A fine novembre il Gruppo Articolo 29 (cioè il gruppo che riunisce le Autorità Garanti per la tutela dei dati personali in Europa) ha pubblicato alcune iniziali linee guida interpretative in materia di Data Protecion Officer.
Per quanto concerne i chiarimenti forniti sui concetti utilizzati all’interno del Regolamento vale la pena soffermarsi sulle definizioni di: “attività principale”, intesa come parte inestricabile dell’attività del titolare e del responsabile, rimanendo escluso da tale definizione, per quanto fondamentale, il trattamento dei dati a fini amministrativi; “trattamento su larga scala”, in relazione al quale non può essere indicato un numero specifico, ma devono essere prese in considerazione una serie di elementi indicativi quali la popolazione di riferimento, il volume di dati trattati, la durata e la permanenza del trattamento o l’estensione geografica.
Si chiarisce poi come la figura del DPO può essere sia interna che esterna e che in caso di gruppi di imprese è possibile procedere alla nomina anche di un solo DPO di riferimento.
In ogni caso quando si nomina un DPO esterno deve essere sottoscritto un contratto in linea con le prescrizioni del Regolamento e quindi con il ruolo, le responsabilità e la posizione di indipendenza che fanno capo al DPO.
Va poi rilevato che la nomina del DPO deve sempre prevedere: l’allocazione di tutte le risorse e le tutele necessarie affinché tale figura possa perseguire i propri compiti.
Infine appare rilevante sottolineare come il Gruppo dei Garanti Europei abbia ritenuto opportuno evidenziare come questa figura non possa mai essere considerata responsabile per il mancato rispetto della GDPR. Tenendo infatti bene a mente il fondamentale principio dell’accountability (su cui si regge l’intero impianto del Regolamento), sarà il titolare o il responsabile del trattamento che sono tenuti a garantire ed essere in grado di dimostrare che la gestione dei dati viene eseguita in conformità della normativa.
Allo stesso modo per quanto riguarda la registrazione delle attività di trattamento, sarà obbligo del titolare o del responsabile (ognuno per le sue competenze) e non del DPO, mantenere il registro delle operazioni di trattamento. Tuttavia, precisano anche le linee guida nulla impedisce al titolare o al responsabile di assegnare al DPO anche il compito di mantenere il registro.
Per quanto concerne i chiarimenti forniti sui concetti utilizzati all’interno del Regolamento vale la pena soffermarsi sulle definizioni di: “attività principale”, intesa come parte inestricabile dell’attività del titolare e del responsabile, rimanendo escluso da tale definizione, per quanto fondamentale, il trattamento dei dati a fini amministrativi; “trattamento su larga scala”, in relazione al quale non può essere indicato un numero specifico, ma devono essere prese in considerazione una serie di elementi indicativi quali la popolazione di riferimento, il volume di dati trattati, la durata e la permanenza del trattamento o l’estensione geografica.
Si chiarisce poi come la figura del DPO può essere sia interna che esterna e che in caso di gruppi di imprese è possibile procedere alla nomina anche di un solo DPO di riferimento.
In ogni caso quando si nomina un DPO esterno deve essere sottoscritto un contratto in linea con le prescrizioni del Regolamento e quindi con il ruolo, le responsabilità e la posizione di indipendenza che fanno capo al DPO.
Va poi rilevato che la nomina del DPO deve sempre prevedere: l’allocazione di tutte le risorse e le tutele necessarie affinché tale figura possa perseguire i propri compiti.
Infine appare rilevante sottolineare come il Gruppo dei Garanti Europei abbia ritenuto opportuno evidenziare come questa figura non possa mai essere considerata responsabile per il mancato rispetto della GDPR. Tenendo infatti bene a mente il fondamentale principio dell’accountability (su cui si regge l’intero impianto del Regolamento), sarà il titolare o il responsabile del trattamento che sono tenuti a garantire ed essere in grado di dimostrare che la gestione dei dati viene eseguita in conformità della normativa.
Allo stesso modo per quanto riguarda la registrazione delle attività di trattamento, sarà obbligo del titolare o del responsabile (ognuno per le sue competenze) e non del DPO, mantenere il registro delle operazioni di trattamento. Tuttavia, precisano anche le linee guida nulla impedisce al titolare o al responsabile di assegnare al DPO anche il compito di mantenere il registro.
