Nell’ambito di una gara per la scelta del dpo si è posto un problema. Tra i vari ha partecipato anche una società che ha dichiarato di possedere tutti i requisiti previsti dal bando (tra cui corsi di specializzazione su sicurezza dei dati e protezione dei dati) imputandoli a diversi dipendenti della stessa, ognuno avente una specifica competenza (chi era avvocato, chi informatico e chi Ingegnere). Deve comunque essere indicata una persona fisica come dpo e non la società? Giusto? Chi individua, tra i dipendenti della società, chi sia la persona da designare come dpo? E se un dipendente recide il rapporto di lavoro e va via dalla società? Non è che vada necessariamente individuato come dpo il legale rappresentante che deve avere tutti i requisiti previsti dal banco?
riferimento id:45237Il tema è stato affrontato e risolto (in modo convincente che condivido) sia dal garante nazionale che dal gruppo europeo art. 29 nel senso che ti sintetizzo:
1) l'incarico di DPO può essere dato a società
2) ma il DPO è sempre personal fisica che deve essere univocamente individuato
3) tuttavia i REQUISITI possono essere posseduti anche SEPARATAMENTE dai vari dipendenti (la cui somma determina il requisito del ruolo di DPO).
Nei casi in cui i requisiti siano ripartiti fra vari dipendenti, la cui somma determina il requisito complessivo di DPO sarà costituito un team (gruppo di lavoro), ferma restando l'unicità del punto di contatto.
Ovviamente in questi casi dovrete aver cura di prescrivere che ogni variazione societaria comporterà la rivalutazione dei requisiti e l'eventuale decadenza dall'appalto ove vi siano variazioni soggettive con perdita di requisiti
E’ possibile avere la nota del Garante e del Gruppo dei 29 così la richiamiamo nel verbale?
riferimento id:45237
E’ possibile avere la nota del Garante e del Gruppo dei 29 così la richiamiamo nel verbale?
[/quote]
GARANTE NAZIONALE: http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/7322110
Nella nota 4 in fondo si legge:
[color=red](4) Al riguardo, si ricorda che la funzione di RPD può essere esercitata anche in base a un contratto di servizi stipulato con una persona fisica o giuridica esterna al titolare/responsabile del trattamento. In tal caso, come indicato nelle citate Linee guida, è indispensabile che ciascun soggetto appartenente alla persona giuridica operante quale RPD soddisfi tutti i requisiti richiesti dal RGPD. Cfr. sul punto le indicazioni del Gruppo Art. 29 riportate nel paragrafo 2.5., pag. 12, e nella domanda n. 7, pag. 24, delle Linee guida.
[/color]
ART. 29: A pagina 16 di questo documento: http://194.242.234.211/documents/10160/0/WP+243+-+Linee-guida+sui+responsabili+della+protezione+dei+dati+%28RPD%29.pdf
[color=red]La funzione di RPD può essere esercitata anche in base a un contratto di servizi stipulato con
una persona fisica o giuridica esterna all’organismo o all’azienda titolare/responsabile del
trattamento. In tal caso, è indispensabile che ciascun soggetto appartenente alla persona
giuridica e operante quale RPD soddisfi tutti i requisiti applicabili come fissati nella Sezione 4
del RGPD; per esempio, è indispensabile che nessuno di tali soggetti versi in situazioni di
conflitto di interessi. Pari importanza riveste il fatto che ciascuno dei soggetti in questione
goda delle tutele previste dal RGPD: per esempio, non è ammissibile la risoluzione
ingiustificata del contratto di servizi in rapporto alle attività svolte in quanto RPD, né è
ammissibile l’ingiustificata rimozione di un singolo appartenente alla persona giuridica che
svolga funzioni di RPD. Al contempo, si potranno associare le competenze e le capacità
individuali affinché il contributo collettivo fornito da più soggetti consenta di rendere alla
clientela un servizio più efficiente.
Per favorire una corretta e trasparente organizzazione interna e prevenire conflitti di interesse
a carico dei componenti il team RPD, si raccomanda di procedere a una chiara ripartizione dei
compiti all’interno del team RPD e di prevedere che sia un solo soggetto a fungere da contatto
principale e “incaricato” per ciascun cliente. Sarà utile, in via generale, inserire specifiche
disposizioni in merito nel contratto di servizi.[/color]