GDPR. FAQ su DPO in ambito privato

Dal Garante Privacy disponibili una serie di FAQ sulla figura del DPO (Data Protection Officer)

Il Garante Privacy ha pubblicato sul proprio sito internet una serie di FAQ sulla figura del Responsabile per la protezione dei dati (RPD), meglio nota con l'acronimo inglese DPO "Data Protection Officer1", designata dal titolare o dal responsabile del trattamento per assolvere a funzioni di supporto e controllo, consultive, formative ed informative relativamente all'applicazione del Regolamento medesimo (FAQ n. 1).

Di seguito i punti affrontati dall'Autorità.

  • FAQ n. 2 - Requisiti del DPO -  Il DPO deve essere in possesso di una conoscenza approfondita della disciplina privacy e delle norme e delle procedure amministrative che caratterizzano il settore in cui opera il titolare ovvero il responsabile del trattamento. Non sono richieste specifiche attestazioni formali o l'iscrizione in appositi albi.
  • FAQ n. 3 - Nomina obbligatoria -  Si richiamano le condizioni prescritte dal GDPR (soggetti la cui attività principale consiste in trattamenti che richiedono il monitoraggio regolare e sistematico degli interessati su larga scala o in trattamenti su larga scala di dati "sensibili" e giudiziari). Per quanto attiene alle nozioni di "monitoraggio regolare e sistematico" e di "larga scala" si vedano le "Linee guida sui responsabili della protezione dei dati del 5 aprile 2017, WP 243". 
    Sul punto, le FAQ riportano un elenco esemplificativo e non esaustivo di soggetti che sono tenuti alla nomina del DPO:
        • istituti di credito;
        • imprese assicurative;
        • sistemi di informazione creditizia;
        • società finanziarie; società di informazioni commerciali;
        • società di revisione contabile; società di recupero crediti;
        • istituti di vigilanza; partiti e movimenti politici; sindacati; caf e patronati;
        • società operanti nel settore delle "utilities" (telecomunicazioni, distribuzione di energia elettrica o gas);
        • imprese di somministrazione di lavoro e ricerca del personale;
        • società operanti nel settore della cura della salute, della prevenzione/diagnostica sanitaria quali ospedali privati, terme, laboratori di analisi mediche e centri di riabilitazione;
        • società di call center;
        • società che forniscono servizi informatici;
        • società che erogano servizi televisivi a pagamento.
  • FAQ n. 4 - Nomina non necessaria - Si indicano una serie di casi in cui la nomina del DPO, benchè raccomandata, non è necessaria:
    • trattamenti effettuati da liberi professionisti operanti in forma individuale;
    • agenti, rappresentanti e mediatori operanti non su larga scala;
    • imprese individuali o familiari;
    • PMI, con riferimento ai trattamenti dei dati personali connessi alla gestione corrente dei rapporti con fornitori e dipendenti.
  • FAQ n. 5 - DPO di gruppo - Nell'ambito di un gruppo di imprese è consentito nominare un DPO di gruppo purchè sia facilmente raggiungibile da ciascun stabilimento, sia in grado di comunicare in modo efficace con gli interessati e di collaborare con le autorità di controllo.
  • FAQ n. 6 e 7 - DPO interno - E' ribadita la possibilità che il DPO possa essere ricoperto da un dipendente del titolare o del responsabile del trattamento (non in conflitto di interessi) che conosca la realtà operativa in cui avvengono i trattamenti. Il DPO scelto all'interno deve essere nominato mediante uno specifico atto di designazione, avente forma scritta e in cui siano indicarti espressamente i compiti attribuiti, le risorse assegnate per il loro svolgimento, nonché ogni altra utile informazione in rapporto al contesto di riferimento. Quanto all'assenza di conflitto di interessi, le FAQ suggeriscono di evitare di assegnare il ruolo di DPO a soggetti con incarichi di alta direzione (amministratore delegato; membro del consiglio di amministrazione; direttore generale; ecc.), ovvero nell'ambito di strutture aventi potere decisionale in ordine alle finalità e alle modalità del trattamento (direzione risorse umane, direzione marketing, direzione finanziaria, responsabile IT ecc.). Da valutare, in assenza di conflitti di interesse e in base al contesto di riferimento, l'eventuale assegnazione di tale incarico ai responsabili delle funzioni di staff (ad esempio, il responsabile della funzione legale).
  • FAQ n. 8 - DPO monocratico o collegiale - In caso di DPO interno, questo può essere un "dipendente" (nelle realtà organizzative di medie e grandi dimensioni il DPO interno può essere supportato da un apposito ufficio dotato delle competenze necessarie ai fini dell'assolvimento dei propri compiti). In caso di DPO esterno, questo può essere anche una persona giuridica. Tuttavia, le FAQ raccomandano di procedere a una chiara ripartizione di competenze, individuando una sola persona fisica atta a fungere da punto di contatto con gli interessati e l'Autorità di controllo.

Infine, contestualmente alle FAQ, il Garante Privacy ha pubblicato sul proprio sito il modello per la comunicazione al Garante privacy dei dati del DPO.

Note

1. Art. 37 del Regolamento UE in materia di protezione di dati personali n. 679/2016.

Contatti

Ulteriori informazioni e chiarimenti possono essere richiesti al Settore Fisco e Diritto d'Impresa, tel. 0258370.267/308, fax 0258370334, e-mail: fisc@assolombarda.it

 

 

 

Non sei associato e ti servono informazioni?

Contattaci

Azioni sul documento