Qual è il ruolo del DPO nell’esercizio dei diritti? Il DPO può mettersi in contatto con le persone interessate?
Il ruolo del DPO è quello di monitorare il rispetto del GDPR e di garantire che siano garantiti i diritti e le libertà fondamentali degli interessati i cui dati sono raccolti all’interno dell’organizzazione. Una libertà fondamentale è, ad esempio, il fatto di “avere il controllo sui dati personali” e di poter “decidere se prestare o meno il consenso per ottenere un servizio”. Il DPO ha quindi un ruolo chiave su questo tema, perché come indicato nell’articolo 38 del GDPR, “Gli interessati possono rivolgersi al DPO per tutte le questioni relative al trattamento dei loro dati personali e all’esercizio dei loro diritti previsti dal GDPR”.
È per questo motivo che il DPO deve essere imparziale. Il GDPR specifica che nessun conflitto di interessi deve essere osservato nell’esercizio delle sue funzioni. Pertanto, non è consentito combinare le funzioni di DPO con una funzione di direttore di funzione in una società o con una funzione di funzionario locale eletto.
Per garantire la conformità, il DPO fornisce linee guida sui processi e sui buoni riflessi da adottare. Nel contesto del nostro argomento, possiamo riassumerli come segue:
– La definizione e l’attuazione di una procedura per la gestione dei diritti degli interessati, che comprende la gestione del flusso di informazioni in ingresso e all’interno dell’organizzazione, il monitoraggio dei mezzi di contatto aziendali, l’aggiornamento dell’implementazione dei mezzi di verifica interna, la gestione della risposta, tracciabilità dell’esercizio dei diritti, istituzione di un registro e analisi delle domande pervenute.
– La fornitura di risposte via email o fax
– La costituzione di un gruppo interfunzionale di persone che hanno ricevuto una formazione e che rappresentano il punto di ingresso quando si riceve una richiesta.
– Formazione periodica per tutto il personale, come previsto dagli artt. 29 e 32 del GDPR.
– Controllo delle procedure poste in essere in materia dai subappaltatori utilizzati dall’azienda eventualmente coinvolti nel processo.
– Le istruzioni impartite ai subappaltatori per informare l’organizzazione in caso di ricezione diretta di una richiesta per suo conto.
– Infine, per raggiungere un livello di preparazione soddisfacente, il gruppo designato come definito nella procedura deve effettuare prove sull’applicazione della procedura e valutarne i risultati.
Il DPO, durante le verifiche periodiche, verifica che le risposte ai richiedenti siano effettivamente fornite entro 30 giorni (il termine può essere prorogato di ulteriori 2 mesi in caso di oggettive difficoltà). Può partecipare all’elaborazione della risposta come lezione per il gruppo o per gestire casi complessi.
In generale, il GDPR implementato in un’azienda aiuta a controllare la relazione con il cliente, perché in questo contesto i diritti GDPR sono gestiti da professionisti che dimostrano una reale attenzione. In un’organizzazione matura, le esercitazioni sui diritti dei clienti sono accolte con entusiasmo perché possono portare alla necessità di trovare soluzioni a problemi aggravati e fornire aree di miglioramento e vantaggi competitivi orientati alle reali esigenze dei clienti.
Dovresti sapere che sempre più spesso le richieste di esercizio dei diritti che non sono state gestite correttamente dall’organizzazione possono dar luogo a un reclamo al Garante Privacy che una persona può presentare direttamente su Internet Dovresti anche sapere che il Garante Privacy riceve migliaia di reclami ogni anno e che può rivolgersi al responsabile del trattamento dei dati per verificarne la conformità alla legge e richiedere azioni correttive se necessario. Al termine, il denunciante viene informato delle azioni svolte dal Garante Privacy. Questo approccio può talvolta dar luogo all’applicazione di sanzioni amministrative che possono arrivare fino a 20 milioni di euro o al 4% del fatturato per violazioni relative ai diritti delle persone.
In conclusione, il DPO è il miglior alleato dell’azienda che può presidiare il processo di gestione dei diritti GDPR degli interessati, perché ha competenze specifiche in materia. È pertanto necessario un piano di vigilanza periodica basato sul controllo del registro di esercizio dei diritti e delle risposte fornite.
Fonte: Linkedin – Fabienne Flesia