Data Protection Officer

RUOLO DEL DATA PROTECTION OFFICER

 

Il Responsabile della protezione dei dati è una figura professionale con competenze giuridiche, informatiche e gestionali, la cui responsabilità principale è osservare, valutare e organizzare la gestione del trattamento di dati personali (e dunque la loro protezione) all'interno di un'azienda, affinché questi siano trattatati in modo lecito e pertinente, nel rispetto delle normative vigenti.

Quando il soggetto che ricopre questo ruolo opera con autonomia e gli è conferito potere decisionale nello svolgimento delle proprie mansioni, si parla di Chief Privacy Officer (CPO), figura che in Europa ha assunto anche la denominazione di Data Protection Officer (DPO), o Responsabile della Protezione dei Dati (RPD), come reso nella versione italiana del Regolamento UE 2016/679. 

A motivo dei compiti che deve svolgere, il DPO deve possedere un'adeguata conoscenza della normativa che regolamenta la gestione dei dati personali nel paese in cui opera. Deve dunque poter offrire ai propri vertici aziendali la consulenza necessaria per supportare l'eventuale progettazione, verifica e mantenimento di un sistema organizzato di gestione dei dati personali, curando l’adozione di un complesso di misure di sicurezza finalizzate alla tutela dei dati che soddisfino i requisiti di legge e assicurino sicurezza e riservatezza.

L'art.38 del Regolamento Europeo sulla protezione dei dati personali, descrive la posizione del "Responsabile della protezione dei dati": egli deve essere prontamente e adeguatamente coinvolto in tutte le questioni riguardanti la protezione dei dati personali, adempiere alle funzioni e ai compiti in piena indipendenza e non ricevere alcuna istruzione per quanto riguarda il loro esercizio, riferendo direttamente ai superiori gerarchici. Deve essere adeguatamente sostenuto nell’esecuzione dei suoi compiti e gli deve essere garantita la presenza di personale, locali, attrezzature e ogni altra risorsa necessaria per adempiere alle funzioni e ai compiti di cui all’articolo 39 del regolamento.

L'art.39 del Regolamento Europeo sulla protezione dei dati personali, elenca i compiti del Responsabile della protezione dei dati: 

  1.  informare e fornire consulenza al Titolare del trattamento o al Responsabile del trattamento nonché ai dipendenti che eseguono il trattamento in merito agli obblighi derivanti dal presente Regolamento nonché da altre disposizioni dell'Unione o degli Stati membri relative alla protezione dei dati; 
  2. sorvegliare l'osservanza del presente Regolamento, di altre disposizioni dell'Unione o degli Stati membri relative alla protezione dei dati nonché delle politiche del Titolare del trattamento o del Responsabile del trattamento in materia di protezione dei dati personali, compresi l'attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo; 
  3. fornire, se richiesto, un parere in merito alla valutazione d'impatto sulla protezione dei dati e sorvegliarne lo svolgimento ai sensi dell'articolo 35;  
  4. cooperare con l'Eutorità di controllo;
  5. fungere da punto di contatto per l'Autorità di controllo per questioni connesse al trattamento, tra cui la consultazione preventiva di cui all'articolo 36, ed effettuare, se del caso, consultazioni relativamente a qualunque altra questione.

Vista la molteplictà delle competenze richieste in capo al DPO, Prynet, con il suo staff, può ricoprire tale importante ruolo, fornendo una reale completezza nella gestione dell'incarico di Responsabile della Protezione dei dati, fornendo servizi ad ampio raggio di competenze ed indicando, come richiesto dalla normativa, un unico referente, che presenterebbe, come richiesto dall'art. 37, il requisito dell’autonomia e indipendenza nell’esercizio delle sue funzioni. 

 In particolare, il par. 3 dell’art. 38 del GDPR stabilisce che il Titolare del trattamento e il Responsabile del trattamento si assicurano che il Responsabile della protezione dei dati non riceva alcuna istruzione per quanto riguarda l'esecuzione di tali compiti . Il Responsabile della protezione dei dati inoltre non può essere rimosso o penalizzato dal Titolare del trattamento o dal Responsabile del trattamento per l'adempimento dei propri compiti. Il Responsabile della protezione dei dati infine deve riferire direttamente al vertice gerarchico del Titolare del trattamento o del Responsabile del trattamento.