPO) con particolare attenzione, verificando la presenza di competenze ed esperienze specifiche.

L'Autorità ha inoltre chiarito che la normativa attuale non prevede l'obbligo per i candidati di possedere attestati formali delle competenze professionali. Tali attestati, rilasciati anche all'esito di verifiche al termine di un ciclo di formazione, possono rappresentare un utile strumento per valutare il possesso di un livello adeguato di conoscenza della disciplina ma, tuttavia, non equivalgono a una "abilitazione" allo svolgimento del ruolo del DPO.

La normativa attuale, tra l'altro, non prevede l'istituzione di un albo dei "Responsabili della protezione dei dati" che possa attestare i requisiti e le caratteristiche di conoscenza, abilità e competenza di chi vi è iscritto. Enti pubblici e società private dovranno quindi comunque procedere alla selezione del DPO, valutando autonomamente il possesso dei requisiti necessari per svolgere i compiti assegnati.

Il DPO, ai sensi dell'art. 38 del Regolamento, deve essere prontamente e adeguatamente coinvolto in tutte le questioni riguardanti la protezione dei dati personali sia dal titolare del trattamento che dal responsabile del trattamento e gli interessati possono contattare il responsabile della protezione dei dati per tutte le questioni relative al trattamento dei loro dati personali e all'esercizio dei loro diritti derivanti dal Regolamento.

Il DPO deve, inoltre, godere di ampia autonomia e non riceve alcuna istruzione per quanto riguarda l'esecuzione dei propri compiti. Inoltre il Regolamento specifica, all'art. 38, che il responsabile della protezione dei dati non è rimosso o penalizzato dal titolare del trattamento o dal responsabile del trattamento per l'adempimento dei propri compiti, ma riferisce direttamente ai massimi superiori gerarchici del titolare del trattamento o del responsabile del trattamento.

Quali i compiti affidati al DPO?

L'articolo 39 del Regolamento individua i compiti del DPO:
  1. informare e fornire consulenza al titolare del trattamento o al responsabile del trattamento nonché ai dipendenti che eseguono il trattamento in merito agli obblighi derivanti dal Regolamento nonché da altre disposizioni dell'Unione o degli Stati membri relative alla protezione dei dati;
  2. sorvegliare l'osservanza del Regolamento, di altre disposizioni dell'Unione o degli Stati membri relative alla protezione dei dati nonché delle politiche del titolare del trattamento o del responsabile del trattamento in materia di protezione dei dati personali, compresi l'attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo;


Quale ente pubblico deve nominare il DPO?

Il Regolamento Europeo stabilisce che i Titolari e i Responsabili del trattamento designino un DPO quando il trattamento è effettuato da un'autorità pubblica o da un organismo pubblico; non sono comprese le autorità giurisdizionali quando esercitano le loro funzioni.

Il Regolamento non fornisce però la definizione di "autorità pubblica" o "organismo pubblico", ma lascia che sia il diritto nazionale ad individuarli.

Devono ritenersi tenuti alla designazione i soggetti ai sensi degli artt. 18 - 22 del Codice:

- le amministrazioni dello Stato, anche con ordinamento autonomo,
- gli enti pubblici non economici nazionali, regionali e locali,
- le Regioni e gli enti locali,
- le università,
- le Camere di commercio, industria, artigianato e agricoltura,
- le aziende del Servizio sanitario nazionale,
- le autorità indipendenti ecc.

La nomina poi è fortemente raccomandata per i soggetti privati che esercitino funzioni pubbliche (in qualità, ad esempio, di concessionari di servizi pubblici).

Nel caso in cui si procedesse con una nomina, si applicherebbero gli stessi requisiti che valgono per i DPO designati su base obbligatoria.
Qualora, poi, il titolare del trattamento o il responsabile del trattamento sia un'autorità pubblica o un organismo pubblico, un unico responsabile della protezione dei dati può essere designato per più autorità pubbliche o organismi pubblici, tenuto conto della loro struttura organizzativa e dimensione.

Come deve essere nominato il DPO?

Se la scelta ricadesse su un professionista interno all'ente, servirebbe formalizzare un apposito atto di designazione a "Responsabile per la protezione dei dati". Qualora invece, si ricorresse a soggetti esterni all'ente, la designazione costituirà parte integrante del contratto di servizi.

Indipendentemente dalla natura e dalla forma dell'atto scelto, è necessario che nello stesso sia individuato:

- il soggetto che opererà come DPO,
- i compiti (eventualmente anche ulteriori a quelli previsti dall'art. 39 del GDPR),
- le funzioni che questi sarà chiamato a svolgere.

Nell'atto di designazione devono risultare anche le motivazioni che hanno portato alla nomina della persona fisica selezionata, così da consentire la verifica del rispetto dei requisiti previsti dal GDPR. Una volta individuato il DPO, il titolare o il responsabile del trattamento è tenuto a indicare, nell'informativa fornita agli interessati, i suoi dati di contatto, pubblicando gli stessi anche sul proprio sito internet e a comunicarli al Garante.

Per approfondire l'argomento e consultare le FAQ del Garante sul RPD in ambito pubblico clicca qui.

Per approfondire l'argomento e consultare le FAQ del Garante sul RPD in ambito privato clicca qui.

Fonte: https://www.tuttocamere.it
Le ultime news
Oggi
Sul stio internet della Giustizia Tributaria è stato pubblicato il rapporto trimestrale sul contenzioso...
 
Oggi
L'errata o imprecisa indicazione della categoria reddituale nell'avviso di accertamento non costituisce...
 
Oggi
Il Consiglio dei Ministri, nella seduta n. 75 del 26 marzo 2024 ha approvato un decreto-legge che introduce...
 
Oggi
L'Inps ha reso note le retribuzioni convenzionali per il 2024, da prendere come riferimento per il calcolo...
 
Oggi
Il Fondo pensione dei dirigenti industriali (PREVINDAI) ha comunicato che la dichiarazione contributiva...
 
Ieri
QuickBilan 2024 è un software in MS Excel di ausilio alla costruzione del bilancio annuale, comprensivo...
 
Ieri
Nella Risposta n. 80 del 25 marzo 2024 l'Agenzia delle Entrate ha chiarito che l’intervento di...
 
Ieri
Ai fini della detrazione lo scontrino fiscale è equivalente alla fattura? Il chiarimento arriva...
 
Ieri
Il CNDCEC ha pubblicato le nuove versioni dei modelli di relazione del collegio sindacale di società...
 
Ieri
L'analisi dei dati divulgati dall'Istat nella Nota flash della Fondazione Studi Consulenti del Lavoro,...
 
Ieri
Con Circolare n. 48 del 25 marzo l'Inps comunica il rilascio della nuova funzione, denominata “PRISMA”...
 
Mercoledì 27/03
Con lo scopo di razionalizzare l’uso dell’acqua e ridurre il consumo di contenitori di plastica...
 
Mercoledì 27/03
Il Consiglio e la Fondazione nazionale dei Commercialisti hanno pubblicato un documento “La liquidazione...
 
Mercoledì 27/03
In scadenza la possibilità di presentare domanda all'Inps per ottenere il Bonus a favore dei genitori...
 
Mercoledì 27/03
Con provvedimento direttoriale dello scorso 15 febbraio il Dipartimento per l’Informazione...
 
Mercoledì 27/03
Con il Messaggio n. 1217 del 22 marzo l'Inps fornisce indicazioni in merito alla compilazione dei flussi...
 
Martedì 26/03
L'articolo 1, commi 89 e 90, della Legge di Bilancio 2024 (Legge n. 213/2023) ha modificato il comma...
 
Martedì 26/03
Con il provvedimento del 30 luglio 2015 l'Agenzia delle entrate, al fine di semplificare la presentazione...
 
Martedì 26/03
L'utilizzazione, da parte dai dipendenti di una società, dei servizi di mobilità sostenibile...
 
altre notizie »
 

Studio Bertola di Bertola Giovanni e Bertola Federico

Piazza C.Alberto, 27 - 12042 Bra (CN)

Tel: 0172425634 - Fax: 0172439098

Email: info@studiobertola.it

P.IVA: 03522130040

Pagina Facebook Pagina Linkedin
Fotografia Gabriele Capra