POST 356

L’articolo 37 del
Regolamento UE 679/2016 (GDPR) individua e disciplina la figura del
responsabile della protezione dei dati personali (RDP o DPO) definendolo come
il soggetto responsabile dell’applicazione e del rispetto della normativa
privacy all’interno delle strutture dei titolari e dei responsabili del
trattamento.

Il Dpo:

·
è preposto
all’osservanza, alla valutazione e all’organizzazione dei trattamenti in modo
tale che siano conformi al GDPR;

·
è dotato di autonomia
finanziaria e di risorse economiche;

·
riferisce direttamente al
consiglio di amministrazione ma è da questo indipendente;

·
raccoglie informazioni
sui trattamenti svolti, li analizza e ne verifica la conformità al Gdpr;

·
sensibilizza e forma il
personale del titolare o del responsabile sulla norma privacy;

·
deve avere competenze e
conoscenze informatiche e giuridiche e deve osservare elevati standard
deontologici.

La nomina del Dpo è
obbligatoria solamente se:

– il trattamento è
effettuato da una pubblica amministrazione,

– il core business del titolare o del
responsabile è il monitoraggio regolare e sistematico degli interessati su
larga scala,

– il core business del
titolare o del responsabile consiste nel trattamento su larga scala di dati
sensibili/giudiziari.

Il Dpo può essere sia
intero all’organizzazione del titolare o del responsabile sia esterno e può
essere nominato anche per più società facenti parti del medesimo gruppo.

La nomina del Dpo anche
se non obbligatoria appare comunque opportuna al fine di dimostrare la compliance al GDPR.

Tommaso Talluto
Avvocato – Studio EPICA – Treviso