In relazione al mio ruolo di Data Protection Officer – Responsabile della Protezione dei Dati Personali per alcune selezionate organizzazioni, dai riscontri avuti nel passato abbiamo rilevato come occorra chiarire inequivocabilmente quali sono i compiti del DPO – RPD.
Come saprete, il Regolamento UE 679/2016, all’art. 38 c4 prescrive: “gli interessati possono contattare il responsabile della protezione dei dati per tutte le questioni relative al trattamento dei loro dati personali e all’esercizio dei loro diritti derivanti dal presente regolamento”.
Ritengo che uno dei compiti essenziali del DPO sia quello di promotore della protezione dei dati personali, oltre che facilitatore dei rapporti tra Authority, organizzazioni incaricanti e loro soggetti interessati dal trattamento.
Consapevole dei questo importante ruolo, riceverò e volentieri darò prontamente seguito alle legittime istanze degli interessati, facendo però presente che il DPO non è un dipendente aziendale al quale rivolgere qualsiasi richiesta un soggetto possa necessitare.
Le organizzazioni presso le quali svolgo il ruolo di Responsabile della Protezione dei Dati Personali dispongono – TUTTE – di una apposita funzione privacy, dotata di specifico indirizzo e-mail al quale rivolgersi ([email protected]). Questo perché il RPD, specialmente nel caso di un professionista esterno (come nel presente caso), non è un dipendente aziendale – specificamente incaricato del trattamento di dati aziendali.
Semplicemente, in genere non ho accesso ai trattamenti delle aziende presso le quali svolgo il ruolo di DPO.
Comprenderete quindi che chiedere al DPO di essere rimossi dalla newsletter aziendale, è una richiesta che esso non può soddisfare, e che deve essere rivolta alla funzione aziendale deputata (tra le altre cose, in calce ad ogni messaggio della newsletter è presente il link per disiscriversi in autonomia).
Ben diverso è il caso nel quale un interessato ha inviato delle richieste inerenti il trattamento dei suoi dati personali o delle istanze di esercizio dei diritti concessi dal Regolamento, ed esse non hanno avuto riscontro, oppure il riscontro non è ritenuto adeguato.
Quindi, sono a disposizione di chiunque – soggetto interessato dei trattamenti di dati personali svolti da aziende presso le quali svolgo il mio ruolo di Data Protection Officer – abbia necessità di approfondire specifici temi o essere supportato nell’esercitare i propri diritti. Mi aspetto però che abbia almeno letto l’informativa privacy sul sito aziendale, nella quale è chiaramente specificato quali procedure effettuare per le necessità quotidiane.
A proposito di informative, vi segnalo che è stata predisposta una apposita informativa del trattamento dei dati personali, a favore dei soggetti interessati che si rivolgono a me in qualità di DPO – RPD delle aziende presso le quali svolgo il ruolo di Responsabile della Protezione dei Dati Personali, e che vi chiediamo di leggere prima di interagire.
I miei riferimenti per inviare le vostre richieste sono alla pagina dei contatti; allo stesso modo, ricevo le e-mail inviate alla casella e-mail speciale [email protected].
ENGLISH VERSION
Data Subject Requests
In relation to my role as a Data Protection Officer in selected organizations, there are some clarifications that need to be made.
As you may know, Article 38(4) of the GDPR states: “Data subjects may contact the data protection officer with regard to all issues related to the processing of their personal data and the exercise of their rights under this Regulation.”
I believe that the essential task of the DPO is to be a promoter of personal data protection and a facilitator of relationships between authorities, organizations, and data subjects.
Being aware of my role, I will receive and gladly follow up on the legitimate requests of data subjects. However, it should be noted that the DPO is not an employee to whom any request can be directed.
The organizations for which I serve as Data Protection Office all have a dedicated privacy function with a specific email address to contact ([email protected]).
This is because the DPO, especially in the case of an external professional (as in this case), is not an employee specifically responsible for processing company data. Simply put, I do not have access to the processing activities.
Therefore, you will understand that asking the DPO to be removed from the company newsletter is a request that cannot be fulfilled by the DPO and should be directed to the appropriate company function (among other things, the newsletter includes a link to unsubscribe independently at the bottom of each message).
A different scenario arises when a data subject has submitted requests regarding the processing of their personal data or the exercise of rights granted by the Regulation, and these requests have not received a response.
So, I am available to anyone – a data subject of the personal data processing carried out by the companies for which I serve as a Data Protection Officer – who needs to delve into specific topics or seek support in exercising their rights. However, I do expect them to have at least read the privacy policy on the website, which clearly outlines the procedures to follow for any need.
My references for sending your inquiries can be found on the contact page.