A partire dal 25 maggio 2018, diventerà direttamente applicabile in Italia il Nuovo Regolamento Europeo Privacy che, tra le altre cose, introduce la figura del Data Protection Officer, ovvero il responsabile protezione dati (detto anche DPO). Per non farsi trovare impreparate, le aziende e le organizzazioni già da quest’anno si trovano nella situazione di orientarsi sulla nomina DPO: chi è il DPO? qual è il suo ruolo? Il Data Protection Officer è obbligatorio per le aziende? Ecco le linee guida per la nomina del Data Protection Officer in Italia.
1. Chi è il Data Protection Officer?
È un soggetto che, per competenza, conoscenze ed esperienza è incaricato di sorvegliare e promuovere il rispetto del regolamento europeo all’interno di un’azienda o di un’organizzazione. Il DPO avrà l’incarico di supportare il titolare in una serie di attività e decisioni relative alla privacy e al trattamento dei dati. I requisiti fondamentali del data protection officer sono:
- la conoscenza della normativa e delle best practices esistenti in materia di protezione dei dati;
- la conoscenza specialistica del settore in cui opera l’organizzazione;
- l’indipendenza e l’autorevolezza per svolgere i propri compiti.
2. Qual è il ruolo del DPO?
Il DPO ha il ruolo fondamentale di vigilare sul rispetto della normativa privacy all’interno dell’azienda. Una volta nominato, il reponsabile protezione dati dovrà:
- Fornire consulenza sugli obblighi che derivano dalla normativa privacy, coinvolgendo il titolare dell’azienda e tutti i soggetti incaricati nel trattamento dei dati
- Vigilare sul rispetto della norma privacy, ad esempio sulla corretta attribuzione delle responsabilità, sulla formazione e sulla sensibilizzazione del personale
- Fornire un parere in merito alla valutazione di impatto sulla protezione dei dati
- Cooperare con le autorità di controllo (Garante Privacy) e fungere da contatto per le questioni connesse al trattamento
- Fungere da interlocutore per tutti gli interessati (i soggetti a cui si riferiscono i dati) sia per questioni relative al trattamento dei loro dati personali che per l’esercizio dei propri diritti
3. Il Data Protection Officer è obbligatorio per la tua azienda?
Il regolamento sulla protezione dei dati GDPR, entrato in vigore il 25 maggio 2016, indica che il Data Protection Officer non è sempre obbligatorio in tutte le aziende, ma è previsto per i seguenti casi:
- Le aziende o organizzazioni le cui attività principali consistono in trattamenti di dati che, per loro natura, ambito di applicazione e finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala
- Le attività principali del titolare del trattamento o del responsabile del trattamento consistono nel trattamento, su larga scala, di categorie particolari di dati personali quali quelli di tipo sensibile, di tipo genetico, biometrico, o di dati relativi a condanne penali e a reati
- Le autorità pubbliche o gli organismi pubblici, eccettuate le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali
Per sapere se la tua azienda rientra in uno di questi casi e ha l’obbligo del Data Protection Officer contattaci a questo numero 039 6614048, oppure inviaci la tua richiesta a info@gruppores.it
4. Nomina del Data Protection Officer. DPO interno o DPO esterno?
Il Regolamento Europeo Privacy (scarica qui la versione in italiano) prevede la possibilità di designare un DPO:
- sia tra i propri dipendenti (DPO interno)
- sia ricorrendo ad un professionista esterno specializzato (DPO esterno)
In qualsiasi caso, è di fondamentale importanza che non sussistano dei conflitti di interessi tra il ruolo che il soggetto ricopre e i compiti che gli saranno attribuiti come DPO. Prima di formalizzare la nomina, è necessario verificare le qualità professionali, la conoscenza della normativa e delle prassi, nonché le effettive capacità di assolvere i compiti assegnati. Da parte sua, l’azienda o l’organizzazione deve fornire tutte le risorse umane e finanziarie necessarie affinché il DPO possa assolvere ai suoi compiti. Va, infine, detto che un’ulteriore opportunità è quella di avvalersi di una consulenza specialistica esterna a supporto del DPO interno, il quale potrebbe non sempre avere le conoscenze e competenze specialistiche per affrontare tutte le situazioni
5. Come possiamo aiutarti: la consulenza DPO di GruppoRES
Per supportare le aziende negli adempimenti privacy previsti dal Nuovo Regolamento Europeo, GruppoRES dispone di un team di consulenti nel settore della protezione dei dati e di professionisti certificati che possono ricoprire la figura di Responsabile della Protezione Dati (DPO esterno). In alternativa, GruppoRES offre un servizio di consulenza e di supporto per i DPO interni. Vuoi approfondire le questioni e i problemi inerenti al DPO? Vuoi nominare un DPO esterno? Contattaci allo 039 6614048 e potrai parlare direttamente con il nostro DPO certificato TÜV: Dott.ssa Silvia Calderini – “Privacy Officer & Consulente della Privacy” (Certificato TÜV CDP_208 – ISO/IEC 17024:2012)
6. Le altre novità del regolamento privacy
Per quanto riguarda le più importanti novità introdotte con il Nuovo Regolamento Privacy (GDPR) leggi il nostro articolo dedicato alle 5 novità che la tua azienda deve sapere sulla privacy.
