Responsabile protezione dei dati personali

10/12/2015

È di questi giorni la pubblicazione del Garante della privacy di una scheda sul responsabile aziendale della protezione dei dati personali (Data protector officer). Tre gli argomenti, quando è prevista la nomina (da parte del datore di lavoro*), i requisiti della figura nominata e i suoi compiti.

La nomina è facoltativa. Ma l’atto è obbligatorio:

a) nelle amministrazioni e negli enti pubblici;
b) nelle imprese con 250 o più dipendenti;
c) nelle attività che si occupano di trattamenti di dati e che, per la loro natura, il loro oggetto o le loro finalità, richiedono il controllo regolare e sistematico degli interessati.
 
La durata della nomina è di 2 anni durante i quali il datore di lavoro deve mettere a disposizione del soggetto nominato le risorse umane e finanziarie necessarie all’adempimento dei suoi compiti.

Quali requisiti deve possedere il Responsabile del trattamento dei dati? Deve:
  1. possedere un’adeguata conoscenza della normativa che regolamenta la gestione dei dati personali nel Paese in cui opera;
  2. adempiere alle sue funzioni in piena indipendenza ed in assenza di conflitti di interesse nello svolgimento del suo compito di controllo e vigilanza;
  3. operare alle dipendenze del titolare dell’azienda (ma anche in relazione a un contratto di servizio intercorso).
E infine, i compiti del Responsabile. Essi consistono nel:

a) informare e consigliare il titolare in merito agli obblighi derivanti dal regolamento europeo e conservare la documentazione relativa all’ attività svolta e alle risposte ricevute;
b) vigilare sull’attuazione e sull’applicazione delle politiche del titolare, compresi l’attribuzione delle responsabilità, la formazione del personale che partecipa ai trattamenti e gli audit connessi;
c) verificare l’attuazione e l’applicazione del Regolamento europeo**, con particolare riguardo ai requisiti concernenti la protezione della privacy fin dalla sua progettazione (privacy by design); la protezione di default di dati e sistemi (privacy by default); la sicurezza dei dati; il riscontro alle richieste degli interessati di esercitare i diritti riconosciuti dal Regolamento;
d) garantire la conservazione e la documentazione relativa ai trattamenti effettuati dal titolare;
e) controllare che le violazioni dei dati personali siano documentate, notificate e comunicate;
f) controllare che il titolare effettui la valutazione d’impatto sulla protezione dei dati e richieda l’autorizzazione preventiva o la consultazione preventiva nei casi previsti;
g) fungere da punto di contatto per il Garante per a protezione dei dati personali oppure, eventualmente, consultare il Garante di propria iniziativa;
h) controllare che sia dato seguito alle richieste del Garante per la protezione dei dati personali e, nell’ambito delle sue competenze, cooperare di propria iniziativa o su richiesta dell’Autorità del Garante.
 
* La nomina e tutte le competenze del titolare dell’azienda in materia, possono essere eseguite, in alternativa, dal responsabile del trattamento (figura prevista dal Codice della privacy, DLgs 196/2003).
** Regolamento COM(2012)11, concernente la tutela delle persone fisiche con riguardo al trattamento dei dati personali e la libera circolazione degli stessi.
(Fonte:http://www.quotidianosicurezza.it/)