Incarico di Responsabile della protezione dei dati “esterno” (Data Protection Officer)
L’istituzione della figura del Responsabile della protezione dei dati, affianca il Titolare e il Responsabile del trattamento, e deve essere designato allorché “le attività principali del titolare del trattamento o del responsabile del trattamento consistono nel trattamento, su larga scala, di categorie particolari di dati personali di cui all'articolo 9 (dati sensibili sanitari) o di dati relativi a condanne penali e a reati di cui all'articolo 10” (art. 37, c). Ricordiamo che fanno parte di tale categoria di dati quelli relativi alla salute.
Tale responsabile “è designato in funzione delle qualità professionali, in particolare della conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati” (art. 37,5), … può essere un dipendente del titolare del trattamento o del responsabile del trattamento oppure assolvere i suoi compiti in base a un contratto di servizi (art. 37,6). I dati di contatto del responsabile della protezione dei dati devono essere comunicati all’autorità di controllo (art. 37,7)”
All’art. 38 è definita la posizione del responsabile della protezione dei dati, il quale riferisce direttamente al vertice gerarchico del titolare del trattamento o del responsabile del trattamento. Viene inoltre precisato che “Gli interessati possono contattare il responsabile della protezione dei dati per tutte le questioni relative al trattamento dei loro dati personali e all’esercizio dei loro diritti derivanti dal presente regolamento” e che egli “è tenuto al segreto o alla riservatezza in merito all’adempimento dei propri compiti, in conformità del diritto dell’Unione o degli Stati membri.(punti 4 e 5)
Nel successivo art. 39 vengono elencati, in maniera non esaustiva, i compiti del responsabile della protezione dei dati, che nell’esercizio delle sue funzioni deve tenere in debita considerazione rischi inerenti al trattamento, tenuto conto della natura, dell’ambito di applicazione, del contesto e delle finalità:
a) informare e fornire consulenza al titolare del trattamento o al responsabile del trattamento nonché ai dipendenti che eseguono il trattamento in merito agli obblighi derivanti dal presente regolamento nonché da altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati;
b) sorvegliare l’osservanza del presente regolamento, di altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati nonché delle politiche del titolare del trattamento o del responsabile del trattamento in materia di protezione dei dati personali, compresi l’attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo;
c) fornire, se richiesto, un parere in merito alla valutazione d’impatto sulla protezione dei dati e sorvegliarne lo svolgimento ai sensi dell’articolo 35;
d) cooperare con l’autorità di controllo;
e) e) fungere da punto di contatto per l’autorità di controllo per questioni connesse al trattamento, tra cui la consultazione preventiva di cui all’articolo 36, ed effettuare, se del caso, consultazioni relativamente a qualunque altra questione.