Adottato il 13 Dicembere 2016

Gruppo di lavoro ex articolo 29 - European Data Protection Supervisor

16/EN(IT)

WP 243

Tradotto da

Fabio Zanoli

V 1.1

Orientamenti in materia di Data Protection Officers ('DPOs')

[responsabile della protezione dei dati]

Questo gruppo di lavoro è stato istituito ai sensi dell'articolo 29 della direttiva 95/46 / CE. Si tratta di un organo consultivo europeo indipendente

sui dati la protezione e la privacy. I suoi compiti sono fissati all'articolo 30 della direttiva 95/46 / CE e all'articolo 15 della direttiva 2002/58 / CE.

La segreteria è fornita dalla direzione C (Diritti fondamentali e stato di diritto) della Commissione europea, Direzione Generale Giustizia e

consumatori, B-1049 Bruxelles, Belgio, Ufficio MO59 27/02

Website: http://ec.europa.eu/justice/data-protection/index_en.htm

Il GRUPPO DI LAVORO PER LA TUTELA DELLE PERSONE CON RIFERIMENTO AL IL TRATTAMENTO

DEI DATI PERSONAL

istituito dalla direttiva 95/46 / CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995, visti gli articoli 29 e

30, visto il proprio regolamento

HA ADOTTATO LE PRESENTI LINEE GUIDA

2

Table of content

1

2

INTRODUZIONE…......................................................................................................................................... 4

DESIGNAZIONE DEL DPO ........................................................................................................................... 5

2.1. DESIGNAZIONE OBBLIGATORIA .............................................................................................................. 5

2.1.1

2.1.2

2.1.3

2.1.4

2.1.5

‘Pubblica amministrazione o Istituzione'............................................................................................ 6

'Attività Principali'............................................................................................................................... 6

'Larga Scala' ..................................................................................................................................... 7

'Sistematico e regolare monitoraggio'............................................................................................... 8

Categorie speciali dei dati e dati relativi ai reati e alle condanne panali …….................................. 9

3

4

2.2. DPO E RESPONSABILE DEL TRATTAMENTO..................................................................................................... 9

2.3. ' FACILMENTE ACCESSIBILE DA OGNI STABILIMENTO'....................................................................................... 10

2.4. CONOSCENZE E COMPETENZE DEL DPO .........................................................................................................10

2.5. PUBBLICAZIONE E COMUNICAZIONE DEI DATI DI CONTATTO DEL DPO................................................................ 12

POSIZIONE DEL DPO ................................................................................................................................. 13

3.1. COINVOLGIMENTO DEL DPO IN TUTTE LE QUESTIONI RELATIVE ALLA PROTEZIONE DEI DATI PERSONALI.............. 13

3.2. RISORSE NECESSARIE.................................................................................................................................... 13

3.3. INSTRUCTIONS AND 'AGIRE IN MODO INDIPENDENTE’........................................................................................ 14

3.4. LICENZIAMENTO O PENALIZZAZIONI A CAUSA DELLA PROPRIA ATTIVITÀ DI DPO................................................... 15

3.5. CONFLITTO D’INTERESSI................................................................................................................................. 15

COMPIRI DEL DPO........................................................................................................................................ 16

4.1. CONTROLLO CONFORMITÀ RISPETTO AL GDPR............................................................................................... 16

4.2. Il RUOLO Del DPO NELLA VALUTAZIONE DI IMPATTO DI PROTEZIONE DEI DATI...................................................... 16

4.3. APPROCCIO BASATO SUL RISCHIO.................................................................................................................... 17

4.4. IL RUOLO DEL DPO RELATIVAMENTE ALLA TENUTA DEI REGISTRI........................................................................ 18

3

1 Introduzione

Il Regolamento Generale per la protezione dei dati ('GDPR')1, che entrerà in vigore il 25 maggio 2018, fornirà un quadlro

di conformità modernizzato, basato sulla responsabilità per la protezione dei dati in Europa. Il Data Protection Officer (' i

DPO )sarà al centro di questo nuovo quadro giuridico per molte organizzazioni, facilitando la conformità con le

disposizioni del GDPR.

Con l’entrata in vigore del GDPR, è obbligatorio per alcune organizzazioni designare un DPO2. Questo dovrà avvenire

per tutte le pubbliche amministrazioni e le istituzione (a prescindere dai dati che queste trattino) e per le altre

organizzazioni che – come attività principale – abbiano il monitoraggio sistematico e/o su larga scala degli individui o

trattino e processino dati personali speciali su larga scala.

Anche quando il GDPR non richieda specificatamente la nomina di un DPO, le organizzazioni possono trovare utile

designare un DPO su base volontaria. I Garanti per la Privacy europea ('WP29') incoraggiano queste nomine volontarie.

Il concetto di DPO non è nuovo. Anche se la direttiva 95/46/CE3 non richiedeva ad alcuna organizzazione di nominare un

DPO, la pratica di nominarli si è tuttavia sviluppata in vari Stati membri, nel corso degli anni.

Già prima di adottare il GDPR, il WP29 ha sostenuto che il DPO sia una pietra miliare della responsabilità e che la nomina

un DPO possa facilitare la conformità normativa (compilance) e inoltre, possa diventare un vantaggio competitivo

per le imprese4. Oltre a facilitare il rispetto della conformità normativa (compilance) attraverso l'implementazione di

strumenti di accountability - responsabilità di rendicontazione sia sul piano della regolarità normativa, sia su quello

dell'efficacia pratica delle azioni poste in atto - (ad esempio, agevolare o lo svolgimento di verifiche e valutazioni di

impatto di protezione dei dati), e che il DPO agisca come intermediario tra le parti interessate (ad es. autorità, persone

interessate e business unità all'interno di un'organizzazione).

Il DPO non è personalmente responsabile in caso di inosservanza il GDPR. Il GDPR chiarisce che sono il Titolare o il

Resoonsabile del trattamento che ed debbono essere in grado di dimostrare, che il trattamento è effettuato conformemente

al regolamento e alle sue disposizioni (articolo 24(1)). Protezione dei dati la conformità è una responsabilità del Titolare e

del Responsabile del Trattamento.

Il Titolare o il Responsabile ha hanno, inoltre, un ruolo cruciale nel permettere l'effettiva ed adeguata attività del DPO. La

nomina un DPO è un primo passo, ma a questi devono anche essere dati sufficiente autonomia e risorse per poter svolgere i

propri compiti in modo efficace.

1 Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone

fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (OJ

L 119, 4.5.2016). 2

del Parlamento europeo e del Consiglio, del 27 aprile 2016 relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati

personali da parte delle autorità competenti ai fini della prevenzione, indagine, accertamento o repressione di reati o l'esecuzione delle

sanzioni penali, nonché alla libera circolazione circolazione di tali dati e il quadro del Consiglio che abroga la decisione 2008/977/JHA

(OJ L 119, 4.5.2016, p. 89- 131), e la legislazione nazionale di attuazione. Mentre queste linee guida si concentrano su DPO sotto il

PILR, ie la legislazione nazionale di attuazione. Mentre queste linee guida si concentrano sui DPO relativamente al GPRR, l'

orientamento è rilevante anche per quanto riguarda DPO sotto direttiva 2016/680, rispetto alle loro disposizioni analoghe. 3

riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati (OJ L 281, 23.11.1995, p. 31).

4

4

La nomina di un DPO è inoltre obbligatoria per le autorità competenti ai sensi dell'articolo 32 del direttiva (UE) 2016/680

Direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995 relativa alla tutela delle persone fisiche con

Vedihttp://ec.europa.eu/justice/data-protection/article-29/documentation/other-document/files/2015/20150617_appendix_core_issue

s_plenary_en.pdf

Il GDPR riconosce nel DPO come una figura chiave nel nuovo sistema di governance dei dati e stabilisce: condizioni per

la sua nomina, posizione e compiti. Lo scopo di queste linee guida è quello di chiarire il le disposizioni in GDPR al fine

di aiutare il Titolare e il Responsabile del trattamento a rispettare la legge, oltre che per aiutare DPO nell'espletare il

proprio loro ruolo. Le linee guida prevedono altresì procedure consigliate, basate sull'esperienze acquisite in alcuni Stati

membri. Il WP29 controllerà la attuazione di tali orientamenti e li potrà integrare con ulteriori dettagli se appropriato.

2 Designazione del DPO

2.1. Designazione Obbligatoria

L’ Articolo 37(1) del GDPR richiede la designazione del DPO in tre casi specifici5:

a) il trattamento è effettuato da un'autorità pubblica o da un organismo pubblico; 6

b) le attività principali del titolare del trattamento o del responsabile del trattamento consistono in trattamenti che,

per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli

interessati su larga scala; o

c) le attività principali del titolare del trattamento o del responsabile del trattamento consistono nel trattamento, su

larga scala, di categorie particolari di dati personali7 o

8 di dati relativi a condanne penali e a reati

9

Nelle sottosezioni che seguono, il WP29 fornisce indicazioni per quanto riguarda i criteri e la terminologia utilizzate

nell'articolo 37(1).

A meno che non sia ovvio che un'organizzazione non sia tenuta a designare un DPO, il WP29 raccomanda che Titolare e

Responsabile del Trattamento documentino l'analisi interna che s'è effettuata per determinare o meno la necessità di

nomina del DPO , al fine di essere in grado di dimostrare che i fattori rilevanti sono stati presi in considerazione

correttamente.10

Quando un'organizzazione designa un DPO su base volontaria, gli stessi requisiti ai sensi dagli articoli dal 37 al 39 si

applicheranno per la sua nomina, la sua posizione e la sua attività, come se la designazione fosse stata obbligatoria..

Questo non impedisce ad un'organizzazione, che non desideri designare un DPO su base volontaria e non sia obbligata a

farlo, d'impiegare personale o consulenti esterni con compiti relativi alla protezione dei dati personali. In questo caso è

importante garantire che non vi sia alcuna confusione per quanto riguarda il loro titolo, stato, posizione e attività. Pertanto

sarà opportuno precisare, in qualsiasi

5 Si noti che ai sensi dell'articolo 37, paragrafo 4, se previsto dal diritto dell'Unione o dello Stato membro può richiedere la

designazione di DPO anche in altre situazioni.

6

7

Ad eccezione di tribunali che agiscono in veste giudiziaria.

Ai sensi dell'articolo 9 si tratta di dati personali che rivelano l'origine razza o etnica, le opinioni politiche, religiose o.

convinzioni filosofiche, o l'appartenenza sindacale e il trattamento dei dati genetici, dati biometrici al fine di identificare in modo

univoco una persona fisica, dati relativi alla salute o dati che riguardano la vita sessuale di una persona fisica o l'orientamento

sessuale. 8

'e.'

Articolo 37(1)(c) usa la parola «e». Vedere sezione 2.1.5 qui sotto per la spiegazione sull'uso di 'o' invece di

9 Article 10.

10 Vedi Articolo 24(1).

5

comunicazione all'interno dell'azienda, nonché con le autorità di protezione dei dati, persone interessate e il

pubblico in generale, che il titolo di questa persona o consulente non è un 'DPO'

2.1.1 'PUBBLICA AMMINISTRAZIONE O ISTITUZIONE’

11

Il GDPR non definisce cosa siano una 'Pubblica amministrazione o un’Istituzione'. Il WP29 ritiene che tale nozione debba

essere determinata ai sensi del diritto nazionale. Di conseguenza, le Pubbliche amministrazioni o le Istituzioni comprendono

le autorità nazionali, regionali e locali, ma concettualmente al proprio interno in genere comprendono anche una gamma di

altri organismi di diritto pubblico12

. In tali casi, l'indicazione di un DPO è obbligatorio.

Un' attività di pubblica utilità può essere effettuato non solo autorità pubbliche o enti ma anche da altre persone fisiche

o giuridiche di diritto pubblico o di diritto privato, in settori come, secondo il regolamento nazionale di ciascuno Stato

membro, servizi di trasporto pubblico, acqua e fornitura di energia, infrastrutture stradali, servizio pubblico di

radiodiffusione, public housing o disciplinari per le professioni regolamentate.

In questi casi, l'interessato può essere in una situazione molto simile a quando i dati siano trattati da una Pubblica

Amministrazione o un Ente. In particolare, i dati possono essere trattati per gli scopi e gli individui simili spesso hanno

poca o nessuna scelta su se e come i dati saranno trattati e possono così richiedono la protezione aggiuntiva che può

portare l'indicazione di un DPO.

Anche se non esiste alcun obbligo in tali casi, il WP29 raccomanda, come una buona pratica, che:

• le organizzazioni private con compiti di pubblica utilità o che esercitano pubblici poteri designino un DPO

E che

• le attività del DPO dovrebbero coprire anche tutte le operazioni di trattamento effettuate, compresi quelle che

non riguardano l'esecuzione dei comopiti di pubblica utilità o l' esercizio del dover d'ufficio (ad es. la gestione

di un database dei dipendenti).

2.1.2 'ATTIVITA’ PRINCIPALE'

L’Articlo 37(1)(b) e (c) del GDPR si riferisce alla 'attività principale del Titolare o del Responsabile del trattamento'.

La Considerazione 97 specifica che l’attività principale fondamentali di un Titolareo ' le attività principali del titolare del

trattamento riguardano le sue attività primarie ed esulano dal trattamento dei dati personali come attività accessoria '. 'Le

attività principali' si possono come le operazioni necessarie per raggiungere obiettivi del titolare o del responsabile..

Tuttavia, le "attività principali" non devono essere interpretate come escludenti delle attività in cui il trattamento dei dati

costituisce una parte integrante dell'attività del Titolare o del Responsabile. Per esempio, l'attività principale di un ospedale è di

fornire assistenza sanitaria. Tuttavia, un ospedale non potrebbe fornire assistenza sanitaria in modo sicuro ed efficace senza

elaborare i dati sanitari, come le cartelle sanitarie dei pazienti. Pertanto, l'elaborazione di questi

11 Anche questo è rilevante per i chief privacy officers ('CPO's) o altri professionisti della privacy già in attività oggi in

in alcune aziende che non sempre soddisfano i criteri dati dal GDPR, per esempio, in termini di risorse disponibili o garanzie

d'indipendenza, quindi, non possono essere considerati ed indicati come DPO. 13

6

Si veda, ad esempio la definizione di 'ente pubblico' e 'organismo disciplinato dal diritto pubblico' nell'articolo 2, paragrafo 1) e (2)

della direttiva 2003/98/CE del Parlamento europeo e del Consiglio, del 17 novembre 2003 relativa al riutilizzo dell'informazione del

settore pubblico (GU L 345 del 31.12.2003, pag. 90).

Articlo 6(1)(e).

dati dovrebbe essere considerata una delle attività principali dell'ospedale e gli ospedali devono quindi designare DPO.

Come un altro esempio, una società di sicurezza privata effettua la sorveglianza di un certo numero di centri commerciali e

di spazi pubblici privati. La sorveglianza è l'attività principale dell'azienda, che a sua volta è legata indissolubilmente al

trattamento dei dati personali. Pertanto, anche questa società dovrà designare un DPO.

2.1.3 'LARGA SCALA'

L’Articolo 37(1)(b) e (c) richiede che se trattamento dei dati personali venga effettuato su larga scala si dia luogo alla

designazione di un DPO. Il GDPR non definisce, però, cosa costituisce una Larga Scala, sebbene la considerazione 91

fornisca una guida14

Infatti, non è possibile stabilire un numero preciso per quanto riguarda la quantità di dati elaborati o il numero di persone

interessate, che possa essere applicabile in tutte le situazioni. Ciò non esclude la possibilità, tuttavia, che nel corso del

tempo, si possa sviluppare una pratica standard, per questioni specifiche, in termini oggettivi, quantitativi di ciò che

costituisce la 'larga scala' per taluni tipi di attività comuni di elaborazione. Il WP29 intende anche contribuire a questo

sviluppo, a titolo di condivisione e divulgazione di esempi delle soglie rilevanti per la designazione di un DPO.

In ogni caso, la WP29 raccomanda che i seguenti fattori, in particolare, siano considerati nel determinare se il trattamento

èsia effettuato su larga scala:

Il numero di persone interessate sia come numero specific o come percentuale di popolazione interessata

Il volume dei dati e/o la gammma dei diversi dati da elaborare

La durata, o permanenza, dell'attività di elaborazione dei dati

L'estensione geografica dell'attività di elaborazione

14 La considerazione in oggetto, "operazioni di trasformazione su larga scala che mirano a elaborare una considerevole quantità di dati

personali a livello regionale, nazionale o sovranazionale e che potrebbero influire su un gran numero di soggetti dati e che rischiano di

provocare un elevato rischio",include già una definizione. D'altra parte, la considerazione stabilisce specificamente che "il trattamento

dei dati personali non dovrebbe essere considerato su larga scala se la trasformazione riguarda i dati personali da parte di pazienti o

clienti da parte di un medico individuale, di altri professionisti o di avvocati". È importante considerare che, mentre la considerazione

contiene esempi agli estremi della scala (elaborazione da parte di un medico individuale rispetto al trattamento dei dati di un intero paese

o in tutta Europa); esiste una grande zona grigia tra questi estremi. Inoltre, occorre ricordare che questa considerazione si riferisce alle

valutazioni d'impatto della protezione dei dati. Ciò implica che alcuni elementi potrebbero essere specifici di tale contesto e non si

applicano necessariamente alla designazione di DPOs nello stesso modo.

7

Esempi di trattamento su larga scala:

trattamento dei dati del paziente nel regolare svolgimento delle attività di un ospedale

trattamento dei dati di viaggio degli individui che utilizzano il sistema di trasporto pubblico della città

(ad es. monitoraggio via carte di viaggio)

Trattamento di dati di geo-localizzazione in tempo reale dei clienti di una catena fast food

internazionale a fini statistici, da parte di una specialista riconosciuto nel fornire questi servizi

Trattamento dei dati dei clienti durante il normale svolgimento delle attività di un’assicurazione o di una

banca

Trattamento o dei dati personali durante la profilazione di un motore di ricerca

elaborazione dei dati (contenuto, traffico, localizzazione) effettuata da provider di servizi telefonici o

Internet

Esempi che non costituiscono trattamento su larga scala:

trattamento dei dati del paziente da parte di un singolo medico

trattamento di dati personali relativi a condanne penali e reati da parte di un singolo avvocato

2.1.4 ' MONITORAGGIO REGOLARE E SISTEMATICO '

Ladefinizione di sorveglianza periodica e sistematica dell’interessato non è definita nel GDPR, ma il concetto di

"monitoraggio del comportamento dell’interessato " è menzionato nella considerazione 2415

e comprende chiaramente

tutte le forme di tracciamento e di profilatura su Internet, anche ai fini della pubblicità comportamentale.

However, the notion of monitoring is not restricted to the online environment and online tracking

Tuttavia, la nozione di sorveglianza non è limitata all'ambiente online e il monitoraggio online dovrebbe essere

considerato come un esempio di monitoraggio del comportamento degli interessati16

WP29 interpreta come 'regolare' se si verifichino una o più delle seguenti opzioni:

• Costanti o che si verificano ad intervalli particolari per un determinato periodo

• ricorrenti o ripetuti a orari prestabiliti

• Costantemente o che si svolgono periodicamente

WP29 interpreta come 'sisetematico' se si verifichino una o più delle seguenti opzioni:

• Eventi che si verificano secondo un sistema ( schema)

• Pre-organizzati, organizzati o metodici

• Che si svolgono nell'ambito di un piano generale per la raccolta dei datiSvolto

nell'ambito di una strategia

15 'Per stabilire se un’attività di trattamento sia assimilabile al controllo del comportamento dell’interessato, è

opportuno verificare se le persone fisiche sono tracciate su internet, compreso l'eventuale ricorso successivo a tecniche di trattamento

dei dati personali che consistono nella profilazione della persona fisica, in particolare per adottare decisioni che la riguardano o

analizzarne o prevederne le preferenze, i comportamenti e le posizioni personali. '.

16

differenza tra la formulazione "controllo del loro comportamento" (articolo 3, paragrafo 2, lettera b) e "monitoraggio periodico e

sistematico dei soggetti dati" (articolo 37, paragrafo 1, lettera b), che potrebbe quindi essere considerato come una nozione diversa.

8

Notare che la considerazione 24 si concentra sull'applicazione extraterritoriale del GDPR. Inoltre, c'è anche una

Esempi: gestione di reti di telecomunicazioni; fornire servizi di telecomunicazione; e-mail di retargeting;

profilazione e punteggio per scopi di valutazione dei rischi (ad esempio per scopi di credit scoring, istituzione di premi

assicurativi, prevenzione delle frodi, individuazione di riciclaggio di denaro); sistemi di monitoraggio (location

Tracking), ad esempio, da applicazioni mobili; programmi di fidelizzazione; pubblicità comportamentale;

monitoraggio del benessere, fitness e salute dati tramite dispositivi indossabili; televisione a circuito chiuso; dispositivi

collegati ad es. : contatori intelligenti, smart auto, domotica, ecc.

2.1.5 DATISPECIALI E DATI RELATIVI A REATI E CONDANNE PENALI

L’Articolo 37(1)(c) affronta il trattamento dei dati particolari ai sensi dell'articolo 9 e dei dati personali relativi a condanne

penali e reati indicati nell'articolo 10. Anche se viene usata la parola 'e', non c'è ragione di policy per cui i due criteri

si debbano applicate simultaneamente. Nel testo si dovrebbe leggere pertanto la lettera 'o'.

2.2. DPO e responsabile del trattamento

L'articolo 37 si applica sia al Titolare17

che al Responsabile del trattamento18

rispetto alla designazione di un DPO.

A seconda di chi soddisfa i criteri di designazione obbligatoria, in alcuni casi solo il Titolare o solo il Responsabile, in altri

casi, sia il l’uno che l’altro sono tenuti a nominare un DPO (che dovrebbe poi cooperare con gli altri).

È importante sottolineare che anche se il Titolare dei dati adempie ai criteri per la designazione obbligatoria il suo

processore non è necessariamente obbligato a nominare un DPO. Questo può, tuttavia, essere una buona prassi.

Esempi:

• Una piccola azienda familiare attiva nella distribuzione degli elettrodomestici in una sola città, utilizza i servizi di

un Titolare la cui attività principale è quella di fornire servizi di Web Analytics e assistenza con pubblicità mirata

e marketing. Le attività dell'azienda familiare e dei suoi clienti non generano l'elaborazione di dati su "vasta

scala", considerando il piccolo numero di clienti e le attività relativamente limitate. Tuttavia, con la sua attività

il Titolare, che ha molti clienti come questa piccola impresa, prese tutti insieme, sta trattando dati su larga scala.

Il Titolare di servizi Web deve quindi designare un DPO a norma dell’Articolo 37(1)(b).

Allo stesso tempo, l'azienda di famiglia non è sottoposta l'obbligo di designare un DPO.

• Una società di medie dimensioni per la fabbricazione di piastrelle subappalta suoi servizi di medicina del lavoro

di un Titolare esterno, che ha un gran numero di clienti simili.. Il Titolare esterno deve designare un DPO a

norma dell'articolo 37, 37(1)(c), purché il trattamento sia su larga scala. Tuttavia, l’artigiano non è

necessariamente sottoposto all'obbligo di designare un DPO.

17 Il Titolare del Trattamento è definito All’Aticolo 4(7) come la persona o l'organo, che determina le finalità e i mezzi del trattamento.

18 Il Responsabile del Trattamento è definito all’Articlo 4(8) come la persona o l’organo, che tratta dati personali per conto del

titolare del trattamento

9

Per una questione di buone prassi, il WP29 raccomanda che il DPO designato da un Responsabile dovrebbe anche

supervisionare le attività di controllo e all'organizzazione del Responsabile quando funge da controllore dei dati a sé

stante (ad es. HR, IT, logistica).

2.3. 'Facilmente raggiungibile da ogni stabilimento'

L'articolo 37, paragrafo 2, consente a un gruppo d’imprese di designare un singolo DPO purché sia «facilmente raggiungibile

da ogni stabilimento». La nozione di accessibilità si riferisce ai compiti del RPD come un punto di contatto per quanto

riguarda dati soggetti19

, l'autorità di vigilanza 20

ma anche all'interno dell'organizzazione, considerando che uno dei compiti del

DPO è 'informare e fornire consulenza al titolare del trattamento o al responsabile del trattamento nonché ai dipendenti che

eseguono il trattamento in merito agli obblighi derivanti dal presente regolamento nonché da altre disposizioni dell'Unione o

degli Stati membri relative alla protezione dei dati' '21

.

Al fine di garantire che il DPO, sia interno che esterno, sia raggiungibile è importante accertarsi che i loro recapiti siano

disponibili in conformità alle prescrizioni del GDPR22

Lui o Lei deve essere in grado di comunicare in modo efficace con persone interessate 23

e e cooperare 24

con le autorità

di vigilanza in questione. Ciò significa altresì che detta comunicazione deve avvenire nella lingua o nelle lingue utilizzate

dalle autorità di vigilanza e dai soggetti interessati.

A norma dell'articolo 37, paragrafo 3, un singolo DPO può essere designato per diverse pubbliche amministrazioni o enti,

tenendo conto della loro struttura organizzativa e delle loro dimensioni. Si applicano le stesse considerazioni relative alle

risorse e alle comunicazioni. Dato che il DPO è responsabile di una varietà di compiti, il Titolare del Trattamento deve

assicurare che un singolo DPO possa svolgere questi compiti in modo efficiente nonostante sia responsabile di diverse

pubbliche amministrazioni e enti.

La disponibilità personale di un DPO (fisicamente nello stesso stabilimento dei dipendenti, tramite una hotline o un altro

mezzo sicuro di comunicazione) è indispensabile per garantire che i soggetti interessati possano contattare il DPO. Il

DPO è vincolato dalla segretezza o dalla riservatezza riguardante le prestazioni dei suoi compiti, in conformità con la

legge dell'Unione o dello stato membro (articolo 38, paragrafo 5). Tuttavia, l'obbligo di segretezza/riservatezza non

vieta la DPO di mettersi in contatto e di chiedere consulenza all'autorità di vigilanza.

19 Articolo 38(4): ' Gli interessati possono contattare il responsabile della protezione dei dati per tutte le questioni relative

al trattamento dei loro dati personali e all'esercizio dei loro diritti derivanti dal presente regolamento.’

Articolo 39(1)(e): ' fungere da punto di contatto per l'autorità di controllo per questioni connesse al trattamento, tra cui la

consultazione preventiva di cui all'articolo 36, ed effettuare, se del caso, consultazioni relativamente a qualunque altra

questione'

Articolo 39(1)(a).

Vedere anche sezione 2.5 qui di seguito.

Articolo 12(1): ‘Il titolare del trattamento adotta misure appropriate per fornire all'interessato tutte le informazioni di cui

agli articoli 13 e 14 e le comunicazioni di cui agli articoli da 15 a 22 e all'articolo 34 relative al trattamento in forma

concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro, in particolare nel caso di

informazioni destinate specificamente ai minori.’

Articolo 39(1)(d) ‘cooperare con l’autorità di controllo;’

20

21

22

23

24

10

L’Articolo 37(5) prevede che il DPO ' è designato in funzione delle qualità professionali, in particolare della conoscenza

specialistica della normativa e delle prassi in materia di protezione dei dati, e della capacità di assolvere i compiti di cui

all’articolo 39. '. La considerazione 97 prevede che il livello necessario di conoscenze approfondita deve essere determinato

secondo le operazioni di trattamento dei dati effettuate e la protezione necessaria per i dati personali trattati.

Livello di competenza

Il livello di competenza richiesto non è rigorosamente definito, ma deve essere commisurato con la sensibilità, la complessità e

la quantità di dati un processi di organizzazione. Ad esempio, dove un'attività di trattamento dei dati è particolarmente

complessa, o dove è coinvolta una grande quantità di dati sensibili, il DPO potrebbe essere necessario un livello più elevato di

competenza e supporto. C'è anche una differenza a seconda se l'organizzazione sistematicamente i trasferimenti di dati

personali fuori dell'Unione europea o se tali trasferimenti sono occasionali. Il DPO così dovrebbe essere scelto con attenzione,

con il dovuto riguardo per i problemi di protezione di dati che sorgono all'interno dell'organizzazione.

Qualità Professionali

Anche se l'articolo 37(5) non specifica le qualità professionali che devono essere considerate quando si designa il DPO, è un

elemento rilevante che DPO avere competenza in leggi e pratiche nazionali ed europee riguardo la protezione dei dati e una

comprensione approfondita del GDPR. È altresì utile che le autorità di vigilanza promuovono la formazione adeguata e

regolare per i DPO.

La conoscenza del settore imprenditoriale e dell'organizzazione del Titolare del Trattamento è utile. dovrebbe inoltre avere una

comprensione sufficiente delle operazioni di lavorazione effettuate, nonché dei sistemi informativi, e della esigenze di

protezione e di sicurezza dei dati del Titolare dei dati.

Nel caso di un'autorità o di un ente pubblico, il DPO dovrebbe anche avere una buona conoscenza delle regole e delle procedure

amministrative dell'organizzazione.

Capacità di adempiere ai suoi compiti

La capacità di assolvere ai prori compiti d aparte del DPO deve essere interpretato sia in riferimento alle loro qualità e

conoscenze personali, ma anche alla loro posizione all'interno dell'organizzazione. Le qualità personali devono includere per

esempio l'integrità e l'alta etica professionale; l'interesse primario del DPO dovrebbe essere la conformità con la GDPR.

Il DPO svolge un ruolo fondamentale nella promozione di una cultura della tutela dei dati all'interno dell'organizzazione e

contribuisce ad attuare elementi essenziali del GDPR, quali i principi di trattamento dei dati25

, i diritti degli interessati26

, a

protezione dei dati by design e per by default 27

, la registrazioni delle attività di trattamento28

, la sicurezza del trattamento29

, e la

notifica e la comunicazione dei breaches30

.

25

26

27

28

29

30

Capitolo II.

Capitolo III.

Articolo 25

Articolo 30.

Articolo 32.

Articoli 33 e 34.

11

2.4. Conoscenze e competenze del DPO

DPO sulla base di un contratto di servizio

La funzione di DPO può essere esercitata anche sulla base di un contratto di servizio stipulato con un individuo o

un'organizzazione esterna all'organizzazione del Titolare o Responsabile del Trattamento.

In questo caso, è essenziale che ogni membro dell'organizzazione che esercita le funzioni di un DPO soddisfi tutti i

requisiti della sezione 4 del GDPR (ad esempio, è essenziale che nessuno abbia un conflitto di interessi).

È altrettanto importante che ciascun membro sia protetto dalle disposizioni del GDPR (ad esempio, nessuna cessazione

sleale del contratto di servizio per le attività come DPO, ma nemmeno il licenziamento non equo di ogni singolo membro

dell'organizzazione che effettua le attività DPO). Allo stesso tempo, le abilità e le forze individuali possono essere

combinati in modo che diversi individui, lavorando in squadra, possano servire in modo più efficiente i loro clienti.

2.5. Pubblicazione e comunicazione dei recapiti del DPO

L’Articolo 37(7) del GDPR richiede che il Titolare o il Responsabile del Trattamento::

pubblicare i dati di contatto del DPO e

di comunicare i dati di contatto per le autorità di vigilanza.

L'obiettivo di queste richieste è di assicurare che i destinatati (sia all'interno che all'esterno l'organizzazione) e le autorità

di vigilanza possano facilmente, direttamente ed in maniera riservata contattare il DPO senza doversi rivolgere ad altri

all'interno dell'organizzazione.

I dati di contatto dell'DPO devono includere informazioni che consentano ai destinatari e alle autorità di vigilanza di

raggiungere il DPO

in modo semplice (un indirizzo postale, un numero telefonico dedicato e un indirizzo e-mail dedicato).

Ove opportuno, ai fini delle comunicazioni con il pubblico, è possibile fornire altri mezzi di comunicazione, ad esempio, u

na hotline dedicata, o un apposito formulario indirizzato al DPO sul sito Web dell'organizzazione.

L’Articolo 37(7) non richiede che i dati di contatto pubblicati pubblicamente debbano includere il nome del DPO.

Puòessere una buona prassi che il Tra il Titolare del Trattamento e il DPO si decida se questo sia necessario o utile nelle

circostanze specifiche.31

Come buone prassi, l'WP29 raccomanda che l'organizzazione informa l'autorità di vigilanza e i dipendenti del nome e dei

recapiti del DPO. Ad esempio, il nome e recapiti del DPO potrebbero essere pubblicati internamente sulla rete intranet

dell'organizzazione, o sulla rubrica telefonico interna e organigrammi.

31 È degno di nota l’Articolo 33(3)(b), che descrive le informazioni che devono essere fornite all'autorità di vigilanza ed

agli interessati n caso di violazione di dati personali diversamente dall'articolo Articolo 37(7), richiede specificamente di

comunicare anche il nome (e non solo i recapiti) del DPO.

12

3 Posizione del DPO

3.1. Coinvolgimento del DPO in tutte le questioni relative alla tutela dei dati personali

L’Articolo 38 del GDPR prevede che il Titolare e il Responsabile del trattamento si assicurano affinchè il DPO

'sia tempestivamente e adeguatamente coinvolto in tutte le questioni riguardanti la protezione dei dati personali.'.

È fondamentale che il DPO sia coinvolto sin dalla fase iniziale in tutte le questioni relative alla protezione dei dati.

In relazione alle valutazioni di impatto della protezione dei dati, il GDPR prevede esplicitamente il coinvolgimento precoce del

DPO e specifica che il Titolare del Trattamento deve chiedere il parere del DPO quando

si effettua la valutazione di impatto. 32

Garantire che il DPO sia informato e consultato in via preliminare faciliterà la conformità

con il GDPR, garantire un approccio privacy by design pertanto dovrebbe essere la procedura standard all'interno della

governance dell'organizzazione. Inoltre, è importante che il DPO sia visto come un partner di discussione all'interno

dell'organizzazione e che lui o lei faccia parte dei gruppi di lavoro pertinenti a che fare con attività di elaborazione dati

all'interno dell'organizzazione.

Di conseguenza, l'organizzazione deve garantire, ad esempio, che:

Il DPO sia invitato a partecipare regolarmente alle riunioni del Senior e Middle Management.

La sua presenza è raccomandata dove sono adottate le decisioni con implicazioni di protezione dei dati. Tutte le

informazioni pertinenti devono essere trasmesse al DPO in modo tempestivo per consentire a lui o lei di fornire

un adeguato consulenza

Al parere del DPO deve sempre essere tenuto in considerazione. In caso di disaccordo, il WP29 raccomanda,

come buona pratica, per documentare le ragioni per non seguendo il Consiglio di DPO

Il DPO deve essere prontamente consultato quando si è verificato una violazione dei dati o un altro incidente.

Ove opportuno, il Titolare o il Responsabile del Trattamento possono sviluppare linee guida protezione di dati o programmi che

stabiliscano quando debba essere consultato il DPO.

3.2. Risorse Necessarie

L’Articolo 38(2) del GDPR esige che l'organizzazione sostenga il proprio DPO con ' fornendogli le risorse necessarie per

assolvere tali compiti e accedere ai dati personali e ai trattamenti e per mantenere la propria conoscenza specialistica. '. Le

seguenti questioni, in particolare, devono essere considerati:

Sostegno attivo della funzione di DPO dal senior management (ad esempio a livello di Consiglio).

Prevedere tempo sufficiente per il DPO per adempiere ai suoi compiti. Questo è particolarmente importante dove

il DPO è nominato su una base part-time o dove il lavoratore svolge la mansione di protezione dei dati oltre

adaltre funzioni. In caso contrario, le priorità in conflitto potrebbero comportare la trascuratezza per i compiti

svolti come DPO.Avere sufficiente tempo da dedicare alle attività DPO è fondamentale. È una buona pratica

statabilire una

Article 35(2).

13

percentuale di tempo da dedicare alla funzione DPO,dovequeta non venga eseguita a tempo pieno .

È anche buona norma per determinare il tempo necessario da dedicare a tale funzione, il livello di priorità

per i compiti DPO e redigere da parte del DPO (o dell'organizzazione) un piano di lavoro appropriato.

Adeguato supporto in termini di risorse finanziarie, personale e infrastrutture (locali, impianti, attrezzature)

ove necessario

Comunicazione ufficiale della designazione del DPO a tutto il personale per garantire che la sua esistenza e

la sua funzione siano noti all'interno dell'organizzazione.

Gli sia dato accesso necessario ad altri servizi, quali le risorse umane, legali, it, sicurezza, ecc., in modo che

DPO possa ricevere supporto essenziale, input e informazioni da questi altri servizi.

Formazione continua. Al DPO dovrebbe essere data la possibilità di rimanere aggiornatioper quanto

riguarda gli sviluppi all'interno della protezione dei dati. L'obiettivo dovrebbe essere quello di aumentare

costantemente il livello di competenza del DPO i quali dovrebbero essere incoraggiati a partecipare a corsi

di formazione sulla protezione dei dati e altre forme di sviluppo professionale, come la partecipazione a

forum per la messa in atto del rispetto della privacy , workshop, ecc.

Data la grandezza e la struttura dell'organizzazione, può essere necessario istituire un team DPO (un DPO e

il suo staff). In tali casi, la struttura interna della squadra e le mansioni e le responsabilità di ciascuno dei

suoi membri devono essere chiaramente redatte. Analogamente, quando la funzione del DPO è esercitata da

un fornitore di servizi esterni, una squadra di individui che lavorano per tale entità può svolgere

efficacemente le mansioni di un DPO come squadra, sotto la responsabilità di un leader designato tramite

contatto dal il cliente.

In generale, la più complesse e/o sensibili sono le operazioni di trattamento, più risorse devono essere data al DPO. La

funzione di protezione dei dati deve essere efficace e sufficientemente dotata di risorse in relazione al trattamento dei dati

effettuato.

3.3. Istruzione e 'agire indipendentemente'

L’Articolo 38(3) stabilisce alcune garanzie fondamentali per garantire che i DPOs siano in grado di svolgere le loro mansioni

con un sufficiente grado di autonomia all'interno dell’organizzazione in cui operano. In particolare, sia i Titolari che i

Responsabili del trattamento sono tenuti a garantire che il DPO 'non riceva alcuna istruzione per quanto riguarda l'esecuzione di

tali compiti. .' La considerazione 97 aggiunghe che il DPO, 'dipendenti o meno del titolare del trattamento, dovrebbero poter

adempiere alle funzioni e ai compiti loro incombenti in maniera indipendente '.

Ciò significa che, nell'adempimento dei loro compiti a norma dell'articolo 39 i DPO non devono essere istruiti su come affrontare

una questione, ad esempio, quale risultato debba essere conseguito, come debba essere esaminato un reclamo o se consultare

l'autorità di vigilanza. Inoltre, non devono essere istruiti/invitati ad avere una determinata inclinazione relativamente alla

legislazione sulla protezione dei dati, per esempio, a tenere una particolare interpretazione della legge stessa.

L'autonomia di DPO non implica, tuttavia, che questi possegga poteri decisionali che si estendono oltre i loro compiti a norma

dell'articolo 39

Il Titolare o il Responsabile del trattamento rimangono responsabili per la conformità rispetto alla legge della protezione dei dati e

devono essere in grado di dimostrarla33

. Se il Titolare o il Responsabile del trattamento prendono decisioni incompatibili

33 Articolo 5(2).

14

Rispetto al GDPR e I consigli dati dal DPO , al DPO deve essere data la possibilità di evidenziare che il suo parere è in

dissenso alle decisioni prese, nei confronti degli organi decisionali.

3.4. Licenziamento o penalizzazioni messe in atto CAUSA l’attività di DPO

L’Articlo 38(3) inoltre richoede che i DPO ' non è rimosso o penalizzato dal titolare del trattamento o dal responsabile del

trattamento per l'adempimento dei propri compiti.'.

Questo requisito rafforza l'autonomia dei DPO e contribuisce a garantire che questi agiscono in modo indipendente e

godano di una protezione sufficiente nell'esecuzione delle loro attività di protezione dei dati..

Le penalizzazioni/sanzioni sono vietate verso il DPO solo nel caso in cui derivino dal suo operato quale DPO. Ad esempio:

un DPO può valuta che una particolare lavorazione rischi di provocare un elevato rischio e consigliare il Titolare o il

Responsabiele del Trattamento d'effettuare una valutazione di impatto, il Titolare o il Responsabiele del Trattamento non si

trovano d'accordo con la valutazione del DPO. In tale situazione, il DPO non può essere dissuaso a fornire questa indicazione.

Le penalizzazioni/ sanzioni possono assumere una varietà di forme e possono essere dirette o indirette. Potrebbero essere

costituite, per esempio, da assenza o ritardo di una promozione; ostacolo dall'avanzamento di carriera; negazione di benefici

che altri dipendenti ricevono. Non è necessario che queste sanzioni siano effettivamente effettuate, una mera minaccia è

sufficiente fintanto che vengono utilizzate per penalizzare le DPO per motivi legati alle sue attività DPO.

Come regola generale e come per qualsiasi altro dipendente o fornitore sè fatta salva l'applicazione del contratto nazionale di

lavoro e diritto penale, un DPO potrebbe essere licenziato o Comunque allontanato legittimamente per motivi diversi da

quelli relativi all'esecuzione della propria attività come un DPO (per esempio, in caso di furto, molestie fisiche, psicologiche

o sessuali o colpe gravi simili).

In questo contesto, va osservato che il GDPR non specificare come e quando un DPO possa essere respinto o sostituito da

un'altra persona. Tuttavia, più stabile è il contratto del DPO e maggiori le garanzie contro il licenziamento senza giusta

causa, più è probabile che questi saranno in grado di agire in modo indipendente. Di conseguenza, il WP29 accoglierà

favorevolmente gli sforzi dalle organizzazioni che abbiano come scopo questo effetto.

3.5. Conflitto d’interessi

L’Articolo 38(6) consente che I DPO possa ' svolgere altri compiti e funzioni. Questo richiede, tuttavia, che l’organizzazione

garantisca che ' non diano adito a un conflitto di interessi'.

L'assenza di conflitti di interessi è strettamente legata all'obbligo di agire in modo indipendente. Anche se i DPO sono

autorizzati ad avere altre funzioni, queste gli possono essere affidati purché non diano luogo a conflitti di interessi. Ciò

comporta in particolare che il DPO non può avereuna posizione all'interno dell'organizzazione determinare le finalità e i

mezzi del trattamento dei dati personali. Vista la specificità di ogni struttura organizzativa, questo deve essere valutato caso

per caso.34

34 Una regola empirica è che le posizioni in conflitto possono includere posizioni di senior management (ad esempio,

amministratore delegato, direttore operativo, finanziario, capo ufficiale medico capo, capo del reparto marketing,

responsabile delle risorse umane, o responsabile dei dipartimenti IT) ma anche altri ruoli inferiori nella struttura

organizzativa, se tali posizioni o ruoli concorrono alla determinazione delle finalità e modalità del trattamento. 15

A seconda delle attività, delle dimensioni e della struttura dell'organizzazione, può essere buona prassi per Titolari o

Responsabili del Trattamento:

identificare le posizioni che possono essere incompatibili con la funzione di DPO

elaborare un regolamento interno in tal senso, al fine di evitare conflitti d’interesse

includere una spiegazione più generale sui conflitti di interessi

dichiarare che il proprio DPO non ha alcun conflitto d’interessi per quanto concerne le sua funzione di DPO,

come modo per sensibilizzare relativamente alla presenza di questo requisito

includere garanzie nelle norme interne dell'organizzazione per garantire che la lettera di selezione per ricoprire la

posizione di DPO o il contratto di servizio sia sufficientemente precisa e dettagliata al fine di evitare conflitti

d'interessi. A questo proposito, si dove anche tener conto che i conflitti di interessi possono essere differenti a

seconda se il DPO sia reclutato internamente o esternamente.

4 Compiti del DPO

4.1. Monitoraggio della conformità con il GDPR

L’Articolo 39(1)(b) affida al DPO, tra le altre funzioni, con il compito di monitorare la conformità con il GDPR. La

Considerazione 97 specifica ulteriore che il DPO ' dovrebbe essere assistito dovrebbe essere assistito … del rispetto a livello

interno del presente regolamento '.

Nell'ambito di questi compiti per controllare la conformità, in particolare il DPO può:

raccogliere informazioni per identificare le attività di elaborazione,

analizzare e verificare la conformità delle attività, di trasformazione e

informare, consigliare e rilasciare raccomandazioni al Titolare o al Responsabile del Trattamento..

Il Controllo della conformità non implica che il DPO sia personalmente responsabile in caso di inosservanza. Il GDPR chiarisce

che è il Titolare del Trattamnte, non il DPO, che è tenuto a "mette in atto misure tecniche e organizzative adeguate per garantire,

ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al presente regolamento" (articolo 24(1)). La

conformità della protezione dei dati è una responsabilità aziendale del Titolare del Trattamento, non del DPO.

4.2. Il ruolo di DPO in una valutazione dell'impatto sulla protezione dei dati

A norma dell' 35(1 è compito del Titolare del Trattamento, non del DPO, di svolgere, ove necessario, una valutazione

d'impatto relativamente alla protezione dei dati ('DPIA'). Tuttavia, il DPO può svolgere un ruolo molto importante e utile

nell'assistere il Titolare del Trattamento. Seguendo il principio di protezione dei dati by design, l’Articolo 35(2)

prevede espressamente che il Titolare del Trattamento ' allorquando svolge una valutazione d'impatto sulla protezione dei

dati, si consulta con il DPO[responsabile della protezione dei dati] . L’Articolo 39(1)©,a sua volta, determina tra le

mansioni DPO il ' fornire, se richiesto, un parere in merito alla valutazione d'impatto sulla protezione dei dati [DPIA] e sorvegliarne lo svolgimento ai sensi dell'articolo 35; '.

16

Il WP29 raccomanda che il Titolare del Trattamento debba ricercare il parere del DPO, tra le altre ,sulle seguenti questioni:

Sia opportune o meno eseguire una DPIA

quale metodologia sia seguire quando si effettua la DPIA

se effettuare la DPIA internamente o in outsourcing

la creazione delle misure di salvaguardia (comprese le misure tecniche e organizzative) d’applicare per

attenuare i rischi per i diritti e gli interessi dei soggetti dati

che la valutazione d'impatto sulla protezione dei dati sia stata eseguita correttamente e se le sue conclusioni

(se proseguire con il trattamento dei dati e quali salvaguardie applicare) siano conformi al GDPR

Se il Titolare del Trattamento non è d'accordo con i rilievi forniti dalla DPO, la documentazione DPIA dovre specificamente per iscritto il motivo per cui il suggerimento non è stato preso in considerazione

36.

Ulteriormente il WP29 raccomanda al Titolare del Trattamento di delineare con chiarezza, ad esempio nel contratto di nomina del DPO, ma anche nelle informazioni fornite ai dipendenti, al management (e altre parti interessate, se è il caso), i compiti precisi del DPO e la loro portata, in particolare per quanto riguarda la realizzazione della DPIA.

4.3. Approccio basato sul rischio

L’Articolo 39(2) richiede che il DPO ' considera debitamente i rischi inerenti al trattamento, tenuto conto della natura,

dell'ambito di applicazione, del contesto e delle finalità del medesimo. '.

Questo articolo richiama un principio generale e di comune buon senso, che può essere rilevante per molti aspetti del lavoro

quotidiano di un DPO. In sostanza,si richiede al DPO di dare priorità e concentrare i propri sforzi su quelle attività e su quelle

questioni che presentino rischi più elevati rispetto alla protezione dei dati. Questo non significa che debbano trascurare di

verificare il monitoraggio e la conformità delle operazioni di trattamento dei dati che hanno un livello relativamente basso di

rischio, ma indica che dovrebbero dare priorità, soprattutto, sulle aree a rischio più elevato.

Questo approccio pragmatico e selettivo dovrebbe aiutare il DPO nel consigliare il Titolare del Trattamento su quale

metodologia sia da utilizzarsi nello svolgimento di un DPIA,

quale area debba essere soggetta a audit per la protezione dei dati, interni o esterni, quali attività formative effetturare al

personale o al management responsabile delle attività di trattamento dei dati e a quale trattamento dedicare più tempo e risorse.

35 L’Articolo 39(1) indica i compiti del DPO e indica che il DPO deve avere «almeno» le seguenti mansioni. Di

conseguenza, Nothing impedisce al controller di assegnare DPO altre attività di quelle esplicitamente menzionate all'articolo 39,

paragrafo 1, o di specificare tali attività in modo più dettagliato. 36

L’Articolo 24(1) provides that 'Tenuto conto della natura, dell'ambito di applicazione, del contesto e delle finalità del

trattamento, nonché dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche, il titolare del

trattamento mette in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il

trattamento è effettuato conformemente al presente regolamento. Dette misure sono riesaminate e aggiornate qualora

necessario.'.

17

4.4. Il ruolo del DPO relativamente ai registri

L’articolo 30(1) e (2), che al titolare del trattamento e, se del caso, il suo rappresentante, non il DPO, ' tengono un registro

delle attività di trattamento svolte sotto la propria responsabilità ' o ' tengono un registro di tutte le categorie di attività relative

al trattamento svolte per conto di un titolare del trattamento '.

In pratica, il DPO spesso creano inventari e tengono un registro delle operazioni ditrattaemnto dei dati, in base alle informazioni

fornite dai vari reparti e enti della loro organizzazione, responsabile del trattamento dei dati personali. Questa prassi è stata istituita

con molte leggi nazionali vigenti e sotto le norme di tutela dei dati applicabili alle istituzioni e agli organi dell'UE37

L’Articolo 39(1) fornisce un elenco di attività che l'DPO deve avere come minimo. Di conseguenza, nulla impedisce al Titolare o

al responsabile di assegnare al DPO il compito di aggiornare il registro delle operazioni, sotto la responsabilità del Responsabile di

trattamento. Il Registro dovrebbe essere considerato come uno degli strumenti tramite il quale il DPO di svolgere i propri compiti

di verifica della conformità, per informare e consigliare il Titolare o il responsabile del Trattamento.

In ogni caso il registro deve essere conservato ai sensi dell'articolo 30 dovrebbe essere visto come lo strumento che consenta al

Titolare del Trattamento e all'autorità di vigilanza, su richiesta, di avere una panoramica di tutte le attività di trattamento dei dati

personali che un'organizzazione sta svolgendo. È quindi un prerequisito per la conformità, e come tale, una misura di

responsabilità effettiva

37 Article 24(1)(d), Regulation (EC) 45/2001.

18