Responsabile della protezione dei dati (DPO): quali sono le funzioni da svolgere e qual è la norma di riferimento in ordine a queste funzioni?
L’articolo 39 del GDPR prevede un elenco di compiti che devono essere affidati tassativamente al DPO:
a. informare e fornire consulenza in merito agli obblighi derivanti dal GDPR nonché da altre disposizioni relative alla protezione dei dati;
b. sorvegliare l’osservanza del GDPR, di altre disposizioni relative alla protezione dei dati nonché delle politiche aziendali in materia di protezione dei dati personali, compresi l’attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo. È bene evidenziare a riguardo che tale compito di sorveglianza non comporta una responsabilità personale del DPO in caso di inosservanza del GDPR da parte dell’azienda. La norma è chiara nel porre in capo al Titolare l’onere di “mettere in atto misure tecniche e organizzative adeguate a garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al presente Regolamento” (art. 24, comma 1, GDPR).
c. fornire, se richiesto, un parere in merito alla valutazione d’impatto sulla protezione dei dati e sorvegliarne lo svolgimento ai sensi dell’articolo 35 del GDPR. Lo svolgimento di una Valutazione di Impatto è un compito che spetta sempre al Titolare e non al DPO. Tuttavia, in questo caso il DPO svolge un ruolo fondamentale in quanto è esplicitamente chiamato dal Regolamento a supportare l’azienda in tale attività fornendo, se richiesto, un parere sulla valutazione e sorvegliandone lo svolgimento.
d. cooperare con l’autorità di controllo e fungere da punto di contatto per questioni connesse al trattamento, tra cui la consultazione preventiva di cui all’articolo 36 GDPR, ed effettuare, se del caso, consultazioni relativamente a qualunque altra questione.
Il DPO funge quindi da “intermediario” tra l’azienda e l’Autorità.
Per tale motivo egli è anche il primo soggetto interpellato dall’Autorità stessa in caso di richiesta di informazioni, chiarimenti, documentazione ovvero in caso di attività ispettiva.
Nell’eseguire i suoi compiti, il DPO deve considerare debitamente i rischi inerenti al trattamento, tenendo conto della natura, dell’ambito di applicazione, del contesto e delle finalità del medesimo.
Il ruolo del DPO, si ricorda, non è quello di impedire all’azienda di attuare determinati trattamenti, ma di supportarla e consigliarla in ogni processo che coinvolga dati personali, garantendo sempre la conformità al GDPR.
Un tale approccio non può che tradursi in vantaggi per l’azienda in termini di immagine, organizzazione e risparmio di risorse.
Articolo originale pubblicato su Informazione Fiscale qui: I compiti del responsabile della protezione dei dati (DPO)
