La figura del dpo, o responsabile della sicurezza dei dati, è una figura introdotta sin dal 2016. Eppure molte amministrazioni pubbliche “dimenticano” la formazione continua di tale referente con il rischio di incorrere in multe. Il dpo è obbligatorio e la sua formazione deve essere aggiornata.

Molti funzionari pubblici, inoltre, non hanno ancora ben chiaro il tema del conflitto di interessi con riferimento al ruolo e alla funzione del Responsabile della Protezione dei dati Personali (DPO).

Dpo obbligatorio, l’articolo 97

L’articolo 97 stabilisce come “..i DPO dovrebbero poter adempiere alle funzioni e ai compiti loro incombenti in maniera indipendente” e, inoltre, che i DPO dovrebbero assistere il Titolare o il Responsabile “nel controllo del rispetto a livello interno del presente regolamento”, nell’art.38, in modo chiaro, al paragrafo 6, si evidenzia come il titolare del trattamento debba assicurarsi che i compiti e le funzioni del DPO ”..non diano adito a un conflitto di interessi…”; infine l’art. 39 (1) (b), che affida al DPO tra gli altri compiti quello di “sorvegliare l’osservanza del presente regolamento” (GDPR).

Il Ruolo del Dpo – Data Protection Officer  può essere assimilato ad un ruolo di governance aziendale, simile ai ruoli di Compliance o Internal Audit, che richiedono indipendenza, autonomia e segregazione dei compiti rispetto a ruoli di management o operativi. In qualche modo è possibile fare un confronto con la composizione dell’Organismo di Vigilanza (OdV).

Il Responsabile del servizio di prevenzione e protezione (RSPP), o il consulente del sistema di gestione ambientale (e persino i sindaci nelle società di capitale), non possono infatti far parte dell’OdV in quanto si ritroverebbero a controllare il proprio operato con riferimento all’osservanza della normativa sulla sicurezza sul lavoro.

Il titolare del trattamento mantiene la piena responsabilità circa l’osservanza della disciplina sulla tutela dei dati personali e deve essere in grado di dimostrare tale osservanza. Se, quindi, il titolare o il responsabile del trattamento assumessero decisioni incompatibili con il GDPR e con le indicazioni del DPO, quest’ultimo deve avere la possibilità di manifestare il proprio dissenso ai decisori.

E’ fondamentale ricordare che la nomina del Dpo dal 2018 è un obbligo nelle amministrazioni pubbliche e che sono previste sanzioni fino a 10 milioni di euro. Nei piccoli comuni, vicini territorialmente, è possibile consorziarsi e nominare un unico Dpo.

Uno dei problemi di maggiore rilevanza in ambito pubblicistico è l’adeguata formazione del DPO che deve avere la possibilità di curare il proprio aggiornamento con riguardo agli sviluppi nel settore della protezione dati.

Ciò mira, in ultima analisi, a consentire un incremento continuo del livello di competenze proprio dei responsabili della protezione dati, che dovrebbero essere incoraggiati a partecipare a corsi di formazione su materie attinenti alla protezione dei dati e ad altre occasioni di professionalizzazione.

 

https://shop.networkgtc.it/prodotto/data-protection-officer/

https://shop.networkgtc.it/prodotto/privacy-regolamento-ue-2016-679-gdpr/

https://shop.networkgtc.it/prodotto/manager-privacy/

https://shop.networkgtc.it/prodotto/privacy-soggetto-incaricato-trattamento-dati/

https://shop.networkgtc.it/prodotto/privacy-soggetto-incaricato-trattamento-dati-sensibili/

https://shop.networkgtc.it/prodotto/esperto-della-privacy-secondo-il-nuovo-regolamento-ue-2016-679/