Il Responsabile della protezione dei dati personali – (Data Protection Officer – DPO)
In questo articolo verrà presentata la figura del Responsabile della protezione dei dati personali (Data Protection Officer) come definita nella proposta di Regolamento COM(2012)11 concernente la “tutela delle persone fisiche con riguardo al trattamento dei dati personali e la libera circolazione di tali dati”.
La normativa è attualmente ancora in fase di approvazione, quindi le informazioni qui presentate vanno considerate come suscettibili di cambiamenti.
QUALI SONO I REQUISITI?
Il Responsabile della protezione dei dati personali, nominato dal titolare del trattamento o dal responsabile del trattamento, dovrà: possedere un’adeguata conoscenza della normativa che regolamenta la gestione dei dati personali nel Paese in cui opera; adempiere alle sue funzioni in piena indipendenza ed in assenza di conflitti di interesse nello svolgimento del suo compito di controllo e vigilanza; operare alle dipendenze del titolare oppure sulla base di un contratto di servizio. L’incarico avrà una durata di almeno 2 anni e sarà rinnovabile. Il titolare o il responsabile del trattamento dovranno mettere a disposizione del Responsabile della protezione dei dati personali le risorse umane e finanziarie necessarie all’adempimento dei suoi compiti.
IN QUALI CASI E’ PREVISTO?
Dovranno designare obbligatoriamente un Responsabile della protezione dei dati personali: le amministrazioni e gli enti pubblici; le imprese con 250 o più dipendenti e tutti i soggetti la cui attività principale consiste in trattamenti che, per la loro natura, il loro oggetto o le loro finalità, richiedono il controllo regolare e sistematico degli interessati. Si può comunque designare un Responsabile della protezione dei dati personali anche in casi diversi da quelli sopra indicati.
QUALI SONO I COMPITI?
Il Responsabile della protezione dei dati personali dovrà:
a) informare e consigliare il titolare o il responsabile del trattamento in merito agli obblighi derivanti dal regolamento europeo e conservare la documentazione relativa a tale attività e alle risposte ricevute;
b) vigilare sull’attuazione e sull’applicazione delle politiche del titolare o del responsabile del trattamento in materia di protezione dei dati personali, compresi l’attribuzione delle responsabilità, la formazione del personale che partecipa ai trattamenti e gli audit connessi;
c) verificare l’attuazione e l’applicazione del Regolamento europeo, con particolare riguardo ai requisiti concernenti la protezione della privacy fin dalla sua progettazione; la protezione di default di dati e sistemi; la sicurezza dei dati; il riscontro alle richieste degli interessati di esercitare i diritti riconosciuti dal Regolamento;
d) garantire la conservazione della documentazione relativa ai trattamenti effettuati dal titolare;
e) controllare che le violazioni dei dati personali siano documentate, notificate e comunicate;
f) controllare che il titolare o il responsabile del trattamento effettui la valutazione d’impatto sulla protezione dei dati e richieda l’autorizzazione preventiva o la consultazione preventiva nei casi previsti;
g) fungere da punto di contatto per il Garante per la protezione dei dati personali oppure, eventualmente, consultare il Garante di propria iniziativa;
h) controllare che sia dato seguito alle richieste del Garante per la protezione dei dati personali e, nell’ambito delle sue competenze, cooperare di propria iniziativa o su richiesta dell’Autorità.
Il Responsabile della protezione dei dati personali – Scheda informativa – Garante protezione dati personali