{"id":3921,"date":"2020-11-10T09:28:56","date_gmt":"2020-11-10T08:28:56","guid":{"rendered":"https:\/\/www.agmsolutions.net\/?p=3921"},"modified":"2022-11-29T09:34:39","modified_gmt":"2022-11-29T08:34:39","slug":"dpo-compiti-e-funzioni","status":"publish","type":"post","link":"https:\/\/dev.agmtest.net\/en\/dpo-compiti-e-funzioni\/","title":{"rendered":"DPO"},"content":{"rendered":"<p>Dopo aver illustrato le valutazioni ed i processi formali che portano al perfezionamento della nomina, rispettivamente all\u2019interno di \u201c<a href=\"https:\/\/agmsolutions.net\/dpo-quando-e-obbligatorio\/\" target=\"_blank\" rel=\"noopener\"><strong>Chi \u00e8 e quando \u00e8 prevista la nomina del DPO<\/strong><\/a>\u201d e \u201c<strong>Come scegliere, collocare e comunicare con il DPO<\/strong>\u201d, a chiusura di questa serie di articoli sul DPO, tratteremo quali sono concretamente i suoi principali compiti e funzioni, ai sensi dell\u2019<a href=\"https:\/\/eur-lex.europa.eu\/legal-content\/IT\/TXT\/HTML\/?uri=CELEX:32016R0679&amp;from=IT#d1e3836-1-1\">articolo 39<\/a> del GDPR.<\/p>\n<h5>Informare e consigliare il Titolare\/Responsabile del trattamento in merito agli obblighi previsti dalle norme in materia di protezione dei dati personali<\/h5>\n<p>Il DPO, innanzitutto, dovr\u00e0 costantemente interfacciarsi ed allinearsi con il<strong> top management <\/strong>in merito alle questioni riguardanti la protezione dei dati personali.<\/p>\n<p>Per un\u2019efficace gestione \u00e8 importante cercare di creare un contesto, che sia il pi\u00f9 possibile collaborativo tra le parti coinvolte, al fine di garantire il rispetto degli obblighi normativi, in armonia con il contesto e le esigenze lavorative.<\/p>\n<p>Dalla nostra esperienza, \u00e8 generalmente il DPO che sollecita il Titolare\/Responsabile del trattamento in merito alle questioni pi\u00f9 urgenti; in tale ottica, \u00e8 una buona prassi fare dei verbali\/recap scritti, preferibilmente a caldo, su quanto discusso nelle riunioni, in modo da:<\/p>\n<ul>\n<li>tenere traccia delle tematiche da affrontare e dell\u2019avanzamento dei lavori;<\/li>\n<li>formalizzare l\u2019attivit\u00e0 e le prese di posizione del DPO nei confronti del Titolare\/Responsabile del trattamento (anche come forma di tutela in caso di pretesa risarcitoria).<\/li>\n<\/ul>\n<p>A tal proposito, ribadiamo il concetto, meglio illustrato nell\u2019articolo \u201c<a href=\"https:\/\/agmsolutions.net\/come-scegliere-il-dpo\/\"><strong>Come scegliere, collocare e comunicare con il DPO<\/strong><\/a>\u201d, che solo il Titolare\/Responsabile del trattamento, e non il DPO nel suo ruolo consultivo e di supporto, \u00e8 personalmente responsabile dell&#8217;inosservanza degli obblighi in materia di protezione dei dati personali.<\/p>\n<p>Oltre alla funzione consultiva nei confronti del Titolare\/Responsabile del trattamento, l\u2019<a href=\"https:\/\/eur-lex.europa.eu\/legal-content\/IT\/TXT\/HTML\/?uri=CELEX:32016R0679&amp;from=IT#d1e3836-1-1\">articolo 39<\/a> cita espressamente anche una pi\u00f9 specifica funzione del DPO di \u201c<strong>sensibilizzazione &nbsp;e formazione del personale<\/strong> che partecipa ai trattamenti e alle connesse attivit\u00e0 di controllo\u201d; si rammenta, a tal proposito, che ai sensi dell\u2019<a href=\"https:\/\/eur-lex.europa.eu\/legal-content\/IT\/TXT\/HTML\/?uri=CELEX:32016R0679&amp;from=IT#d1e3265-1-1\">articolo 29<\/a> del GDPR, \u201cchiunque agisca sotto l\u2019autorit\u00e0 del titolare del trattamento ed abbia accesso a dati personali non pu\u00f2 trattare tali dati se non \u00e8 istruito in tal senso dal titolare del trattamento\u201d, ed inoltre che l\u2019<a href=\"https:\/\/eur-lex.europa.eu\/legal-content\/IT\/TXT\/HTML\/?uri=CELEX:32016R0679&amp;from=IT#d1e3390-1-1\">articolo 32<\/a>, paragrafo 4, dispone che \u201cIl titolare del trattamento e il responsabile del trattamento fanno s\u00ec che chiunque agisca sotto la loro autorit\u00e0 e abbia accesso a dati personali non tratti tali dati se non \u00e8 istruito in tal senso dal titolare del trattamento\u201d.<\/p>\n<p>Il consolidamento del livello di compliance passa infatti necessariamente da un adeguato grado di consapevolezza da parte dei soggetti autorizzati al trattamento dei dati personali, che andranno supportati dal DPO attraverso un piano formativo, che tenga conto delle rispettive esigenze e dei rispettivi obiettivi delle diverse figure aziendali, a cui venga di volta in volta indirizzato.<\/p>\n<h5>Sorvegliare l\u2019osservanza della normativa e delle politiche del Titolare\/Responsabile in materia di protezione dei dati personali del trattamento<\/h5>\n<p>Al fine di uniformare i principi e gli obiettivi ed evitare interpretazioni applicative discordanti, il DPO \u00e8 chiamato a definire la <strong>policy<\/strong> aziendale in materia di protezione dei dati personali, che dovr\u00e0 essere approvata formalmente dal top management.<\/p>\n<p>Nel documento, indirizzato innanzitutto al personale autorizzato trattamento dei dati personali, si dovranno indicare quantomeno le definizioni dei termini chiave della normativa, i principi della protezione dei dati, i ruoli e le responsabilit\u00e0 dei vari soggetti, oltre alle specifiche istruzioni operative per la protezione e l\u2019adeguato trattamento dei dati personali nell\u2019ambito delle mansioni lavorative.<\/p>\n<p>Se la policy&nbsp;dovesse essere utilizzata anche per i trasferimenti dei dati tra le diverse filiali dell&#8217;azienda, alcune delle quali collocate al di fuori dell\u2019Unione Europea, la medesima dovr\u00e0 essere sottoposta anche all&#8217;approvazione dell&#8217;Autorit\u00e0 di controllo, e, qualora approvata, potr\u00e0 valere alla stregua delle Norme vincolanti d&#8217;impresa, come illustrate dall\u2019<a href=\"https:\/\/eur-lex.europa.eu\/legal-content\/IT\/TXT\/HTML\/?uri=CELEX:32016R0679&amp;from=IT#d1e4410-1-1\">articolo 47<\/a> del GDPR.<\/p>\n<p>Il passo successivo \u00e8 la conduzione degli audit dei vari settori aziendali, per verificare se i trattamenti posti in essere sono conformi alla policy; i membri di riferimento di ciascun settore, ovviamente, dovranno essere appositamente istruiti e preparati in materia.<\/p>\n<p>Sulla base delle informazioni raccolte nel corso degli audit periodici con le divisioni coinvolte nelle operazioni di trattamento, anche le <a href=\"https:\/\/ec.europa.eu\/newsroom\/article29\/item-detail.cfm?item_id=612048\">Linee guida adottate in materia dal Gruppo di Lavoro Art. 29 (WP29)<\/a> non censurano la prassi di affidare ai DPO la tenuta del <strong>Registro dei trattamenti<\/strong>, sebbene l\u2019<a href=\"https:\/\/eur-lex.europa.eu\/legal-content\/IT\/TXT\/HTML\/?uri=CELEX:32016R0679&amp;from=IT#d1e3272-1-1\">articolo 30<\/a> GDPR prescriva la responsabilit\u00e0 formale della tenuta del Registro in capo al Titolare o al Responsabile del trattamento, e non al DPO.<\/p>\n<p>Il monitoraggio del Registro pu\u00f2 aiutare infatti molto il DPO a sorvegliare il rispetto delle disposizioni normative da parte del Titolare\/Responsabile del trattamento, avendo a disposizione uno strumento di monitoraggio dei trattamenti e, conseguentemente, d\u2019individuazione di quelli maggiormente esposti al rischio.<\/p>\n<p>Oltre alla tenuta e costante aggiornamento del Registro dei trattamenti, il DPO dovr\u00e0 assicurarsi che l&#8217;azienda mantenga un registro o log delle&nbsp;richieste degli interessati, dei&nbsp;consensi&nbsp;ottenuti ed eventualmente revocati, nonch\u00e9, naturalmente, dei&nbsp;data breach e near misses.<\/p>\n<h5>Fornire, se richiesto, un parere in merito alla valutazione d&#8217;impatto sulla protezione dei dati e sorvegliarne lo svolgimento<\/h5>\n<p>In ossequio al principio di Privacy by Design, il DPO dovrebbe essere consultato, <u>prima<\/u> di procedere al trattamento, ogniqualvolta debbano essere assunte decisioni che impattano sulla protezione dei dati, in particolare se vi sono rischi elevati per i diritti e le libert\u00e0 degli interessati, per cui risulta necessario effettuare una <strong>Valutazione d\u2019impatto (DPIA) <\/strong>ai sensi dell\u2019<a href=\"https:\/\/eur-lex.europa.eu\/legal-content\/IT\/TXT\/HTML\/?uri=CELEX:32016R0679&amp;from=IT#d1e3543-1-1\">articolo 35<\/a> del GDPR.<\/p>\n<p>Oltre che nella fase di svolgimento vero e proprio della DPIA ed implementazione delle misure di mitigazione, il DPO andrebbe coinvolto gi\u00e0 dalla fase preliminare, che potrebbe anche concludersi con una valutazione di non necessit\u00e0 della DPIA e di adeguato governo del trattamento.<\/p>\n<p>Anche le Linee Guida del WP29 prescrivono che \u201cQualora il titolare non concordi con le indicazioni fornite dal RPD, \u00e8 necessario che la documentazione relativa alla DPIA riporti specificamente per iscritto le motivazioni per cui si \u00e8 ritenuto di non conformarsi a tali indicazioni\u201d.<\/p>\n<p>Non nascondiamo che, purtroppo, dalle nostre esperienze raramente capita di vedere rispettato questo approccio virtuoso, venendo invece coinvolto il DPO, nella maggior parte dei casi, ex post a trattamento gi\u00e0 intrapreso.<\/p>\n<h5>Cooperare e fungere da punto di contatto<\/h5>\n<p>Come delineato dalle Linee Guida del WP29, il DPO, attraverso i suoi canali di contatto (sulla cui comunicazione e pubblicazione rimandiamo all\u2019articolo \u201c<a href=\"https:\/\/agmsolutions.net\/come-scegliere-il-dpo\/\" target=\"_blank\" rel=\"noopener\"><strong>Come scegliere, collocare e comunicare con il DPO<\/strong><\/a>\u201d), deve avere un ruolo di \u201cfacilitatore\u201d tra il Titolare del trattamento che lo ha nominato e l&#8217;Autorit\u00e0 di controllo per le questioni connesse al trattamento; tra queste, possiamo citare, ad esempio, l\u2019eventuale consultazione preventiva successiva alla DPIA, di cui all\u2019<a href=\"https:\/\/eur-lex.europa.eu\/legal-content\/IT\/TXT\/HTML\/?uri=CELEX:32016R0679&amp;from=IT#d1e3660-1-1\">articolo 36<\/a> del GDPR, e, in generale, la collaborazione con l\u2019Autorit\u00e0 per l\u2019adempimento dei compiti di indagine, correttivi, autorizzativi e consultivi, riconosciuti ad essa dagli articoli <a href=\"https:\/\/eur-lex.europa.eu\/legal-content\/IT\/TXT\/HTML\/?uri=CELEX:32016R0679&amp;from=IT#d1e4908-1-1\">57<\/a> and <a href=\"https:\/\/eur-lex.europa.eu\/legal-content\/IT\/TXT\/HTML\/?uri=CELEX:32016R0679&amp;from=IT#d1e5068-1-1\">58<\/a> del GDPR.<\/p>\n<p>Oltre che per l\u2019Autorit\u00e0 di controllo, il DPO deve fungere da punto di contatto anche per gli interessati al trattamento, al fine di poter fornire loro un riscontro in merito a qualunque questioni connessa al trattamento dei loro dati personali e per garantire l&#8217;esercizio dei loro diritti, nelle tempistiche indicate dall\u2019<a href=\"https:\/\/eur-lex.europa.eu\/legal-content\/IT\/TXT\/HTML\/?uri=CELEX:32016R0679&amp;from=IT#d1e2189-1-1\">articolo 12<\/a> del GDPR.<\/p>","protected":false},"excerpt":{"rendered":"<p>Quali sono concretamente i principali compiti e funzioni del DPO, ai sensi dell\u2019articolo 39 del GDPR?<\/p>","protected":false},"author":4,"featured_media":3926,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[44],"tags":[],"featured_image_src":{"landsacpe":false,"list":false,"medium":false,"full":false},"yoast_head":"<!-- This site is optimized with the Yoast SEO plugin v21.5 - https:\/\/yoast.com\/wordpress\/plugins\/seo\/ -->\n<title>DPO: quali sono i compiti e le funzioni del DPO<\/title>\n<meta name=\"description\" content=\"Quali sono i principali compiti e funzioni, ai sensi dell\u2019articolo 39 del GDPR. del DPO? Scopri di pi\u00f9 nel nostro articolo.\" \/>\n<meta name=\"robots\" content=\"index, follow, max-snippet:-1, max-image-preview:large, max-video-preview:-1\" \/>\n<link rel=\"canonical\" href=\"https:\/\/dev.agmtest.net\/en\/dpo-compiti-e-funzioni\/\" \/>\n<meta property=\"og:locale\" content=\"en_GB\" \/>\n<meta property=\"og:type\" content=\"article\" \/>\n<meta property=\"og:title\" content=\"DPO: quali sono i compiti e le funzioni del DPO\" \/>\n<meta property=\"og:description\" content=\"Quali sono i principali compiti e funzioni, ai sensi dell\u2019articolo 39 del GDPR. del DPO? Scopri di pi\u00f9 nel nostro articolo.\" \/>\n<meta property=\"og:url\" content=\"https:\/\/dev.agmtest.net\/en\/dpo-compiti-e-funzioni\/\" \/>\n<meta property=\"og:site_name\" content=\"AGM Solutions\" \/>\n<meta property=\"article:published_time\" content=\"2020-11-10T08:28:56+00:00\" \/>\n<meta property=\"article:modified_time\" content=\"2022-11-29T08:34:39+00:00\" \/>\n<meta name=\"author\" content=\"Elisa Biccheri\" \/>\n<meta name=\"twitter:card\" content=\"summary_large_image\" \/>\n<meta name=\"twitter:label1\" content=\"Written by\" \/>\n\t<meta name=\"twitter:data1\" content=\"Elisa Biccheri\" \/>\n\t<meta name=\"twitter:label2\" content=\"Estimated reading time\" \/>\n\t<meta name=\"twitter:data2\" content=\"7 minutes\" \/>\n<script type=\"application\/ld+json\" class=\"yoast-schema-graph\">{\"@context\":\"https:\/\/schema.org\",\"@graph\":[{\"@type\":\"WebPage\",\"@id\":\"https:\/\/dev.agmtest.net\/dpo-compiti-e-funzioni\/\",\"url\":\"https:\/\/dev.agmtest.net\/dpo-compiti-e-funzioni\/\",\"name\":\"DPO: quali sono i compiti e le funzioni del DPO\",\"isPartOf\":{\"@id\":\"https:\/\/dev.agmtest.net\/#website\"},\"datePublished\":\"2020-11-10T08:28:56+00:00\",\"dateModified\":\"2022-11-29T08:34:39+00:00\",\"author\":{\"@id\":\"https:\/\/dev.agmtest.net\/#\/schema\/person\/65c5a7b300400e5cbb27ee2cc3f50b78\"},\"description\":\"Quali sono i principali compiti e funzioni, ai sensi dell\u2019articolo 39 del GDPR. del DPO? Scopri di pi\u00f9 nel nostro articolo.\",\"breadcrumb\":{\"@id\":\"https:\/\/dev.agmtest.net\/dpo-compiti-e-funzioni\/#breadcrumb\"},\"inLanguage\":\"en-GB\",\"potentialAction\":[{\"@type\":\"ReadAction\",\"target\":[\"https:\/\/dev.agmtest.net\/dpo-compiti-e-funzioni\/\"]}]},{\"@type\":\"BreadcrumbList\",\"@id\":\"https:\/\/dev.agmtest.net\/dpo-compiti-e-funzioni\/#breadcrumb\",\"itemListElement\":[{\"@type\":\"ListItem\",\"position\":1,\"name\":\"Home\",\"item\":\"https:\/\/dev.agmtest.net\/\"},{\"@type\":\"ListItem\",\"position\":2,\"name\":\"DPO\"}]},{\"@type\":\"WebSite\",\"@id\":\"https:\/\/dev.agmtest.net\/#website\",\"url\":\"https:\/\/dev.agmtest.net\/\",\"name\":\"AGM Solutions\",\"description\":\"Innovation Technology\",\"potentialAction\":[{\"@type\":\"SearchAction\",\"target\":{\"@type\":\"EntryPoint\",\"urlTemplate\":\"https:\/\/dev.agmtest.net\/?s={search_term_string}\"},\"query-input\":\"required name=search_term_string\"}],\"inLanguage\":\"en-GB\"},{\"@type\":\"Person\",\"@id\":\"https:\/\/dev.agmtest.net\/#\/schema\/person\/65c5a7b300400e5cbb27ee2cc3f50b78\",\"name\":\"Elisa Biccheri\",\"url\":\"https:\/\/dev.agmtest.net\/en\/author\/elisa-biccheri\/\"}]}<\/script>\n<!-- \/ Yoast SEO plugin. -->","yoast_head_json":{"title":"DPO: quali sono i compiti e le funzioni del DPO","description":"Quali sono i principali compiti e funzioni, ai sensi dell\u2019articolo 39 del GDPR. del DPO? Scopri di pi\u00f9 nel nostro articolo.","robots":{"index":"index","follow":"follow","max-snippet":"max-snippet:-1","max-image-preview":"max-image-preview:large","max-video-preview":"max-video-preview:-1"},"canonical":"https:\/\/dev.agmtest.net\/en\/dpo-compiti-e-funzioni\/","og_locale":"en_GB","og_type":"article","og_title":"DPO: quali sono i compiti e le funzioni del DPO","og_description":"Quali sono i principali compiti e funzioni, ai sensi dell\u2019articolo 39 del GDPR. del DPO? Scopri di pi\u00f9 nel nostro articolo.","og_url":"https:\/\/dev.agmtest.net\/en\/dpo-compiti-e-funzioni\/","og_site_name":"AGM Solutions","article_published_time":"2020-11-10T08:28:56+00:00","article_modified_time":"2022-11-29T08:34:39+00:00","author":"Elisa Biccheri","twitter_card":"summary_large_image","twitter_misc":{"Written by":"Elisa Biccheri","Estimated reading time":"7 minutes"},"schema":{"@context":"https:\/\/schema.org","@graph":[{"@type":"WebPage","@id":"https:\/\/dev.agmtest.net\/dpo-compiti-e-funzioni\/","url":"https:\/\/dev.agmtest.net\/dpo-compiti-e-funzioni\/","name":"DPO: quali sono i compiti e le funzioni del DPO","isPartOf":{"@id":"https:\/\/dev.agmtest.net\/#website"},"datePublished":"2020-11-10T08:28:56+00:00","dateModified":"2022-11-29T08:34:39+00:00","author":{"@id":"https:\/\/dev.agmtest.net\/#\/schema\/person\/65c5a7b300400e5cbb27ee2cc3f50b78"},"description":"Quali sono i principali compiti e funzioni, ai sensi dell\u2019articolo 39 del GDPR. del DPO? Scopri di pi\u00f9 nel nostro articolo.","breadcrumb":{"@id":"https:\/\/dev.agmtest.net\/dpo-compiti-e-funzioni\/#breadcrumb"},"inLanguage":"en-GB","potentialAction":[{"@type":"ReadAction","target":["https:\/\/dev.agmtest.net\/dpo-compiti-e-funzioni\/"]}]},{"@type":"BreadcrumbList","@id":"https:\/\/dev.agmtest.net\/dpo-compiti-e-funzioni\/#breadcrumb","itemListElement":[{"@type":"ListItem","position":1,"name":"Home","item":"https:\/\/dev.agmtest.net\/"},{"@type":"ListItem","position":2,"name":"DPO"}]},{"@type":"WebSite","@id":"https:\/\/dev.agmtest.net\/#website","url":"https:\/\/dev.agmtest.net\/","name":"AGM Solutions","description":"Innovation Technology","potentialAction":[{"@type":"SearchAction","target":{"@type":"EntryPoint","urlTemplate":"https:\/\/dev.agmtest.net\/?s={search_term_string}"},"query-input":"required name=search_term_string"}],"inLanguage":"en-GB"},{"@type":"Person","@id":"https:\/\/dev.agmtest.net\/#\/schema\/person\/65c5a7b300400e5cbb27ee2cc3f50b78","name":"Elisa Biccheri","url":"https:\/\/dev.agmtest.net\/en\/author\/elisa-biccheri\/"}]}},"_links":{"self":[{"href":"https:\/\/dev.agmtest.net\/en\/wp-json\/wp\/v2\/posts\/3921"}],"collection":[{"href":"https:\/\/dev.agmtest.net\/en\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/dev.agmtest.net\/en\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/dev.agmtest.net\/en\/wp-json\/wp\/v2\/users\/4"}],"replies":[{"embeddable":true,"href":"https:\/\/dev.agmtest.net\/en\/wp-json\/wp\/v2\/comments?post=3921"}],"version-history":[{"count":3,"href":"https:\/\/dev.agmtest.net\/en\/wp-json\/wp\/v2\/posts\/3921\/revisions"}],"predecessor-version":[{"id":11123,"href":"https:\/\/dev.agmtest.net\/en\/wp-json\/wp\/v2\/posts\/3921\/revisions\/11123"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/dev.agmtest.net\/en\/wp-json\/"}],"wp:attachment":[{"href":"https:\/\/dev.agmtest.net\/en\/wp-json\/wp\/v2\/media?parent=3921"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/dev.agmtest.net\/en\/wp-json\/wp\/v2\/categories?post=3921"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/dev.agmtest.net\/en\/wp-json\/wp\/v2\/tags?post=3921"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}