Questo articolo è stato letto 407 volte

Si possono assegnare al DPO funzioni extra? E’ possibile nominare un Unico DPO per più enti?

Articolo di Stefano Comellini

privacy dati personali lavoratore

A poche settimane dalla piena operatività del Regolamento europeo in materia di protezione dei dati personali, sono ancora numerosi i dubbi e gli interrogativi riguardanti la nuova figura ed i compiti del “Responsabile della Protezione dei Dati”, figura nota anche come DPO (acronimo di Data Protection Officer).

Una domanda frequente che mi sento rivolgere è la seguente: è possibile assegnare al DPO, sia che venga designato in ambito privato che in ambito pubblico, ulteriori compiti e funzioni rispetto a quelli previsti dal Regolamento UE 2016/679?

La risposta è: certamente, nulla lo vieta! Ma a condizione che, a seconda della natura dei trattamenti e delle dimensioni della struttura del titolare o del responsabile del trattamento dati, tali ulteriori incombenze non gli sottraggano il tempo necessario per adempiere alle mansioni gli sono attribuite dal GDPR.

Riguardo la Pubblica Amministrazione è recentemente intervenuto sull’argomento il Garante della Privacy con le sue “Nuove Faq sul Responsabile della protezione dei dati (RPD) in ambito pubblico” (pubblicate nel dicembre 2017). Per il Garante è ragionevole che negli enti di grandidimensioni, con trattamenti di dati personali di particolare complessità e sensibilità, non vengano assegnate al DPO ulteriori responsabilità. Occorre aver riguardo, caso per caso, alla specifica struttura organizzativa, alla dimensione e alle attività del singolo titolare o responsabile del trattamento.

Ad esempio nel caso in cui la funzione di “responsabile per la prevenzione della corruzione e per la trasparenza” venga assegnata allo stesso soggetto designato DPO, considerata la molteplicità di adempimenti incombenti sulla prima funzione, c’è il concreto rischio di un cumulo di impegni tale da incidere negativamente sull’effettivo svolgimento dei compiti attribuiti al DPO.

Il Regolamento Generale sulla Protezione dei dati personali e la nomina del DPO nella Pubblica Amministrazione

Il Regolamento Generale sulla Protezione dei dati personali e la nomina del DPO nella Pubblica Amministrazione

Stefano Comellini, 2018, Maggioli Editore
Dal 25 maggio 2018 il Regolamento (UE) 2016/679 in materia di protezione dei dati personali è direttamente applicato in tutti i Paesi dell’Unione Europea.L’opera, dopo una breve panoramica delle novità più significative introdotte dal Regolamento, con una particolare attenzione agli...

50,00 € Acquista

su www.maggiolieditore.it

Inoltre, rispetto alla necessaria assenza di conflitto di interessi, occorre valutare – continua il Garante – se, come indicato nelle stesse Linee Guida (adottate dal Gruppo di Lavoro ex art. 29), tali eventuali ulteriori  funzioni assegnate non comportino la“definizione”, in capo al DPO, “di finalità e di modalità del trattamento dei dati”. A grandi linee, in ambito pubblico, oltre ai ruoli manageriali di vertice, possono sussistere situazioni di conflitto di interesse rispetto a figure investite di “capacità decisionali” in ordine “alle finalità ed ai mezzi del trattamento di dati personali svolti dall’ente”. E’ il caso, a titolo di esempio, della figura del responsabile dei Sistemi informativi (chiamato a individuare le misure di sicurezza necessarie) oppure dell’Ufficio di statistica (deputato a definire le caratteristiche e le metodologie del trattamento dei dati personali utilizzati a fini statistici).

Sugli ulteriori compiti e funzioni del DPO, particolare attenzione, prosegue il Garante, va prestata nei casi di un “unico DPO” per molteplici autorità pubbliche e organismi pubblici, nonché nei casi di DPO esterno, in quanto questi potrebbero svolgere ulteriori compiti in grado di comportare conflitti di interessi oppure non essere in grado di svolgere in modo efficiente le proprie funzioni. In tutti questi casi, nell’atto  di designazione o nel contratto di servizio il DPO deve fornire opportune garanzie per favorire efficienza e correttezza e prevenire conflitti di interesse.

La possibilità, per più enti pubblici, di designare come DPO lo stesso soggetto è stata presa in considerazione in una recente pubblicazione curata dall’ANCI (Associazione Nazionale Comuni d’Italia), facente parte della serie “quaderni Anci” ed intitolata “L’attuazione negli Enti Locali del nuovo Regolamento UE n. 679/2016 sulla protezione dei dati personali”. Nello “schema di regolamento comunale”, allegato alla pubblicazione, si indica, nel caso di Comuni di minori dimensioni demografiche, la possibilità di affidare l’incarico di DPO ad un unico soggetto, anche esterno, designato da più Comuni mediante esercizio associato della funzione. Questo nelle forme previste dal D. Lgs. 267/2000, noto come T.U. degli Enti Locali.

 

Consigliamo il VOLUME:

Il Regolamento Generale sulla Protezione dei dati personali e la nomina del DPO nella Pubblica Amministrazione

Il Regolamento Generale sulla Protezione dei dati personali e la nomina del DPO nella Pubblica Amministrazione

Stefano Comellini, 2018, Maggioli Editore
Dal 25 maggio 2018 il Regolamento (UE) 2016/679 in materia di protezione dei dati personali è direttamente applicato in tutti i Paesi dell’Unione Europea.L’opera, dopo una breve panoramica delle novità più significative introdotte dal Regolamento, con una particolare attenzione agli...

50,00 € Acquista

su www.maggiolieditore.it

© RIPRODUZIONE RISERVATA

Lascia un commento

L'indirizzo email non verrà pubblicato. I campi obbligatori sono contrassegnati *

È possibile utilizzare questi tag ed attributi XHTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>