Automazione Oggi 457

OTTOBRE 2024 AUTOMAZIONE OGGI 457 | 113 ra le più importanti novità introdotte dal Regolamento Europeo 2016/679 (General Data Protection Regulation, Gdpr) vi è sicu- ramente la figura del Data Protection Officer (DPO, ovvero Responsabile della Protezione dei Dati, RPD). Una delle funzioni principali del responsabile della protezione dei dati è quella di sorvegliare la corretta e lecita appli- cazione della normativa contenuta nel Gdpr da parte delle società. I compiti principali di questa figura sono pre- visti dall’art. 39 del Gdpr e possono così sin- tetizzarsi: » Fornire consulenza al titolare e al respon- sabile del trattamento relativamente agli obblighi derivanti dal Gdpr o dalle altre di- sposizioni inmerito alla protezione dei dati; » Vigilare sull’applicazione del Regolamento da parte del titolare del trattamento o del responsabile del trattamento in tutte le sue parti; » Fornire pareri in merito alla Dpia (Data Protection Impact Assesment, ovvero Va- lutazione di impatto sulla protezione dei dati personali) e vigilare sulla sua esecu- zione; » Cooperare con l’autorità di controllo (In Italia, Garante per la protezione dei dati personali) e fungere da punto di contatto con essa per questioni connesse al tratta- mento, anche nei casi di violazione di dati personali. Secondo la disciplina del Gdpr, la nomina del DPO risulta obbligatoria nei seguenti casi: » Se il trattamento è svolto da un’autorità pubblica o da un organismo pubblico, con l’eccezione delle autorità giudiziarie nell’esercizio delle funzioni giurisdizio- nali; » Se le attività principali del titolare del trattamento o del responsabile del trat- tamento consistono in trattamenti che richiedono il monitoraggio regolare e si- stematico di interessati su larga scala; » Se le attività principali del titolare o del responsabile del trattamento consistono nel trattamento su larga scala di categorie particolari di dati o di dati personali rela- tivi a condanne penali e reati. La mancata designazione del responsabile della protezione dei dati nelle ipotesi pre- dette comporta una sanzione amministra- tiva pecuniaria fino a € 10.000.000 o, per le imprese, fino al 2% del fatturato totale mon- diale annuo dell’esercizio precedente, se su- periore. Anche nell’eventualità in cui un’azienda non dovesse rientrare nelle ipotesi di obbliga- torietà, sicuramente prendere in considera- zione la nomina di un DPO può comportare diversi vantaggi, in quanto si tratta di una figura professionale molto utile e dotata di competenze specialistiche nell’ambito del presidio del rischio legato al trattamento di dati personali. Un’azienda, in merito alla designazione di un DPO, ha due opzioni: nominare un soggetto esterno, oppure nominare un soggetto in- terno dell’azienda. Tra queste due ipotesi, risulta essere preferibile la scelta di un DPO esterno, in quanto deve trattarsi di un sog- getto neutrale e indipendente. Il titolare o il responsabile, infatti, non devono dare alcuna istruzione in merito all’esecuzione dei com- piti del DPO, che deve svolgere le proprie funzioni in maniera indipendente (conside- rando 97 Gdpr). È evidente che un soggetto interno difficilmente potrà rimanere indiffe- rente dai condizionamenti della direzione, con ovvie ricadute sulla sua indipendenza e neutralità. Questo ci porta a un altro aspetto positivo legato alla scelta di un DPO esterno: l’espe- rienza. I professionisti sono costantemente aggiornati e si interfacciano con realtà anche molto diverse tra loro, risultando più adatta- bili e flessibili. T La figura del DPO: l’importanza di una nomina esterna Cristiano Cominotto Studio legale A.L. Assistenza Legale @cristiano-cominotto AUTOMAZIONE OGGI AVVOCATO