L’affidamento ha per oggetto, tutte le attività che rientrano nei compiti del DPO, quale Responsabile della protezione dei dati, così come previsto dall'art. 39 del GDPR, di seguito specificati:

a) informare e fornire consulenza ai titolari del trattamento, nonché ai dipendenti che eseguono il trattamento, in merito agli obblighi derivanti dal GDPR nonché da altre disposizioni dell'Unione o degli Stati membri relative alla protezione dei dati.

Fanno parte di questo compito, a titolo indicativo e non esaustivo, le seguenti attività:

• promuovere la cultura della protezione dei dati all’interno del Comune attraverso momenti di incontro e/o formazione utilizzando ogni strumento a disposizione;
• fornire indicazioni operative per il rispetto delle normative vigenti in materia di protezione dei dati personali;
• collaborare con i designati e con il gruppo di lavoro per la progettazione della formazione interna in materia di protezione dei dati personali;
• rispondere a specifici quesiti posti dal gruppo di lavoro e supportare, ove richiesto dal gruppo stesso, i responsabili del procedimento;
• partecipare alla giornata annuale della trasparenza organizzata dal Comune di Jesi, se richiesto;

b) sorvegliare l'osservanza del GDPR, di altre disposizioni dell'Unione o degli Stati membri relative alla protezione dei dati nonché delle politiche del Comune di Jesi in materia di protezione dei dati personali, compresi l'attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo.

In particolare fanno parte di questo compito, a titolo indicativo e non esaustivo, le seguenti attività:

• raccolta di informazioni per individuare i trattamenti di dati personali svolti dal Comune di Jesi o di futura attivazione, anche attraverso l’esame di documenti comunali, l’accesso diretto agli uffici ed il confronto con il responsabile informatico della sicurezza dei dati;
• analisi dell’attuale modello organizzativo comunale, valutazione della sua conformità con il GDPR e con le altre disposizioni comunitarie e nazionali vigenti, valutazione dei rischi e definizione delle politiche di sicurezza adeguate per garantire e poter dimostrare che i trattamenti sono effettuati conformemente al GDPR;
• attività di informazione, consulenza ed indirizzo;
• consulenza nella stesura/aggiornamento/implementazione della documentazione relativa al sistema privacy (a titolo esemplificativo e non esaustivo: registro dei trattamenti, informative, analisi dei rischi, regolamento comunale, ..);
• consulenza nella stesura di linee guida, misure minime di sicurezza, documenti, convenzioni e/o accordi con le società ed enti controllati o con terze parti per la regolamentazione all’utilizzo dei dati;
• analisi e verifica della conformità dei trattamenti effettuati, rispetto alla designazione dei responsabili del trattamento, delle persone autorizzate (“incaricati”) al trattamento e degli amministratori di sistema, con riferimento alle modalità di implementazione dei diritti degli interessati (con particolare attenzione all'informativa), alla adeguatezza delle policy di sicurezza adottate e concretamente attuate, alle modalità di pubblicazione di dati e documenti contenenti dati personali effettuata dal Comune di Jesi per le varie finalità previste dalla legge e alle procedure di gestione delle violazioni dei dati;
• garantire la propria partecipazione nei casi in cui il Titolare/Designati coinvolga il DPO in questioni attinenti la protezione dei dati, sin dalla fase di progettazione di dette attività;
• redigere una relazione annuale delle attività svolte da sottoporre al vertice dell'organizzazione del Comune di Jesi, nella persona del Segretario Generale, il quale svolge un ruolo di presidio sull'attuazione della normativa sul trattamento dei dati personali;

c) fornire un parere in merito alla valutazione d'impatto sulla protezione dei dati (DPIA – Data Protection Impact Assessment) e sorvegliarne lo svolgimento ai sensi dell'articolo 35 del GDPR. In particolare fanno parte di questo compito, a titolo indicativo e non esaustivo, le seguenti attività:

• supportare il titolare/designati del trattamento nella individuazione dei casi in cui sia necessario
  effettuare la DPIA;
• fornire indicazioni metodologiche per lo svolgimento delle DPIA ritenute necessarie e collaborare con il titolare/designati alla stesura delle DPIA;
• valutare le salvaguardie da applicare, comprese le misure tecniche ed organizzative, per attenuare i rischi per i diritti delle persone interessate;
• valutare la correttezza delle DPIA effettuate dal titolare/designati e se le conclusioni raggiunte siano conformi con i requisiti in materia di protezione dei dati;
• riesaminare periodicamente le DPIA effettuate e la eventuale necessità di effettuarne di ulteriori.

d) cooperare e fungere da punto di contatto per l'Autorità di controllo per questioni connesse al trattamento, tra cui la consultazione preventiva di cui all'articolo 36 del GDPR, ed effettuare, ove necessario, consultazioni relativamente ad altre problematiche nell’ambito della protezione dei dati personali; il DPO dovrà, inoltre, fungere da punto di contatto per gli interessati. A tal fine il DPO dovrà garantire la disponibilità per eventuali viaggi presso la sede di Roma del Garante della Privacy, qualora si dovessero rendere necessari.

e) cooperare con i DPO designati dai responsabili esterni del trattamento. Oltre che con l’Autorità di controllo, il DPO dovrà collaborare e coordinarsi con i DPO eventualmente designati dai responsabili esterni del trattamento che trattano dati per conto del Comune.