DPO Data Protection Officer previsto dal Regolamento Europeo 679/2016

Il regolamento Europeo sul trattamento dei dati ha istituito la figura del DPO Data Protection Officer hai quali sono affidati una serie di incarichi come definito dall’art 39 del RE 679 2016.

Quando la nomina del DPO diventa obbligatoria per un azienda:

• a) se il trattamento è svolto da un’autorità pubblica o da un organismo pubblico, con l’eccezione delle autorità giudiziarie nell’esercizio delle funzioni giurisdizionali;
• b) se le attività principali del titolare o del responsabile consistono in trattamenti che richiedono il monitoraggio regolare e sistematico di interessati su larga scala;
• c) se le attività principali del titolare o del responsabile consistono nel trattamento su larga scala di categorie particolari di dati o di dati personali relativi a condanne penali e reati

I compiti assegnati rigurdano alcuni aspetti definiti all’art 39 del Regolamento Europeo

1. informare e consigliare il titolare o il responsabile del trattamento, nonché i dipendenti, in merito agli obblighi derivanti dal Regolamento europeo e da altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati;
2. verificare l’attuazione e l’applicazione del Regolamento, delle altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati nonché delle politiche del titolare o del responsabile del trattamento in materia di protezione dei dati personali, inclusi l’attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale coinvolto nelle operazioni di trattamento, e gli audit relativi;
3. fornire, se richiesto, pareri in merito alla valutazione d’impatto sulla protezione dei dati e sorvegliare i relativi adempimenti;
4. fungere da punto di contatto per gli interessati in merito a qualunque problematica connessa al trattamento dei loro dati o all’esercizio dei loro diritti;
5. fungere da punto di contatto per il Garante per la protezione dei dati personali oppure, eventualmente, consultare il Garante di propria iniziativa.

Quali le competenze del DPO

Il Responsabile della protezione dei dati personali, nominato dal titolare del trattamento o dal responsabile del trattamento, dovrà:

1. possedere un’adeguata conoscenza della normativa e delle prassi di gestione dei dati personali;
2. deve essere persona in grado di analizzare i processi di gestione dei dati;
3. deve avere competenze tecnologiche in termini di misure di sicurezza nella gestione delle informazioni.

Non conta la certificazioni ma serve esperienza e competenza nei processi di gestione delle informazioni

Il garante del trattamento dei dati si è espresso in questo senso sottolineando che  pubbliche amministrazioni, così come i soggetti privati, dovranno scegliere il Responsabile della protezione dei dati personali con particolare attenzione, verificando la presenza di competenze ed esperienze specifiche. In pratica, quindi, non sono richieste attestazioni formali sul possesso delle conoscenze o l’iscrizione ad appositi albi professionali: serve invece che questa figura sia in grado di fornire supporto all’organizzazione nella gestione delle informazioni, programmare interventi di miglioramento, garantire la compliance con la normativa vigente