Data Protection Officer, i modelli per formalizzare l'incarico
L’articolo 37, par. 1, del GDPR prevede che il titolare e il responsabile del trattamento designino il responsabile della protezione dei dati (c.d. DPO). Il Garante per la protezione dei dati personali spiega che l'atto di designazione è parte costitutiva dell'adempimento. Questo vale sia nel caso in cui si designi un interno, sia ovviamente nel caso di DPO esterno.
Nel caso di DPO interno, occorre formalizzare un apposito atto di designazione a "Responsabile per la protezione dei dati", integrativo del contratto di lavoro individuale. Nel caso di ricorso a soggetti esterni all'ente, la designazione costituirà parte integrante dell'apposito contratto di servizi redatto in base a quanto previsto dall'articolo 37 del GDPR.
Indipendentemente dalla natura e dalla forma dell'atto utilizzato, ha spiegato il Garante, è necessario che nello stesso sia individuato in maniera inequivocabile il soggetto che opererà come DPO, riportandone espressamente le generalità, i compiti e le funzioni che questi sarà chiamato a svolgere in ausilio al titolare/responsabile del trattamento, in conformità a quanto previsto dal GDPR.
Sulla scia di queste indicazioni, si propongono due schemi contrattuali, uno per il DPO interno e uno per il DPO esterno, con alcune clausole ad hoc, riferite alla disciplina del conflitto di interesse e degli obblighi assunti dalle parti (analiticamente descritte)
Naturalmente gli schemi rappresentano una mera base, soggetta a integrazioni in relazione alle diverse opzioni che di volta in volta saranno oggetto di reciproche intese.
È necessario sottolineare che il GDPR pretende una formalizzazione dei rapporti, che non può essere esclusa nel caso di DPO interno.
La mancata corretta documentazione della designazione del DPO può comportare l’esercizio da parte dell’autorità di controllo dei suoi poteri ai sensi dell’articolo 58 Gdpr e l’imposizione di una sanzione amministrativa pecuniaria ai sensi dell’articolo 83 Gdpr.
