Responsabile protezione dati o DPO in azienda: attenzione ai criteri per la nomina

Responsabile protezione dati o DPO in azienda: attenzione ai criteri per la nomina

Responsabile protezione dati o DPO in azienda: attenzione ai criteri per la nomina

Il DPO o responsabile della protezione dei dati personali è una figura chiave per la gestione della privacy in azienda. Ricordiamo i criteri per la sua nomina, precisamente normati dal GDPR.

Il responsabile della protezione dati (Data Protection Officer, DPO) è la figura designata per osservare, valutare e organizzare la gestione di tutti i dati personali trattati all’interno dell’azienda (pubblica o privata), al fine di garantirne un trattamento e una protezione perfettamente conformi alle normative privacy europee e nazionali.

Il titolare del trattamento (ad es., il datore di lavoro o titolare dell’impresa) è tenuto a nominare un DPO ogni volta che:

  • Il trattamento dati è effettuato da un ente o un’autorità pubblica (salvo nel caso di autorità giurisdizionali, nell’esercizio di funzioni giurisdizionali).
  • Le attività principali di trattamento dati richiedono, per loro natura o per ambito di applicazione o finalità, un monitoraggio sistematico del trattamento.
  • I dati trattati appartengono alle categorie particolari specificate negli articoli 9 e 10 del GDPR (dati sensibili, dati relativi a condanne penali o reati etc.).

Il Data Protection Officer è tenuto, nell’esercizio del suo incarico, a considerare debitamente i rischi del trattamento dati, tenendo conto delle specifiche caratteristiche del contesto in cui opera (natura dei dati trattati, finalità del trattamento, ambito di applicazione etc.).

È quindi incaricato di:

  • Informare e fornire consulenza al titolare (o al responsabile) del trattamento dati, nonché ai dipendenti, riguardo gli obblighi derivanti dal GDPR e da eventuali altre disposizioni europee o nazionali.
  • Sorvegliare sulle attività di trattamento e protezione dati al fine di comprovare la conformità al regolamento, verificando anche l’attribuzione delle responsabilità e la formazione e sensibilizzazione del personale coinvolto nei trattamenti e nelle eventuali altre attività di controllo.
  • Fornire, quando richiesto, un parere in merito alla valutazione d’impatto sulla protezione dei dati sorvegliandone lo svolgimento ai sensi dell’art. 35.
  • Cooperare con l’autorità di controllo, fungendo da punto di contatto tra essa e l’azienda interessata.

È importante sottolineare la necessità, nel processo di nomina del DPO, di scegliere una figura senza conflitti di interessi all’interno dell’azienda.

È utile a questo proposito citare il recente caso di un’azienda tedesca in cui il DPO ricopriva anche un ruolo dirigenziale. All’entrata in vigore del GDPR, nel 2018, il DPO è stato sollevato dal suo incarico a causa dei possibili conflitti di interessi tra le due nomine che ricopriva.

Positivo il parere della Corte di Giustizia Europea, che ha ribadito che ogni qualvolta il DPO non possa svolgere il suo incarico in totale indipendenza a causa di un conflitto di interessi (anche potenziale), la nomina va reindirizzata su un’altra persona.

Contattaci per una verifica Privacy delle tue nomine