Chi può svolgere il ruolo di DPO (o RPD) ?
Il DPO (o RPD) deve essere un consulente esterno capace di assolvere i propri compiti in piena autonomia e indipendenza, sulla base di un CONTRATTO DI SERVIZI stipulato con le aziende per le quali ricopre la nomina di DPO. Esso può anche essere un dipendente della società titolare del trattamento ma si tratta di una scelta sconsigliabile dato il requisito di autonomia funzionale ed operativa che mal si concilia con un rapporto di lavoro subordinato). Ad ogni modo, ogni azienda dovrà rendere noti i dati del proprio DPO o RPD, il quale dovrà essere contattabile facilmente da tutti i soggetti interessati (quindi il nominativo dovrà essere inserito nell’informativa privacy), nonché la sua nomina dovrà essere comunicato al Garante mediante la procedura telematica fornita sul sito del Garante stesso. Per poter svolgere le attività richieste, il Data Protection Officer (DPO o RPD) deve possedere un'adeguata conoscenza del Regolamento GDPR 679/2016 e delle prassi in materia di protezione dei dati, per poter fornire alle aziende la consulenza necessaria per elaborare, verificare e regolamentare un sistema organizzato di gestione dei dati personali che rispetti l’art. 37 comma 5. Deve inoltre predisporre un insieme articolato di misure di sicurezza finalizzate alla tutela dei dati personali, che garantisca l'osservanza del Regolamento Europeo e assicuri riservatezza e sicurezza (art. 39 del Regolamento GDPR 679/2016). In sintesi il DPO deve essere:
• Un professionista competente in materia di gestione dei dati personali;
• Indipendente nello svolgimento delle sue funzioni;
• Privo di conflitti di interesse con le aziende per le quali lavora.
Ai sensi dell’art. 37, paragrafo 5, del Regolamento GDPR 679/2016, il DPO è designato in funzione delle sue qualità professionali, in particolare in base alla sua conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati, nonché della sua capacità di assolvere i compiti di cui all'articolo 39 del Regolamento GDPR 679/2016. Nel considerando 97 si prevede che il livello necessario di conoscenza specialistica dovrebbe essere determinato in base a:
• I trattamenti di dati effettuati e in base alla protezione richiesta per i dati personali oggetto dei trattamenti stessi;
• Conoscenze specialistiche: il livello di conoscenza specialistica richiesto non trova una definizione tassativa; piuttosto deve essere proporzionato alla sensibilità, complessità e quantità dei dati sottoposti a trattamento;
• Qualità professionali: l'articolo 37, paragrafo 5, del Regolamento GDPR 679/2016 non specifica le qualità professionali da prendere in considerazione nella nomina di un DPO; tuttavia sono pertinenti al riguardo la conoscenza da parte dello stesso della normativa e delle prassi nazionali ed europee in materia di protezione dei dati, nonchè un'approfondita conoscenza del GDPR. Proficua anche la promozione di una formazione adeguata e continua rivolta ai DPO da parte delle Autorità di controllo.E' utile la conoscenza dello specifico settore di attività e della struttura organizzativa dell’azienda. Infine, il DPO dovrebbe avere sufficiente familiarità con le operazioni di trattamento svolte con i sistemi informativi per la gestione e protezione dei dati;
• Capacità di assolvere i propri compiti: le qualità personali dovrebbero comprendere, per esempio, l'integrità ed elevati standard deontologici. Inoltre il DPO dovrebbe perseguire in via primaria l'osservanza delle disposizioni del Regolamento GDPR 679/2016. Il DPO svolge un ruolo chiave nel promuovere la cultura della protezione dei dati all'interno dell'azienda o dell'organismo, e contribuisce a dare attuazione a elementi essenziali del Regolamento quali i principi fondamentali del trattamento, i diritti degli interessati, la protezione dei dati sin dalla fase di progettazione e per impostazione predefinita, i registri delle attività di trattamento, la sicurezza dei trattamenti e la comunicazione delle violazioni di dati personali;
• Un'adeguata conoscenza del Regolamento GDPR 679/2016 e delle prassi in materia di protezione dei dati, per poter fornire alle aziende la consulenza necessaria per elaborare, verificare e regolamentare un sistema organizzato di gestione dei dati personali (art. 37 comma 5 Regolamento GDPR 679/2016). Deve inoltre predisporre un insieme articolato di misure di sicurezza finalizzato alla tutela dei dati che garantisca l'osservanza del Regolamento Europeo e assicuri riservatezza e sicurezza (art. 39 Regolamento GDPR 679/2016).
• Un professionista competente in materia di gestione dei dati personali;
• Indipendente nello svolgimento delle sue funzioni;
• Privo di conflitti di interesse con le aziende per le quali lavora.
Ai sensi dell’art. 37, paragrafo 5, del Regolamento GDPR 679/2016, il DPO è designato in funzione delle sue qualità professionali, in particolare in base alla sua conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati, nonché della sua capacità di assolvere i compiti di cui all'articolo 39 del Regolamento GDPR 679/2016. Nel considerando 97 si prevede che il livello necessario di conoscenza specialistica dovrebbe essere determinato in base a:
• I trattamenti di dati effettuati e in base alla protezione richiesta per i dati personali oggetto dei trattamenti stessi;
• Conoscenze specialistiche: il livello di conoscenza specialistica richiesto non trova una definizione tassativa; piuttosto deve essere proporzionato alla sensibilità, complessità e quantità dei dati sottoposti a trattamento;
• Qualità professionali: l'articolo 37, paragrafo 5, del Regolamento GDPR 679/2016 non specifica le qualità professionali da prendere in considerazione nella nomina di un DPO; tuttavia sono pertinenti al riguardo la conoscenza da parte dello stesso della normativa e delle prassi nazionali ed europee in materia di protezione dei dati, nonchè un'approfondita conoscenza del GDPR. Proficua anche la promozione di una formazione adeguata e continua rivolta ai DPO da parte delle Autorità di controllo.E' utile la conoscenza dello specifico settore di attività e della struttura organizzativa dell’azienda. Infine, il DPO dovrebbe avere sufficiente familiarità con le operazioni di trattamento svolte con i sistemi informativi per la gestione e protezione dei dati;
• Capacità di assolvere i propri compiti: le qualità personali dovrebbero comprendere, per esempio, l'integrità ed elevati standard deontologici. Inoltre il DPO dovrebbe perseguire in via primaria l'osservanza delle disposizioni del Regolamento GDPR 679/2016. Il DPO svolge un ruolo chiave nel promuovere la cultura della protezione dei dati all'interno dell'azienda o dell'organismo, e contribuisce a dare attuazione a elementi essenziali del Regolamento quali i principi fondamentali del trattamento, i diritti degli interessati, la protezione dei dati sin dalla fase di progettazione e per impostazione predefinita, i registri delle attività di trattamento, la sicurezza dei trattamenti e la comunicazione delle violazioni di dati personali;
• Un'adeguata conoscenza del Regolamento GDPR 679/2016 e delle prassi in materia di protezione dei dati, per poter fornire alle aziende la consulenza necessaria per elaborare, verificare e regolamentare un sistema organizzato di gestione dei dati personali (art. 37 comma 5 Regolamento GDPR 679/2016). Deve inoltre predisporre un insieme articolato di misure di sicurezza finalizzato alla tutela dei dati che garantisca l'osservanza del Regolamento Europeo e assicuri riservatezza e sicurezza (art. 39 Regolamento GDPR 679/2016).
Tag Associati
Tag Associati
Cerca nel Blog
Filtra per Categoria
Calendario
| aprile 2024 | ||||||
|---|---|---|---|---|---|---|
| L | M | M | G | V | S | D |
| 1 | 2 | 3 | 4 | 5 | 6 | 7 |
| 8 | 9 | 10 | 11 | 12 | 13 | 14 |
| 15 | 16 | 17 | 18 | 19 | 20 | 21 |
| 22 | 23 | 24 | 25 | 26 | 27 | 28 |
| 29 | 30 | |||||
Filtra per anno
Powered by Passepartout
Designed by Gestionale Toscana
Designed by Gestionale Toscana