Il 15 dicembre 2015, è stato raggiunto un accordo in sede di Trilogo sul testo del Regolamento Europeo sul trattamento dei dati personali.

Cliccare qui per leggere il testo del Regolamento

Il Regolamento, agli artt. 35, 36 e 37, ha definito quale dovrà essere il ruolo del Data Protection Officer all’interno delle nostre organizzazioni.

Cliccare qui per leggere la traduzione non ufficiale degli artt. 35, 36 e 37.

Qui di seguito vi forniamo una breve sintesi rispetto a quanto previsto per questa figura:

LA DESIGNAZIONE

La designazione del D.P.O. è obbligatoria quando:

• (a) il trattamento è effettuato da un’autorità o un ente pubblico, fatta eccezione per i tribunali che esercitano l’attività giudiziaria; o
• (b) le attività principali del Data Controller o Data Processor consistono in operazioni di trattamento che, in virtù della loro natura, del loro scopo e/o della loro finalità, richiedono un monitoraggio regolare e sistematico delle persone interessate su larga scala; o
• (c) le attività principali del Data Controller o Data Processor consistono nel trattamento su larga scala di categorie speciali di dati (dati sensibili) ai sensi dell’Articolo 9 e di dati relativi alle condanne penali e reati di cui all’Articolo 9a;
• (d) se previsto dal diritto dell’Unione o dal diritto dello Stato membro (comma 4). Un gruppo di imprese può designare un unico D.P.O., a condizione che sia facilmente raggiungibile da parte di ciascuno stabilimento. Più autorità o enti pubblici possono designare un unico D.P.O., tenendo conto della loro struttura e dimensione organizzativa.

I REQUISITI

Il D.P.O. deve essere designato sulla base dell’approfondita conoscenza della normativa sulla protezione dei dati e sulla capacità di svolgere i compiti di cui all’Articolo 37. Può essere un soggetto interno (ossia un membro dello staff del Data Controller o Processor), oppure un soggetto esterno che assolve i propri compiti sulla base di un contratto di servizi.

LA POSIZIONE

Il D.P.O. deve essere correttamente e tempestivamente coinvolto in tutte le tematiche che riguardano la protezione dei dati personali. Il Data Controller o Processor deve fornirgli le risorse necessarie per svolgere i propri compiti, per mantenersi aggiornato, nonché l’accesso ai dati personali e alle operazioni di trattamento. Gli interessati possono contattarlo in merito a tutte le questioni relative al trattamento dei dati nonché per l’esercizio dei propri diritti. Il D.P.O. non deve ricevere alcuna istruzione per quanto riguarda l’esercizio dei propri compiti, non deve venire dimesso o penalizzato in ragione dell’esecuzione delle proprie funzioni, e riferisce direttamente al più alto livello di gestione del Data Controller o Processor. Può svolgere altre attività, purché non siano in conflitto d’interessi. Dev’essere vincolato al segreto o alla riservatezza in merito alla prestazione dei suoi compiti, nel rispetto del diritto dell’Unione o dello Stato membro.

I COMPITI

Il D.P.O. deve:

• (a) informare e consigliare il Data Controller o Processor e gli impiegati che trattano i dati personali circa i loro obblighi ai sensi della normativa in materia di protezione dei dati;
• (b) controllare il rispetto della normativa in materia di protezione dei dati e delle regole del Data Controller o Processor in materia di protezione dei dati personali;
• (c), (d), (e): …. (non riproposti nel testo)
• (f) fornire consulenza ove richiesto per quanto riguarda il P.I.A.: Privacy Impact Assessment e monitorare i relativi adempimenti;
• (g) cooperare con l’autorità di vigilanza (Autorità Garante Privacy);
• (h) agire come punto di contatto per l’autorità di vigilanza sulle questioni relative al trattamento dei dati personali. Deve prendere in debito considerazione i rischi associati alle operazioni di trattamento, avuto riguardo alla natura, allo scopo, al contesto ed alle finalità del trattamento.

Fonte: www.statewatch.org

Autori: Matteo Colombo e Laura Asnaghi