L’art. 37 del Reg. Ue 2016/679 (GDPR) stabilisce quando è obbligatoria la nomina di un DPO:
- il trattamento è effettuato da un’autorità pubblica o da un organismo pubblico, eccettuate le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali;
- le attività principali del titolare del trattamento o del responsabile del trattamento consistono in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala;
oppure
3. le attività principali del titolare del trattamento o del responsabile del trattamento consistono nel trattamento, su larga scala, di categorie particolari di dati personali di cui all’articolo 9 (dati sanitari) o di dati relativi a condanne penali e a reati di cui all’articolo 10.
QUALI SONO I COMPITI ASSEGNATI AL DPO?
Il Responsabile della protezione dei dati dovrà, in particolare:
- sorvegliare l’osservanza del regolamento, valutando i rischi di ogni trattamento alla luce della natura, dell’ambito di applicazione, del contesto e delle finalità;
- collaborare con il titolare/responsabile, laddove necessario, nel condurre una valutazione di impatto sulla protezione dei dati (DPIA);
- informare e sensibilizzare il titolare o il responsabile del trattamento, nonché i dipendenti di questi ultimi, riguardo agli obblighi derivanti dal regolamento e da altre disposizioni in materia di protezione dei dati;
- cooperare con il Garante e fungere da punto di contatto per il Garante su ogni questione connessa al trattamento;
- supportare il titolare o il responsabile in ogni attività connessa al trattamento di dati personali, anche con riguardo alla tenuta di un registro delle attività di trattamento.
Svolgere l’attività di DPO significa affiancare il Titolare e/o il Responsabile del trattamento nel percorso di adeguamento alla normativa ma anche di aggiornamento continuo, implementazione digitale, formazione al personale dipendente e anche punto di contatto per gli interessati; tutto ciò affinché l’ente che si avvantaggia della consulenza del DPO possa essere perfettamente compliant evitando di incorrere in pesanti sanzioni che il Garante per la Protezione dei Dati Personali potrebbe applicare in caso di negligenza.