FAQ del Garante sul DPO in ambito privato

Il Garante per la protezione dei dati personali ha pubblicato le nuove FAQ relative al Responsabile della Protezione dei Dati (RDP, ovvero DPO) in ambito privato, in aggiunta a quelle adottate dal Gruppo “Articolo” 29.

Di seguito riportiamo sinteticamente alcune delle risposte relative alle domande su questa nuova figura introdotta dal Regolamento UE 2016/679 (“Regolamento”), pubblicate sul sito dell’Autorità Garante per la protezione dei dati dei dati personali.

 

1. Chi è il responsabile della protezione dei dati personali (RPD) e quali sono i suoi compiti?

Il Data Protection Officer o DPO, figura introdotta dall’articolo 37, Sezione 4 del Regolamento, è un soggetto designato dal titolare o dal responsabile del trattamento per adempiere a funzioni di supporto e controllo, consultive, formative e informative relativamente all’applicazione del Regolamento stesso. Coopera con l’Autorità di controllo (Garante per la protezione dei dati).

 

2. Quali requisiti deve possedere il responsabile della protezione dei dati personali?

Il DPO non deve possedere specifiche attestazioni o iscrizioni in appositi albi, ma deve, comunque, avere un’approfondita conoscenza della normativa e della prassi in materia di privacy, norme e procedure amministrative che caratterizzano il settore di riferimento.

Il DPO deve assistere il titolare nell’adozione di un complesso di norme di sicurezza e agire in piena autonomia.

 

3. Chi sono i soggetti privati obbligati alla sua designazione?

Il titolare e il responsabile del trattamento sono tenuti alla designazione del DPO nei casi previsti dall’articolo 37, paragrafo 1, lettera b) e c), del Regolamento.

È prevista l’obbligatorietà della designazione di tale nuova figura, a titolo esemplificativo, per istituti di credito; imprese assicurative; sistemi di informazione creditizia; società finanziarie; società di revisione contabile; società di recupero crediti; istituti di vigilanza; partiti e movimenti politici; sindacati; caf e patronati; società di call center, imprese che forniscono servizi informatici, società che erogano servizi televisivi a pagamento; imprese di somministrazione di lavoro e ricerca del personale; ecc.

 

4. Quali sono i soggetti per i quali non è obbligatoria la designazione del responsabile della protezione dei dati personali?

Nei casi diversi da quelli previsti dall’articolo 37, paragrafo 1, lettera b) e c), del Regolamento, la designazione del responsabile del trattamento non è obbligatoria (ad esempio, in relazione a trattamenti effettuati da liberi professionisti operanti in forma individuale; agenti, rappresentanti e mediatori operanti non su larga scala; imprese individuali o familiari, piccole e medie imprese, con riferimento ai trattamenti dei dati personali connessi alla gestione corrente dei rapporti con fornitori e dipendenti)

 

5. Il responsabile della protezione dei dati personali deve essere un soggetto interno o può essere anche un soggetto esterno? Quali sono le modalità per la sua designazione?

Il ruolo del DPO può essere anche affidato a soggetti esterni, a condizione che garantiscano l’effettivo assolvimento dei compiti che il Regolamento assegna a tale figura.

Il responsabile della protezione dei dati scelto all’interno andrà nominato mediante specifico atto di designazione, mentre quello scelto all’esterno, che dovrà avere le medesime prerogative e tutele di quello interno, dovrà operare in base a un contratto di servizi.

Per maggiori delucidazioni si rinvia alle relative FAQ.

PIVA IT02230331205

Avvertenze   Privacy Policy

Credits webit.it