Gdpr, cosa fa il DPO e quali incarichi: facciamo chiarezza – di Patrizio Galeotti

Per stabilire quanti incarichi un DPO può assumere, occorre analizzare una serie di parametri, dalla dimensione delle aziende alla loro “potenza” in fatto di trattamento dati, fino alla facile raggiungibilità. Importanti, anche, velocità e facilità di assistenza che il DPO può fornire da remoto o con strumenti informatici

Ultimamente, in vista del termine di entrata in vigore del GDPR, il 25 maggio, c’è stata una inflazione di offerte al ribasso (dal punto di vista economico) per accaparrarsi quanti più incarichi possibili di DPO, da parte di una pletora indistinta di società, professionisti e anche soggetti non ben qualificabili, alcuni che si presentano come DPO certificati, quando questa certificazione con valore legale in Italia non esiste ancora.

Soluzioni stravaganti e conflitto d’interessi

Molti soggetti autoqualificatisi esperti, offrono addirittura soluzioni tutto compreso a dir poco  stravaganti, ovvero consulenza legale e informatica per l’adeguamento dell’ente o della impresa, alla normativa europea ed italiana, e si candidano contemporaneamente anche alla nomina di DPO; ignorando del tutto il possibile conflitto di interessi che così si verrebbe a creare nel caso in cui la consulenza andasse a determinare finalità e o modalità e tipologie del trattamento, e che rende il doppio incarico a rischio, con conseguenze sul  rispetto della disciplina europea.

Questo fenomeno è stato criticato da molteplici commentatori ed esperti, di provata esperienza in materia, tra questi l’ex Garante della Privacy Italiano, Francesco Pizzetti, che non ha mancato di mettere in guardia dal fenomeno dell’accaparramento degli incarichi, in assenza di possibilità poi di poterli materialmente onorare tutti.

Quali sono le caratteristiche del DPO

Per comprendere meglio chi sia il DPO o RDP, vediamo quali devono essere le sue caratteristiche.

Questa è una figura nuova nel panorama italiano, ma già esistente da tempo in europa, che ha una duplice funzione, la principale è quella di soggetto con competenza in materia di tutela dei dati personali, con piena ed ampia autonomia anche economica che deve essergli garantita per volontà di legge, dal Titolare del Trattamento o dal Responsabile; è un vero e proprio controllore e consigliere sull’applicazione della norma in materia dei dati personaliall’interno delle strutture ove la sua nomina è obbligatoria. E al contempo è anche il soggetto di collegamento diretto tra l’autorità di controllo (il Garante) e il Titolare del Trattamento e/o il Responsabile ove presente.

Quando è obbligatorio il DPO nelle aziende private

La sua nomina è sempre obbligatoria nelle pubbliche amministrazioni, mentre nelle aziende private lo è soltanto quando ricorrano determinate tipologie di trattamenti elencati nelle lettere b) c) del comma 1 dell’art. 37 del regolamento europeo, ovvero per trattamenti che richiedono il monitoraggio regolare e sistematico degli interessati su larga scala, o per il trattamento su larga scala di categorie particolari di dati personali come quelli che il vecchio codice italiano qualificava come sensibili e sanitari, o di dati relativi a condanne penali e a reati.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *