La figura del Dpo, Data protection officer, o responsabile della sicurezza dei dati, è una figura introdotta sin dal 2016.
Eppure molte amministrazioni pubbliche “dimenti- cano” la formazione costante di tale referente, la cui presenza è obbligatoria in tutti gli enti locali. Non solo. La formazione dei Dpo deve essere aggiornata. Molti amministratori pubblici, poi, non hanno ancora ben chiaro il tema del conflitto di interessi con riferimento al ruolo e alla funzione del Responsabile della Protezione dei dati Personali (DPO).
L’articolo 97 stabilisce come “..i DPO dovrebbero poter adempiere alle funzioni e ai compiti loro incombenti in maniera indipendente” e, inoltre, che i DPO dovrebbero assistere il Titolare o il Responsabile “nel controllo del rispetto a livello interno del presente regolamento”, nell’art.38, in modo chiaro, al paragrafo 6, si evidenzia come il titolare del trattamento debba assicurarsi che i compiti e le funzioni del DPO ”..non diano adito a un conflitto di interessi…”; infine l’art. 39 (1) (b), che affida al DPO tra gli altri compiti quello di “sorvegliare l’osservanza del presente regolamento” (GDPR).
Il Ruolo del DPO può essere assimilato ad un ruolo di governance aziendale, simile ai ruoli di Compliance o Internal Audit, che richiedono indipendenza, autonomia e segregazione dei compiti rispetto a ruoli di management o operativi. In qualche modo è possibile fare un confronto con la composizione dell’Organismo di Vigilanza (OdV).
Il Responsabile del servizio di prevenzione e protezione (RSPP), o il consulente del sistema di gestione ambientale (e persino i sindaci nelle società di capitale), non possono infatti far parte dell’OdV in quanto si ritroverebbero a controllare il proprio operato con riferimento all’osservanza della normativa sulla sicurezza sul lavoro.
Il titolare del trattamento mantiene la piena responsabilità circa l’osservanza della disciplina sulla tutela dei dati personali e deve essere in grado di dimostrare tale osservanza. Se, quindi, il titolare o il responsabile del trattamento assumessero decisioni incompatibili con il GDPR e con le indicazioni del DPO, quest’ultimo deve avere la possibilità di manifestare il proprio dissenso ai decisori.
E’ fondamentale ricordare che la nomina del Dpo dal 2018 è un obbligo nelle amministrazioni pubbliche e che sono previste sanzioni fino a 10 milioni di euro. Nei piccoli comuni, vicini territorialmente, è possibile consorziarsi e nominare un unico Dpo.
Uno dei problemi di maggiore rilevanza in ambito pubblicistico è l’adeguata formazione del DPO che deve avere la possibilità di curare il proprio aggiornamento con riguardo agli sviluppi nel settore della protezione dati.
Ciò mira, in ultima analisi, a consentire un incremento continuo del livello di competenze proprio dei DPO, che dovrebbero essere incoraggiati a partecipare a corsi di formazione su materie attinenti alla protezione dei dati e ad altre occasioni di professionalizzazione.
L’articolo Sanzioni per chi non ha il DPO proviene da Portale Network GTC.