Avv. Vincenzo Colarocco
Il 15 dicembre 2017 il Garante Privacy ha pubblicato le nuove FAQ sul Data Protection Officer (“DPO”), in aggiunta a quelle adottate dal Gruppo dei Garanti Article 29 Working Party (“WP29”), chiarendo alcuni aspetti applicativi ed in particolare per l’ambito pubblico.
L’art. 37, primo comma del Regolamento Generale per la Protezione dei Dati Personali n. 679/2016 (“GDPR”) prevede, tra l’altro, l’obbligo per titolari e responsabili di nominare il DPO quando il trattamento dei dati è effettuato da un “organismo pubblico” o da un’“autorità pubblica” - da intendersi – allo stato- come quei soggetti che stabiliscono le regole generali per i trattamenti effettuati dai soggetti pubblici (ad esempio, amministrazioni dello Stato, Regioni, istituti previdenziali, ASL, ecc.). Il Garante ha, altresì, chiarito che nel caso in cui soggetti privati esercitino funzioni pubbliche (in qualità, ad esempio, di concessionari di servizi pubblici), la designazione del DPO non è obbligatoria, ma è fortemente raccomandata.
Nell’ipotesi in cui il DPO sia interno, l’Autorità consiglia che la designazione sia conferita a un dirigente ovvero a un funzionario di alta professionalità, il quale possa svolgere le proprie funzioni in autonomia e indipendenza, nonché in collaborazione diretta con il vertice dell’organizzazione. L’Autorità ha inoltre chiarito che in relazione alla complessità dei trattamenti e dell’organizzazione debba essere valutata attentamente l’opportunità di mettere a disposizione del DPO risorse necessarie - istituendo se necessario anche un ufficio ad hoc-, al fine di poter operare con efficienza ed avere risorse sufficienti in proporzione al trattamento svolto.
Il DPO può svolgere anche ulteriori compiti e funzioni, a condizione che non diano adito a un conflitto di interessi e che consentano allo stesso di avere a disposizione il tempo sufficiente per l'espletamento dei compiti previsti dal GDPR.
Quanto ai requisiti necessari per svolgere la funzione di DPO il Garante chiarisce - ancora una volta- che il possesso di una specifica certificazione non deve essere considerato come abilitazione all'esercizio di tale ruolo e che spetta al titolare e al responsabile valutare in concreto il possesso dei requisiti professionali richiesti dal Regolamento.
Infine, il Garante per agevolare gli enti ha pubblicato sia uno schema di atto di designazione del Data Protection Officer sia un modello di comunicazione al Garante da utilizzare per render nota all’Autorità l’avvenuta nomina.
Related Posts