adv

Trascorso un mese dall’entrata in vigore del GDPR i dubbi sul ruolo e sulle mansioni del Data Protection Officer sono molteplici.

L’assenza di codici di condotta, da seguire per svolgere al meglio le proprie funzioni, di certo non ha aiutato le nuove figure professionali. Cerchiamo di fare un po’ di chiarezza sui compiti e sul ruolo del Responsabile della Protezione dati all’interno del Management aziendale

I compiti del DPO

Il Responsabile della Protezione dei dati svolge un’attività di informazione e consulenza sugli obblighi derivanti dal GDPR e dalle altre disposizioni in materia di protezione dei dati personali. Inoltre, verifica l’osservanza da parte del Titolare e del Responsabile del trattamento degli obblighi imposti dalla normativa comunitaria e fornisce, ove richiesto, un parere sulla “valutazione d’impatto”, anche detta DPIA.

Pertanto, alla luce del dettato normativo europeo, si deduce che i compiti di questa figura siano prettamente di guida, controllo e coordinamento delle attività svolte dal Titolare e dal Responsabile del trattamento in materia di protezione dei dati personali.

In Italia, invece, molti ritengono erroneamente che sia il DPO a doversi occupare di tutti gli adempimenti necessari affinché un’azienda possa conformarsi alle disposizioni europee; compiti che, invece, come già detto spetterebbero al Titolare o al Responsabile del trattamento.

Viene così snaturata la ratio dell’esistenza stessa di tale figura fino ad arrivare a conseguenze paradossali. Il DPO, in questo caso, oltre a svolgere i compiti di qualcun altro, si ritroverebbe anche nell’assurda situazione di essere il controllato e il controllore di se stesso.

La valutazione d’impatto ed il problema del mancato stanziamento delle risorse ai DPO

Come già anticipato, tra le attività che il Responsabile della Protezione dei dati personali è chiamato a svolgere per il titolare o per il responsabile del trattamento c’è la redazione del “Data Protection Impact assessment”, in altre parole la valutazione d’impatto sulla protezione dei dati personali. Il DPO, quando richiesto, deve esprimere il proprio parere in merito ai rischi legati ad un determinato trattamento ed inoltre deve prevedere anche tutte le misure necessarie per attenuare tali pericoli.

psb consulting gdpr

In questo caso egli non può operare da solo: affinché la valutazione d’impatto possa effettivamente assurgere al proprio compito è necessario che nella stessa converga il lavoro congiunto di diverse personalità (esperti informatici, giuridici ecc). Tuttavia, in Italia, tranne in alcuni casi, i DPO sono stati lasciati completamente da soli durante la predisposizione di tale documento.

Questa è soltanto la prima di numerose difficoltà che i DPO hanno dovuto affrontare durante il primo mese di applicazione del GDPR. Un’altra questione rilevante riguarda l’obbligo dei titolari e dei responsabili del trattamento, previsto dal legislatore europeo all’art. 38 par. 2 del GDPR, di fornire tutte le risorse necessarie sia di natura economica sia di natura strutturale affinché il DPO possa svolgere correttamente i propri compiti.

L’inadempimento di tale previsione rischia di vanificare la funzione del Responsabile per la protezione dei dati personali, soprattutto durante le fasi iniziali di questo processo. È palese che la maggior parte dei problemi riscontrati dai DPO sia di natura applicativa. Un supporto indispensabile è stato fornito in questi mesi dalle diverse Autorità Garanti nazionali, le quali, di volta in volta, emanano linee guida da seguire per la risoluzione delle diverse problematiche.

Avatar
Mi chiamo Benedetta Greco, nel 2013 mi sono laureata in giurisprudenza, presso l'università Federico secondo di Napoli, con tesi sulla definizione di terrorismo in diritto internazionale (di cui vado molto fiera). Ho collaborato come praticante avvocato abilitato per diversi Studi legali e nel 2016 dopo tre anni di gavetta ho superato con successo l'esame di abilitazione alla professione forense. Le mie esperienze professionali si estendono anche al piano della didattica: nel 2014 ho diretto dei moduli riguardanti la “Legislazione commerciale” e “ Legislazione fiscale” nell'ambito di un corso sui “Requisiti professionali per il commercio” nonché un modulo sui “Riferimenti normativi e legislativi in ambito socio sanitario” rientrante nel corso di studi per l’acquisizione dell’attestato di Operatore socio sanitario.