Cosa facciamoGDPR

CorsoDPO – Ancora sul DPO

La lezione di oggi riprende nella prima parte la descrizione della figura del DPO.

Detto che il DPO può essere sia interno che esterno è importante, soprattutto nell’ultimo caso definire con attenzione il contratto di affidamento.

Fra i punti e le considerazioni da tenere in considerazione cito, fra le principali:

  • chiarezza nell’individuazione di compiti e funzioni (non avendo paura di includere parti di GDPR);
  • definizione della salvaguardia del data protection officer;
  • esplicitare la necessità di messa a disposizione del DPO di tutte le informazioni necessarie e la garanzia di accesso e supporto, compresa la tempestiva informazione in caso di data breach;
  • formalizzare l’erogazione dei pareri;
  • definire i canali di comunicazione e la documentazione delle attività e le relazioni periodiche;
  • ribadire l’assenza di conflitti di interesse;
  • clausola di manleva;
  • definire la durata dell’incarico e le condizioni per il rinnovo e l’eventuale cessazione;

Il caso della cessazione va valutato e scritto con molta attenzione dato che l’articolo 39 del GDPR indica chiaramente che il DPO non può essere rimosso dall’incarico senza giustificato motivo.

Il DPO è sicuramente assimilabile ad altre figure già presenti nel nostro ordinamento e in particolare l’Organo di Vigilanza (D.Lgs. 231/01)  e al responsabile anticorruzione (legge 190/2012).

Per definire l’eventuale responsabilità penale nell’azione del DPO è necessario attendere la definizione del quadro legislativo.

Interessanti a mio parere due considerazioni: il DPO non ha alcun obbligo di segnalazione positiva al Garante in caso di trattamento illecito e il fatto che fra i compiti del DPO c’è quello di promozione della cultura della protezione dei dati all’interno dell’organizzazione.