Conseil pour la nomination du DPO (Data Protection Officer)

Qui est le Délégué à la Protection des Données ?

Le DPO (Data Protection Officer) est le délégué à la protection des données d’une organisation, publique ou privée. La définition de ce rôle, élément fondateur du principe de responsabilité, est due au règlement de l’UE, qui contient des indications et des détails spécifiques concernant les exigences et les devoirs de cette figure.

Le responsable de la protection des données personnelles est une figure identifiée par le règlement européen n. 2016/679, règlement général sur la protection des données (connu sous le nom de GDPR, de l’anglais « General Data Protection Regulation »), qui constitue la règle fondamentale en matière de vie privée et de protection des données personnelles pour tous les États membres de l’Union européenne.

Que fait le DPO ?
Le gestionnaire travaille en tant que consultant, remplissant une fonction importante de soutien et de stimulation de l’organisation. Plus précisément, sa tâche est d’assister le responsable du traitement dans l’exécution des activités et des processus impliquant le traitement de données à caractère personnel, et doit donc veiller à ce que les règles en matière de confidentialité et de protection des données soient sauvegardées et respectées.

Quand la nomination du DPO est-elle obligatoire ?
Dans certains cas, le DPO est un chiffre qui doit être identifié, mais d’une grande importance pour les entreprises et les organismes publics qui traitent de grandes quantités de données.

En particulier, un DPO doit être identifié dans les cas suivants, comme l’exige l’art. 37 du RGPD :

lorsque le traitement est effectué par des autorités publiques ou par un organisme public, à l’exception des autorités judiciaires lorsqu’elles exercent leurs fonctions judiciaires ;
si les activités et les principales fonctions professionnelles du responsable du traitement consistent en des traitements qui, par leur nature, leur portée et/ou leurs finalités, nécessitent un suivi régulier et systématique des personnes concernées à grande échelle, y compris tous les traitements effectués à des fins de marketing par de grandes entreprises, y compris en ligne, ou par tout autre moyen ;
si les activités principales du responsable du traitement consistent en le traitement, à grande échelle, de catégories particulières de données à caractère personnel visées à l’article 9 (telles que, par exemple, les activités de traitement de données syndicales ou biométriques, les établissements de crédit et les assurances des entreprises) ou des données relatives aux condamnations pénales et aux infractions visées à l’article 10.
Qui désigne le délégué à la protection des données ?
C’est le responsable du traitement qui désigne le responsable de la protection des données, en sélectionnant une personnalité professionnelle connaissant la législation sur les données personnelles et disposant des compétences nécessaires dans le domaine juridique, dans le domaine de la cybersécurité et de l’évaluation des risques, afin que il est en mesure de remplir son rôle tel qu’établi par la loi.

Le responsable désigné doit assurer la conformité de l’entreprise avec la loi en constante évolution garantissant le flux d’informations à cet égard vers le responsable du traitement. Une fois le DPO désigné, il est nécessaire de communiquer son nom à l’autorité de contrôle, le Garant de la Protection des Données Personnelles.