Dpo/rpd - gdpr 679/2016

L'esperto risponde (con l'I.A.)
#1

DPO può essere sia un soggetto interno o esterno:

  • se una persona interna all’amministrazione viene nominato dalla Giunta;
  • se esterno, viene scelto il responsabilile del trattamento (ditta o persona fisica) tramite procedure di gara verificando che abbia i requisiti di sicurezza, idoneità, capacità per trattare i dati. Il dirigente che avvia la procedura di gara deve individuare il responsabile del trattamento e deve essere indicato il DPO. Normalmente la scelta deve avvenire tenendo conto del possesso di determinati requisiti e non dell’offerta economicamente piu’ vantaggiosa. Il responsabile del trattamento non può affidare all’esterno i dati se non autorizzato dal titolare del trattamento.
    E’ corretto?
#2

Ciao Rosanna.

  • Nel caso in cui si opti per un RPD interno, sarebbe preferibile che, ove la struttura organizzativa lo consenta e tenendo conto della complessità dei trattamenti, la designazione sia conferita a un dirigente ovvero a un funzionario di alta professionalità, che possa svolgere le proprie funzioni in autonomia e indipendenza, nonché in collaborazione diretta con il vertice dell’organizzazione.
    E’ necessario un apposito atto di designazione

  • Nel caso dei DPO esterno, le funzioni saranno esercitate sulla base di un
    contratto di servizi stipulato con una persona fisica o giuridica. Se la funzione
    di DPO è svolta da un fornitore esterno di servizi, i compiti stabiliti per il
    DPO potranno essere assolti efficacemente da un team operante sotto
    l’autorità di un contatto principale designato e “responsabile” per il singolo
    cliente. In tal caso, è indispensabile che ciascun soggetto appartenente al
    fornitore esterno operante quale DPO soddisfi tutti i requisiti applicabili come
    fissati nel GDPR.
    E’ necessario fare attenzione alla procedura di evidenza per la scelta del DPO
    (valore affidamento, requisiti partecipanti, SLA contratto).

  • Nel caso in cui una pubblica amministrazione affidi l’incarico di DPO ad una persona giuridica, il soggetto che viene designato quale DPO deve appartenere all’organico della persona giuridica, non essendo sufficiente una mera proposta d’incarico. (Tar Puglia - Lecce, sent. n. 1468/2019).

Consiglio sul tema lettura delle slides che allego:

Buono studio

Simona