La figura del DPO come \u00e8 noto ha fra i suoi compiti (art. 39 1b) quello di<\/p>\n
sorvegliare <\/em><\/strong>l’osservanza del presente regolamento, di altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati nonch\u00e9 delle politiche del titolare del trattamento o del responsabile del trattamento in materia di protezione dei dati personali, compresi l’attribuzione delle responsabilit\u00e0, la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attivit\u00e0 di controllo;<\/em><\/p>\n ed inoltre, in base all\u2019articolo 38 comma 3:<\/p>\n Il titolare del trattamento e il responsabile del trattamento si assicurano che il responsabile della protezione dei dati non riceva alcuna istruzione per quanto riguarda l’esecuzione di tali compiti.<\/strong><\/em><\/p>\n In tale contesto quindi, il DPO decide in autonomia in merito ai trattamenti che riguardano il suo specifico compito, analogamente a quanto fa un Titolare di trattamento, come meglio indicato nell\u2019articolo 4 del GDPR:<\/p>\n \u00abtitolare del trattamento\u00bb: la persona fisica o giuridica, l’autorit\u00e0 pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalit\u00e0 e i mezzi del trattamento<\/strong> di dati personali; quando le finalit\u00e0 e i mezzi di tale trattamento sono determinati dal diritto dell’Unione o degli Stati membri, il titolare del trattamento o i criteri specifici applicabili alla sua designazione possono essere stabiliti dal diritto dell’Unione o degli Stati membri;<\/em><\/p>\n Tale caratteristica non \u00e8 tipica solo del DPO, che essendo una ben definita figura prevista dal GDPR non si configura come Titolare, pur avendone in parte le caratteristiche, ma si ritrova analogamente in altri organismi di controllo presenti gi\u00e0 oggi in numerose organizzazioni italiane in quanto previsti da altre normative.<\/p>\n Mi riferisco in particolare agli OdV istituiti in base alla legge 231\/01 ed ai collegi sindacali. Il compito di tali organismi \u00e8, semplificando, quello di vigilare sull\u2019operato di una specifica organizzazione e nello svolgere tale compito sono completamente autonomi, determinano <\/em><\/strong>cio\u00e8 finalit\u00e0 e i mezzi del trattamento.<\/em><\/strong><\/p>\n In altre parole tali organismi si configurano come Titolari distinti ed autonomi rispetto all\u2019organizzazione sulla quale sono tenuti a vigliare.<\/p>\n Quello che \u00e8 interessante osservare \u00e8 che nella pratica la coscienza di svolgere tale ruolo da parte di questi organismi non \u00e8 molto diffusa.<\/p>\n Un comportamento questo che pu\u00f2 esporre al rischio di sanzioni con\u00a0l’attuale normativa, ed \u00e8 ancor pi\u00f9 rischioso, visto i livelli delle sanzioni previste, con il GDPR.<\/p>\n Sul piano pratico la gestione degli adempimenti privacy da parte di tali organismi presenta non poche difficolt\u00e0; ad esempio la titolarit\u00e0 del trattamento \u00e8 da intendersi riservata all\u2019organismo nel suo complesso o deve essere considerata una contitolarit\u00e0 da parte di tutti i membri dell\u2019organismo (un po’ come avviene per i condomini)?<\/p>\n Devono rilasciare autonome informative o \u00e8 sufficiente adeguare le informative dell\u2019organizzazione di cui si occupano nel loro mandato?<\/p>\n Come vanno regolati i rapporti fra questi organismi e le strutture, non sempre appartenenti all\u2019organizzazione sottoposta alla loro vigilanza, che forniscono loro supporti operativo, informatico, logistico\u2026<\/p>\n Si consideri ad esempio il caso in cui tutti o parte di tali servizi siano forniti da fornitori o outsourcer interni o esterni ad un gruppo, eventualmente designati responsabili dall\u2019organizzazione titolare.<\/p>\n Come regolare dal punto di vista privacy i rapporti?<\/p>\n C\u2019\u00e8 molto da fare e da implementare da qui al maggio del 2018 e nessuno (salvo che sia espressamente fuori dall\u2019 ambito di applicazione del GDPR), \u00e8 esonerato dal rispetto di quanto richiesto dal GDPR per il solo ruolo che riveste, fosse anche quello di semplice vigilanza.<\/p>","protected":false},"excerpt":{"rendered":" La figura del DPO come \u00e8 noto ha fra i suoi compiti (art. 39 1b) quello di sorvegliare l’osservanza del presente regolamento, di altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati nonch\u00e9 delle politiche del titolare del trattamento o del responsabile del trattamento in materia di protezione dei dati personali, compresi\u2026 Leggi tutto »<\/a><\/span><\/p>\n","protected":false},"author":42,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[4,2],"tags":[],"class_list":["post-2135","post","type-post","status-publish","format-standard","hentry","category-data-protection-officer","category-legal-framework"],"_links":{"self":[{"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/posts\/2135","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/users\/42"}],"replies":[{"embeddable":true,"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/comments?post=2135"}],"version-history":[{"count":5,"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/posts\/2135\/revisions"}],"predecessor-version":[{"id":2393,"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/posts\/2135\/revisions\/2393"}],"wp:attachment":[{"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/media?parent=2135"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/categories?post=2135"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/tags?post=2135"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}