<\/p>\n
Parlando della nomina del DPO\u00a0 <\/span>con molti dei miei clienti (strutture sanitarie pubbliche e\/o private ed aziende del settore sanitario) \u00e8 emerso che molti hanno l\u2019intenzione di nominare come DPO il proprio responsabile interno di ICT.<\/span><\/p>\n A parer mio questa soluzione pu\u00f2 rivelarsi non corretta.<\/span><\/p>\n L\u2019art. 37 del RGDP\u00a0 <\/span>stabilisce infatti che <\/span><\/p>\n Il responsabile della protezione dei dati \u00e8 designato in funzione delle qualit\u00e0 professionali, <\/i><\/span>in particolare <\/i><\/span>della <\/i><\/span>conoscenza specialistica della normativa<\/i><\/span> e <\/i><\/span>delle prassi<\/i><\/span> in materia di protezione dei dati, e della capacit\u00e0 di assolvere i compiti di cui all’articolo 39. <\/i><\/span><\/p>\n L\u2019art. 39 a sua volta stabilisce che il DPO deve <\/span><\/p>\n informare e fornire consulenza \u2026. in merito agli obblighi derivanti dal presente regolamento nonch\u00e9 d<\/i><\/span>a altre disposizioni dell’Unione<\/i><\/span> o d<\/i><\/span>egli Stati membri relative alla protezione dei dati; <\/i><\/span><\/p>\n sorvegliare l’osservanza del presente regolamento nonch\u00e8,\u2026.. la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attivit\u00e0 di controllo; <\/i><\/span><\/p>\n L\u2019art. 38 stabilisce che il DPO deve essere in una posizione di indipendenza<\/b> (comma 3)\u00a0 <\/span>e non deve essere in una posizione di conflitto di interessi<\/b> (comma 6). <\/span><\/p>\n Le FAQ allegato alle Linee guida del WP29 – WP243 Guidelines on Data Protection Officers (\u2018DPOs\u2019) <\/span>– <\/span>ANNEX FAQ al punto 3.3. titolato \u201cIstruzioni e indipendenza della condotta\u201d risponde alle seguente domanda <\/span><\/p>\n 9. Quali sono le garanzie che possono consentire al RPD di operare con indipendenza? (art. 38, paragrafo 3) <\/i><\/b><\/span><\/p>\n Vi sono numerose garanzie che possono consentire al RPD di operare in modo indipendente, come indicato al considerando 97 del regolamento: <\/i><\/span><\/p>\n – \u00a0nessuna istruzione da parte del titolare o del responsabile per quanto riguarda lo svolgimento dei compiti affidati al RPD; <\/i><\/span><\/p>\n – \u00a0nessuna penalizzazione o rimozione dall\u2019incarico in rapporto allo svolgimento dei compiti affidati al RPD; <\/i><\/span><\/p>\n – \u00a0nessun conflitto di interessi con eventuali ulteriori compiti e funzioni. <\/i><\/span><\/p>\n A grandi linee, <\/i>possono sussistere situazioni di conflitto con riguardo a ruoli manageriali di vertice <\/i><\/b>(amministratore delegato, responsabile operativo, responsabile finanziario, responsabile sanitario, direzione marketing, direzione risorse umane,<\/i> responsabile IT<\/i><\/b>),\u2026\u2026\u2026.<\/i><\/span><\/p>\n In sostanza il DPO deve: <\/span><\/p>\n Alla luce di quanto sopra, \u00e8 possibile che il manager IT aziendale non sia in grado di soddisfare tutti requisiti richiesti <\/span><\/p>\n Peraltro il 20 ottobre 2016 il Garante tedesco ha sanzionato una societ\u00e0 che aveva nominato il proprio responsabile IT come DPO (figura gi\u00e0 presente oggi in Germania) in ragione del fatto che lo stesso, per i ruoli rivestiti n azienda, si trovava in posizione di conflitto di interessi.<\/span><\/p>\n Forse occorre cominciare a pensare che il DPO – come l\u2019ODV della 231\/2001 – pu\u00f2 essere un soggetto giudico esterno che vanti al suo interno diverse competenze (legali, informatiche, di audit)<\/span><\/p>\n Tale\u00a0 <\/span>possibilit\u00e0 \u00e8 peraltro pacificamente ammessa anche dalla Linee Guida del WP29 al punto 2.4.<\/span><\/p>\n <\/p>","protected":false},"excerpt":{"rendered":" Parlando della nomina del DPO\u00a0 con molti dei miei clienti (strutture sanitarie pubbliche e\/o private ed aziende del settore sanitario) \u00e8 emerso che molti hanno l\u2019intenzione di nominare come DPO il proprio responsabile interno di ICT. A parer mio questa soluzione pu\u00f2 rivelarsi non corretta. L\u2019art. 37 del RGDP\u00a0 stabilisce infatti che Il responsabile della\u2026 Leggi tutto »<\/a><\/span><\/p>\n","protected":false},"author":156,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[4],"tags":[314,313],"class_list":["post-2448","post","type-post","status-publish","format-standard","hentry","category-data-protection-officer","tag-conflict-of-interest","tag-ict-manager"],"_links":{"self":[{"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/posts\/2448","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/users\/156"}],"replies":[{"embeddable":true,"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/comments?post=2448"}],"version-history":[{"count":4,"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/posts\/2448\/revisions"}],"predecessor-version":[{"id":2549,"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/posts\/2448\/revisions\/2549"}],"wp:attachment":[{"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/media?parent=2448"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/categories?post=2448"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/tags?post=2448"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}\n