Chi è il Dpo e quali sono le sue funzioni?

Di Valeriano Gandolfi | Privacy

Mar 29
dpo-chi-e-privacy-ecommerce

La nuova legge sulla privacy individua le figure aziendali che sono in sostanza responsabili dei trattamenti dati attuati nell’esercizio dell’attività

Il più importante, dal punto di vista della responsabilità nei confronti del Garante e nei confronti degli interessati (clienti) è senza dubbio il titolare del trattamento, e cioè la persona fisica o giuridica che singolarmente, o insieme ad altri, determina le finalità e i mezzi del trattamento e dei dati personali;

il Titolare è il capo che decide, ma anche quello che sopporta le conseguenze dei trattamenti effettuati ed anche colui che è sottoposto al principio dell’accountability o della responsabilizzazione. Infatti a quest’ultimo si chiede di mettere in atto le misure tecniche e organizzative adeguate per garantire ed essere in grado di dimostrare che il trattamento sia effettuato conformemente al Regolamento.

La nuova legge privacy quindi vuole fare in modo che l’adeguatezza delle misure si valuta in base alla natura, all’ambito, al contesto, alle finalità e a probabilità e gravità dei rischi: l’adeguatezza deve essere dimostrata dal Titolare del trattamento e questo implica oneri formali e oneri sostanziali. Tutte queste attività costituiscono l’analisi di impatto privacy, che è stata schematizzata e standardizzata per le e-commerce all’interno del pacchetto Privacy-Facile.

Il Titolare deve, infatti, precostituire un apparato documentale e quindi dimostrare in senso formale di avere valutato tutti i possibili parametri della sua responsabilità e, allo stesso tempo, precostituire un apparato di misure che effettivamente proteggano le persone, evitando che i dati siano sottratti o persi o se ne perdano le tracce o se ne faccia un uso sbagliato. Il principio di responsabilizzazione comporta anche che il Titolare dimostri di essersi continuativamente preoccupato di adeguare nel tempo le misure di risposta adeguata.

I compiti del DPO

Un’altra figura fondamentale prevista dal Regolamento Europeo è quella del responsabile del trattamento. Tale figura deve essere scelta in base a criteri di competenza e può essere una persona fisica o giuridica. Di fatto è il soggetto che tratta dati personali per conto di un Titolare del trattamento: il compito di trattare i dati “per conto di” implica un rapporto simile a quello della rappresentanza. La designazione del Responsabile deve indicare la materia disciplinata, la durata del trattamento, la natura e la finalità del trattamento, il tipo di dati personali e le categorie di interessati, gli obblighi e i diritti del Titolare del trattamento.

In generale questa figura deve coadiuvare il Titolare del Trattamento nel fare in modo che l’azienda rispetti i principi fissati dal nuovo GDPR e raggiunga gli obiettivi, di protezione dati personali, fissati dalla stessa normativa, attraverso l’espletamento di compiti ben precisi, tra cui il dovere di informare immediatamente il Titolare qualora a suo parere vi siano delle violazioni del Regolamento o di altre disposizioni relative alla protezione dati personali. Tali compiti del responsabile del trattamento sono evidenziati sempre nella parte di formazione erogata con il nostro pacchetto Privacy-Facile. Uno dei ruoli cruciali per l’adeguamento al nuovo Regolamento europeo 2016/679 sulla protezione dei dati personali, è quello del DPO (Data Protection Officer) Responsabile della Protezione dei Dati. Questo è una nuova figura ideata ed introdotta dal GDPR per svolgere una funzione di garanzia della conformità della circolazione e della protezione dei dati al Regolamento.

La nomina del Dpo

La designazione del DPO (o anche detto più grezzamente responsabile privacy), di fatto, contribuisce a dimostrare che il Titolare del Trattamento, secondo quanto previsto dal principio dell’accountability o della responsabilizzazione, sta operando nel miglior modo possibile per adottare tutti gli strumenti più idonei a tutelare e trattare correttamente i dati che raccoglie nell’esercizio dell’attività. Il Titolare del trattamento o il Responsabile del trattamento, verrebbe quindi assistito da una persona (il DPO) che dovrebbe avere una conoscenza specialistica della normativa e delle pratiche in materia di protezione dei dati del controllo del rispetto a livello interno del Regolamento. La nomina responsabile privacy ha acceso, e non ancora spento, un ampio dibattito.

Le critiche sulla nomina del Data Protection Officer

Infatti, sebbene sia pacifico che vi sia il predetto obbligo per le Pubbliche Amministrazioni, molto più complicato e poco chiaro risulta individuare quali siano gli elementi oggettivi che configurino l’obbligo anche per le altre aziende private. Il GDPR prescrive che l’assistenza e quindi la nomina del DPO è obbligatoria, oltre che per i trattamenti effettuati da un’autorità pubblica, anche per i trattamenti effettuati nel settore privato da un Titolare del trattamento le cui attività principali consistono in trattamenti che richiedono un monitoraggio regolare e sistematico degli interessati su larga scala o le cui le attività principali consistono nel trattamento su larga scala di dati personali. Questa generica previsione lascia ovviamente ampio spazio all’interpretazione, soprattutto sul significato di “larga scala”, argomento interpretativo che viene spiegato all’interno del nostro pacchetto Privacy-Facile in uno dei video di formazione.

Per quanto riguarda i compiti del DPO li potete trovare enumerati, schematizzati ed analizzati all’interno del nostro pacchetto Privacy-Facile. Sempre nel materiale allegato al nostro pacchetto troverete anche le indicazioni su come favorire l’espletamento dei compiti in capo al DPO ed evitare che si configuri un evidente conflitto di interessi nella nomina di determinati soggetti. Altro aspetto importante, sempre correlato con l’autonomia e indipendenza della figura del DPO, riguarda la sua responsabilità in caso di inosservanza degli obblighi in materia di protezione dei dati con relativi rischi di sanzioni privacy. É giusto chiarire che il DPO non è mai responsabile personalmente, in quanto spetta al Titolare o al Responsabile del trattamento garantire ed essere in grado di dimostrare che il trattamento è effettuato conformemente al Regolamento. Tuttavia il DPO assume una responsabilità contrattuale nei confronti del Titolare e del Responsabile del trattamento.

Avete bisogno di aggiornare il vostro ecommerce in modo facile e corretto? Venite a trovarci su Privacy-facile!

Segui

Informazioni sull’autore

Valeriano Gandolfi

Iscritto all’Albo degli Avvocati di Verona, esercita nell’ambito del diritto civile, con specifico riferimento al settore della Contrattualistica, Diritto del Lavoro e Diritto della Privacy. Nel 2006 ha fondato lo Studio Legale BVG, dedicandosi, in particolare, all’approfondimento delle strategie di negoziazione, alla gestione delle trattative ed alle metodiche di risoluzione stragiudiziale delle vertenze, prendendo parte e contribuendo alla risoluzione di controversie di importante rilievo economico/giuridico, completando la propria preparazione anche con la partecipazione a seminari, convegni e workshop all’avanguardia tenuti da professionisti del settore di levatura internazionale. Nello Studio Legale BVG svolge il ruolo di coordinatore.

Utilizziamo i cookie per personalizzare i contenuti e gli annunci, fornire le funzioni dei social media e analizzare il nostro traffico.
Inoltre forniamo informazioni sul modo in cui utilizzi il nostro sito ai nostri partner che si occupano di analisi dei dati web, pubblicità e social media, i quali potrebbero combinarle con altre informazioni che hai fornito loro o che hanno raccolto in base al tuo utilizzo dei loro servizi.
Acconsenti ai nostri cookie, se vuoi continuare ad utilizzare questo sito web sfruttandone tutte le potenzialità.

Maggiori informazioni

Questo sito utilizza i cookie per fornire la migliore esperienza di navigazione possibile. Continuando a utilizzare questo sito senza modificare le impostazioni dei cookie o cliccando su "Accetta" permetti il loro utilizzo.

Chiudi