Conseil pour la nomination du DPO (Data Protection Officer)
Qui est le Délégué à la Protection des Données ?
Le DPO (Data Protection Officer) est le délégué à la protection des données d’une organisation, publique ou privée. La définition de ce rôle, élément fondateur du principe de responsabilité, est due au règlement de l’UE, qui contient des indications et des détails spécifiques concernant les exigences et les devoirs de cette figure.
Le responsable de la protection des données personnelles est une figure identifiée par le règlement européen n. 2016/679, règlement général sur la protection des données (connu sous le nom de GDPR, de l’anglais « General Data Protection Regulation »), qui constitue la règle fondamentale en matière de vie privée et de protection des données personnelles pour tous les États membres de l’Union européenne.
Que fait le DPO ?
Le gestionnaire travaille en tant que consultant, remplissant une fonction importante de soutien et de stimulation de l’organisation. Plus précisément, sa tâche est d’assister le responsable du traitement dans l’exécution des activités et des processus impliquant le traitement de données à caractère personnel, et doit donc veiller à ce que les règles en matière de confidentialité et de protection des données soient sauvegardées et respectées.
Quand la nomination du DPO est-elle obligatoire ?
Dans certains cas, le DPO est un chiffre qui doit être identifié, mais d’une grande importance pour les entreprises et les organismes publics qui traitent de grandes quantités de données.
En particulier, un DPO doit être identifié dans les cas suivants, comme l’exige l’art. 37 du RGPD :
lorsque le traitement est effectué par des autorités publiques ou par un organisme public, à l’exception des autorités judiciaires lorsqu’elles exercent leurs fonctions judiciaires ;
si les activités et les principales fonctions professionnelles du responsable du traitement consistent en des traitements qui, par leur nature, leur portée et/ou leurs finalités, nécessitent un suivi régulier et systématique des personnes concernées à grande échelle, y compris tous les traitements effectués à des fins de marketing par de grandes entreprises, y compris en ligne, ou par tout autre moyen ;
si les activités principales du responsable du traitement consistent en le traitement, à grande échelle, de catégories particulières de données à caractère personnel visées à l’article 9 (telles que, par exemple, les activités de traitement de données syndicales ou biométriques, les établissements de crédit et les assurances des entreprises) ou des données relatives aux condamnations pénales et aux infractions visées à l’article 10.
Qui désigne le délégué à la protection des données ?
C’est le responsable du traitement qui désigne le responsable de la protection des données, en sélectionnant une personnalité professionnelle connaissant la législation sur les données personnelles et disposant des compétences nécessaires dans le domaine juridique, dans le domaine de la cybersécurité et de l’évaluation des risques, afin que il est en mesure de remplir son rôle tel qu’établi par la loi.
Le responsable désigné doit assurer la conformité de l’entreprise avec la loi en constante évolution garantissant le flux d’informations à cet égard vers le responsable du traitement. Une fois le DPO désigné, il est nécessaire de communiquer son nom à l’autorité de contrôle, le Garant de la Protection des Données Personnelles.
identifier un DPO (Délégué à la Protection des Données), c’est-à-dire un avocat, un ingénieur, ou en tout cas une personne connaissant la législation et les usages en matière de vie privée, choisi parmi les salariés ou même externe à l’entreprise, sur désignation de qui a le gouvernance et gestion (ou administrateur) d’entreprises, d’organismes publics ou d’administrations publiques. Comme l’Autorité garante l’a précisé, il n’y a aucune obligation de désigner des sujets en possession de certifications ou d’attestations, car la seule exigence nécessaire est celle de la connaissance de la discipline concernée.
informer et conseiller le responsable du traitement des données sur les obligations découlant du présent règlement ainsi que d’autres dispositions de l’Union ou des États membres relatives à la protection des données ; sera en mesure d’identifier les lignes directrices à suivre, conformément à la directive européenne en vigueur et au RGPD et d’indiquer les procédures nécessaires et la pratique utile à adopter (par exemple, en cas de violation de données).
vérifier la conformité des traitements effectués avec la Politique et superviser le respect obligatoire du règlement, des autres dispositions de l’Union ou des États membres, ainsi que de toutes les obligations légales établies et communiquées dans tous les cas, avec les règles particulières relatives à un secteur donné, ou du règlement intérieur relatif à la protection des données, ainsi que des politiques de titre