altre materie

 

Chi è il Data Protection Officer | DPO o (in italiano) il RDP?

Il DPO è una funzione e non un mestiere.

La figura del DPO è prevista dal nuovo regolamento EU sulla protezione dei dati che assegna al titolare del trattamento il potere/dovere di designarlo.

La funzione del RDP è quella di vigilare in via generale sui trattamenti posti in essere dal titolare.

La normativa indica i casi in cui la designazione del DPO è obbligatoria.  Questo è previsto dall’art. 37 nei confronti della Pubblica Amministrazione senza eccezioni; nel caso di trattamenti che richiedono il monitoraggio regolare e sistematico di dati su larga scala; quando i trattamenti riguardano dati personali sensibili (art. 9) o dati relativi a condanne penali e a reati di cui all’art.10 trattati su larga scala.

Anche laddove la designazione del RDP deve ritenersi facoltativa, questa è vivamente consigliata, come ulteriore misura idonea a dimostrare la conformità dei trattamenti al regolamento.

Pertanto, anche in caso di nomina facoltativa del DPO, questa deve avvenire nel rispetto della normativa relativa a questa figura.

Non è possibile, insomma, che nei casi in cui la designazione del RDP non sia obbligatoria il titolare possa costruirsi una sorta di RDP “fai da te”, attribuendo tale funzione a figure professionali inadeguate o senza garantire ad esse i poteri, la posizione di indipendenza e le risorse necessarie previste dalle norme.

Il DPO deve avere una specifica competenza “della normativa e delle prassi in materia di dati personali nonché delle norme e delle procedure amministrative che caratterizzano il settore”. Non meno importante però,, é che abbia anche “qualità professionali adeguate alla complessità del compito da svolgere e possa dimostrare di avere anche competenze specifiche rispetto ai tipi di trattamento posti in essere al titolare.

La designazione di un RDP, tenuto conto dei compiti che questo deve svolgere e sempre a condizione che sia ad esso garantita la indipendenza e i mezzi organizzativi e strumentali necessari, può costituire per il titolare del trattamento una misura molto importante ai fini di dimostrare la sua compliance con quanto previsto dal GDPR.

Il titolare del trattamento deve, infatti,  adottare tutte le misure organizzative e tecniche adeguate “a garantire ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al Regolamento” (art. 24. primo paragrafo).

È evidente, e l’Autorità italiana lo precisa con chiarezza, che attestati rilasciati a seguito di corsi di formazione, di perfezionamento e di master, anche universitari, possono costituire una utile documentazione della quale è opportuno che il titolare tenga massimo conto.

Per tutte le aziende che volessero dimostrare di aver ottemperato alla nuova normativa in materia di privacy e protezione dei dati, anche nei casi di non obbligatorietà,  lo Studio Legale Antisso e Commisso si mette a disposizione per assolvere alla funzione di Data Protection Officer, potendo vantare ed assicurando una formazione specifica in materia di protezione dati.

 

1 Comment

Lascia un commento

Il tuo indirizzo email non verrà pubblicato. I campi obbligatori sono contrassegnati *

cancella il moduloPost comment