Il titolare del trattamento potrà fare causa al DPO per inadempimento

Il mercato ha forti aspettative e hanno altrettanto forti aspettative anche i consulenti, che aspirano a un impiego di alto livello e possibilmente ben remunerato. D’altra parte, aziende ed enti pubblici devono stare attenti a individuare bene i soggetti idonei: se si affidano a chi dà loro cattivi consigli, questo non eliminerà la responsabilità verso clienti, utenti o la responsabilità amministrativa o penale. E può essere che far causa al cattivo Dpo sia una magra consolazione (quando non inefficace, per mancanza di solvibilità o di copertura assicurativa del rischio professionale del Data Protection Officer).

Dunque, vediamo che cosa deve sapere il Dpo.

************ GLI STRUMENTI PER GLI ESPERTI PRIVACY 2017 **********
_ Corso on line Esperto Privacy Regolamento europeo 679/2016
_ Kit software regolamento europeo 679/2016
****************************************************************

È importante, sostengono le Linee guida, che il Dpo abbiano competenza sulla normativa nazionale ed europea e sulle prassi relative alla materia della protezione di dati.

 

Le Linee guida aggiungono la necessità di una profonda conoscenza del regolamento europeo. È utile anche prevedere programmi di aggiornamento continuo.

 

A queste competenze sulla normativa specifica della privacy è utile aggiungere la conoscenza del settore commerciale del titolare del trattamento.

 

Il Dpo dovrebbe avere sufficiente conoscenza delle operazioni di trattamento, e altrettanta sufficiente conoscenza del sistema informativo, della sicurezza de dati e delle esigenza di protezione dei dati. Nel caso di ente pubblico, il Dpo dovrebbe avere una solida conoscenza dell’ordinamento e dell’organizzazione delle pubbliche amministrazioni.

Riportando le parole delle Linee guida alle esigenze della pratica quotidianità imprenditoriale o dell’attività dell’ente pubblico, il Dpo deve essere un giurista, deve essere uno che è capace di comprendere la volo il vocabolario giuridico del Regolamento.

************ GLI STRUMENTI PER GLI ESPERTI PRIVACY 2017 **********
_ Corso on line Esperto Privacy Regolamento europeo 679/2016
_ Kit software regolamento europeo 679/2016
****************************************************************

Il Dpo, qualunque siano il curriculum degli studi e i titoli formali posseduti, deve sapere manovrare i testi giuridici: regolamento e direttive europei, normativa nazionale e provvedimenti delle autorità garanti.

Questa competenza giuridica il Dpo la deve soprattutto a se stesso per non assumere compiti che non è in grado di svolgere: se sottovaluterà questo aspetto si renderà responsabile per colpa e destinato a pagare i danni al proprio committente (anche se non è da escludere una responsabilità diretta a favore degli interessati).

 

Tanto per fare esempi: il Dpo deve distinguere a menadito il consenso esplicito da quello inequivoco; deve sapere quando scatta la valutazione di impatto privacy e quando c’è violazione delle libertà altrui in caso di portabilità dei dati e cosa significa responsabilità solidale e così via.

 

Responsabilità. Il Gruppo di lavoro art. 29 affronta il quesito della responsabilità del Dpo sia nelle Linee guida sia in una delle faq allegate alle stesse.

 

In caso di trattamenti non conformi al regolamento europeo, il Gruppo di lavoro afferma che il Dpo non è personalmente responsabile, richiamando il fatto che il regolamento esige la dimostrazione di osservanza del regolamento sesso solo a carico del titolare e del responsabile del trattamento.

************ GLI STRUMENTI PER GLI ESPERTI PRIVACY 2017 **********
_ Corso on line Esperto Privacy Regolamento europeo 679/2016
_ Kit software regolamento europeo 679/2016
****************************************************************

Si deve aggiungere, però, che in caso di cattiva consulenza al titolare del trattamento, questo potrà fare causa al Dpo per inadempimento del contratto di servizio e per chiedere i conseguenti danni. Si aggiunge che non è da escludere una responsabilità extracontrattuale diretta del Dpo nei confronti degli interessati, che subiscano danni per un trattamento operato dal titolare, ma conforme al parere errato del Dpo.

 

Società di Dpo. Le Linee guida evidenziano che la funzione di Dpo può anche essere svolta da un consulente esterno o da una organizzazione esterna (ad esempio, una società) sulla base di un contratto di servizi. Nel caso di società è essenziale che ogni componente dell’organizzazione esterna possieda i requisiti di conoscenza e competenza.

 

Sempre nel caso di società di Dpo, il Gruppo di lavoro ex art. 29 esige che si debba assegnare a ogni cliente un singolo Dpo, come referente specifico, che ha in carico quel particolare titolare di trattamento.

Di tutto ciò si deve dare conto nel contatto di servizio.

Fonte: Italia Oggi del 9 gennaio 2017

************ GLI STRUMENTI PER GLI ESPERTI PRIVACY 2017 **********
_ Corso on line Esperto Privacy Regolamento europeo 679/2016
_ Kit software regolamento europeo 679/2016
****************************************************************

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *