L’applicazione del principio di Accountability, inteso come responsabilizzazione e dovere di rendicontazione, introduce la figura del DPO, Data Protection Officer, o Responsabile della Protezione Dati.
La figura ha un ruolo fondamentale nell’assicurare che il Titolare del trattamento ottemperi con diligenza alle prescrizioni contenute nel Regolamento Europeo 2016/679.
Il DPO è un supervisore indipendente, con funzioni di supporto, consultazione, formazione e informazione e avrà il compito di cooperare con il Garante della Privacy, costituendo il punto di contatto, anche rispetto agli interessati, tra l’Amministrazione e l’Autorità.
I suoi dati dovranno essere sempre pubblicati in chiaro dalla PA e il suo nominativo comunicato al Garante.
Sono obbligati alla nomina del DPO:
- Amministrazioni ed enti pubblici ad eccezione delle autorità giudiziarie
- Tutti i soggetti la cui attività principale consiste in trattamenti che per natura, oggetto o finalità richiedono il controllo regolare e sistematico degli interessati
- Tutti i soggetti la cui attività principale consiste nel trattamento, su larga scala, di dati sensibili relativi alla salute o alla vita sessuale, genetici, giudiziari e biometrici
I principali compiti del DPO sono:
- Informare e assistere il Titolare del trattamento e i lavoratori nella corretta applicazione del Regolamento;
- Vigilare sulla corretta applicazione della disciplina privacy (regolamento – policy) attraverso attività di audit e di formazione/sensibilizzazione dei lavoratori.
- Fornire, se richiesto, pareri in merito alla valutazione d’impatto sulla protezione dei dati e sorvegliare i relativi adempimenti.
- Fungere da punto di contatto per gli interessati in merito a qualunque problematica connessa al trattamento dei loro dati o all’esercizio dei loro diritti.
- Gestire le richieste provenienti dall’Autorità Garante per la protezione dei dati personali (es. rispondendo alle note di chiarimenti) oppure le istanze presentate dal Titolare del trattamento (es. istanze di verifica preliminare ex art. 17 C.d.P.)
Dasein, oltre a garantire i principali compiti del DPO, così come previsti dall’art. 39 del GDPR (punti da 1 a 5 precedenti), garantisce inoltre:
- La formulazione di pareri relativi al bilanciamento tra riservatezza e trasparenza amministrativa alla luce del decreto legislativo n.33/2013, così come riformato dal Decreto Legislativo n.97/2016 ;
- Il supporto nell’aggiornamento di una procedura di gestione degli affidamenti di attività che comportano un trattamento di dati personali a responsabili esterni, compresa la predisposizione delle specifiche clausole previste dall’articolo 28 del RGDP;
- Il supporto nell’aggiornamento degli atti di nomina dei responsabili, incaricati ed amministratori di sistema e dei correlati adempimenti;
- Il parere su informative specifiche relative al trattamento dei dati personali;
- L’ audit annuale del mantenimento degli standard di protezione dei dati ;
- Metodologie per ottenere il consenso del cliente/ utente nella gestione dei dati;
- DPO on demand con servizio da remoto .
- Software per la gestione su Cloud di Anagrafica soggetti che trattano i dati personali, Trattamenti, Ruoli Privacy, Informative, Analisi dei Rischi, DPIA, Data Breach, Documentazione pertinente compresa .
L’adempimento delle attività descritte sarà in linea con gli adempimenti richiesti dal GDPR e successivi provvedimenti, pareri, linee guida emanate dall’Autorità Garante Privacy riguardo il trattamento dei dati personali effettuato dalle strutture.
Peraltro il DPO sarà altresì in grado di:
- assicurare al cittadino la riservatezza, il controllo, la chiarezza e la sicurezza necessari nel rapporto con le strutture;
- responsabilizzare i dirigenti di struttura e il personale addetto sulle responsabilità connesse con la sicurezza e protezione dei dati mediante specifica formazione;
- supportare il Referente Interno Privacy, ove previsto, con apposite verifiche sull’efficacia e l’effettiva adozione delle misure proposte e con attività di consulto per singole problematiche.