NOMINA DPO: Cosa richiede l’Autorità Garante Privacy in fase di ispezione?

La nomina del Responsabile della Protezione dei Dati (anche DPO) è una questione non sempre di facile risposta. Esistono infatti numerose casistiche che potrebbero posizionarsi in “Zona Grigia”. Ciò non toglie che Responsabili e Titolari del trattamento siano responsabili dell’individuazione e della nomina di questa figura. A riprova di ciò, si evidenzia come durante un’ispezione dell’Autorità Garante Privacy, nel luglio del 2018, quest’ultimo richiedeva […] informazioni ai sensi dell’art. 58 comma 1 lett. a) ed e) del GDPR e degli artt. 157 – 158 del Nuovo Codice Privacy […], al Titolare, [riguardante] l’atto di designazione”.

Cosa deve fare il Titolare?

Se il Titolare ha nominato il DPO perché rientra in una delle condizioni dell’art. 37 deve esibire all’organo ispettivo in primis l’atto di designazione di DPO e tutta la documentazione, la corrispondenza attestante l’avvenuta notifica della suddetta nomina all’Autorità Garante. Si precisa che è importante conservare il numero di protocollo della nomina contenuto nell’e-mail di conferma ricevuta, numero che viene richiesto in caso di eventuali successive notifiche all’Autorità Garante (es: notifica Data Breach).
Se il Titolare non ha nominato il DPO perché non rientra nei criteri dell’art. 37, è tenuto a dimostrare le ragioni di tale decisione.

Come può dimostralo (Principio di Accountability)?

Per giustificare la scelta il Titolare (o il Responsabile) dovrebbero inserire le loro argomentazioni alla base della decisione adottata all’interno di uno specifico documento, eventualmente supportato da un parere di legale o di un consulente. Il documento in questione potrebbe essere anche e semplicemente il Registro delle attività di trattamento.

Dott.ssa Federica Bresciani