GDPR: Il DPO può essere interno o deve essere esterno all’organizzazione?

Il ruolo di DPO può essere ricoperto da un dipendente del titolare o del responsabile ma l’incarico può essere anche affidato a soggetti esterni, purché siano nella condizione di dare effettiva esecutività al Regolamento. Nel primo caso il DPO  andrà nominato mediante specifico atto di designazione, mentre nel secondo, dovrà operare in base a un contratto di servizi. Tali atti, da redigere in forma scritta, dovranno elencare oltre ai compiti anche le risorse, gli strumenti, i poteri e ogni dato del contesto di riferimento. Gli dovranno essere assegnati risorse finanziarie, infrastrutturali e umane necessarie e sufficienti per lo svolgimento del compito .

I dati di contatto del DPO devono essere resi pubblici e all’atto della nomina nominativo contatti devono essere comunicati al Garante mediante invio telematico secondo la procedura messa a disposizione dal Garante stesso sul proprio portale; l’invio telematico rende superflua l’attribuzione di data certa all’atto.

Nell’individuazione del DPO bisogna fare molta attenzione a non incorrere nel conflitto d’interessi tra il ruolo di responsabile per la protezione dei dati e incarichi dirigenziali o mansioni di natura decisionale in materia di finalità o trattamento dei dati: il DPO cioè non potrà essere l’amministratore delegato, il direttore generale, il membro del cda ma neppure la direzione delle risorse umane, il responsabile IT ecc., solo per elencarne alcuni; allo stesso modo non potrà essere il consulente esterno che ha prestato i propri servizi per adeguare l’azienda o l’ente al Regolamento.

Il ruolo può essere ricoperto anche da un team che fa capo a un unico referente oppure a una persona giuridica (se soggetto esterno) purché venga individuata una persona fisica che funga da punto di contatto tra azienda/ente, Interessati e Autorità.

Consulta la nostra mini-guida sulla figura del DPO.

Giovanni Brancalion Spadon

Giovanni Brancalion Spadon

Nato a Venezia, ha studiato presso l’Università di Bologna e presso l’UCLA California, è iscritto all’Albo Avvocati di Venezia dal 2004. Dopo la laurea ha conseguito un master in Diritto delle Nuove Tecnologie, uno in Diritto Ambientale e uno in Diritto d’Autore e dello spettacolo e si è specializzato in Blockchain Technologies presso il Massachusetts Institute of Technology (MIT) di Boston. Docente presso la Business School dell’Università Ca’Foscari di Venezia, collabora con istituti di formazione per le materie connesse al diritto delle nuove tecnologie, alla privacy e alla blockchain e relative applicazioni, all’amministrazione digitale; è consulente di P.A. per la digitalizzazione e l'adeguamento GDPR. Socio fondatore di Porto4, è dedicato principalmente ai programmi 4ANALYSIS - analisi strategica d'Impresa, 4 GDPR  e 4FORMAZIONE - per la diffusione della cultura legale nelle imprese. Da oltre 15 anni opera nel diritto delle nuove tecnologie, industriale, d’autore e societario. E’ interessato ai processi d’innovazione in ogni ambito, appassionato d’arte contemporanea e insegna teatro.