Aziende interessate
Compiti. Il responsabile della protezione dei dati sarà una persona incaricata di informare e consigliare l'azienda sui suoi obblighi in materia di protezione dei dati, nonché di controllare l'osservanza della normativa e di fungere da interlocutore con l'Agenzia spagnola per la protezione dei dati (AEPD).
Su larga scala. Tuttavia, non tutte le aziende sono tenute a nominare un delegato di questo tipo, ma solo quelle che effettuano un trattamento su larga scala di dati particolarmente protetti, sia che lo facciano in qualità di responsabili del trattamento sia che lo facciano in qualità di incaricati del trattamento (ossia, se ricevono i dati per fornire un servizio al responsabile del trattamento). Ad esempio, società finanziarie, centri sanitari, compagnie di assicurazione, istituti scolastici, ecc.
Designazione del DPO
Esterno o interno. Se la vostra azienda è obbligata ad avere un DPO, potete nominare una persona esterna (ad esempio un consulente). Un'altra opzione è quella di nominare un dipendente interno. In questo caso, si prega di notare che:
- Il vostro collaboratore deve avere conoscenze tecniche (non necessariamente un avvocato) ed esperienza in materia di protezione dei dati.
- La vostra azienda deve garantire l'indipendenza e l'imparzialità del DPO. Attenzione! Ciò significa che il DPO deve agire liberamente (non può accettare istruzioni).
- Deve inoltre fornirgli le risorse necessarie per svolgere i suoi compiti (ad esempio, formazione sulla protezione dei dati).
In pratica. In pratica, il DPO sarà un dipendente in una posizione di fiducia all'interno della sua azienda (a causa del suo accesso al management e dell'esercizio autonomo delle sue funzioni).
Implicazioni occupazionali
Protetto. Se il DPO è un dipendente della vostra azienda, pur non avendo le garanzie dei rappresentanti dei lavoratori, non potrà essere sanzionato o licenziato per aver svolto il suo lavoro di delegato, a meno che non agisca con grave negligenza o dolo.
Per iscritto. Inoltre, la designazione del dipendente come RPD deve risultare per iscritto:
- Poiché siete tenuti a mantenere la segretezza nell'esercizio delle vostre mansioni, disciplinate il vostro dovere di riservatezza nel documento.
- Se il carico di lavoro come RPD gli impedisce di continuare a svolgere normalmente le sue mansioni precedenti, regolamentare una ridistribuzione dei suoi compiti. Ad esempio, l'interessato manterrà la sua posizione precedente per il 75% della giornata lavorativa, mentre il restante 25% lavorerà come RPD.
- Questo documento servirà anche come prova dell'accettazione della nomina da parte dell'interessato.
La vostra azienda deve avere un DPO se tratta dati sensibili su larga scala. In tal caso, potete assumere un DPO esterno o nominare un dipendente. In quest'ultimo caso, la designazione deve essere messa per iscritto.