DPO, l’acronimo di Data Protrection Officer è il Responsabile della Protezione dei Dati secondo quanto previsto dall’articolo 37 del nuovo Regolamento GDPR 2018 in vigore dal 25 Maggio 2018 in tutti gli stati membri dell’UE.
Chi è?
Il DPO è fondamentalmente una persona fisica, una sorta di supervisore indipendente che dovrà supportare il titolare ed il responsabile del trattamento dei dati nel garantire che l’organizzazione sia conforme al GDPR.
Il DPO è:
- una sorta di vigilante dei processi interni alla struttura;
- un consulente del titolare e responsabile del trattamento dei dati;
- una sorta di “ponte di contatto” con l’Autorità Garante nazionale alla quale mostrerà il lavoro svolto in termini di documentazione delle misure di sicurezza adeguate ai rischi inerenti ai trattamenti dei dati personali dell’organizzazione.
Il Responsabile della protezione dei dati, nominato dal titolare o dal responsabile del trattamento dei dati, dovrà:
- avere un’adeguata conoscenza della normativa e delle prassi di gestione dei dati personali;
- adempiere alle sue funzioni in piena indipendenza ed in assenza di conflitti di interesse;
- operare alle dipendenze del titolare o del responsabile del trattamento dei dati oppure sulla base di un contratto di servizio.
Il titolare o il responsabile del trattamento dei dati dovranno mettere a disposizione del DPO tutte le risorse umane e finanziarie necessarie per adempiere i suoi compiti.
Le mansioni del DPO
Il DPO dovrà principalmente:
- informare e consigliare il titolare o il responsabile del trattamento, nonché i dipendenti, in merito agli obblighi derivanti dal Regolamento europeo e da altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati;
- verificare l’attuazione e l’applicazione del Regolamento, delle altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati nonché delle politiche del titolare o del responsabile del trattamento in materia di protezione dei dati personali, inclusi l’attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale coinvolto nelle operazioni di trattamento, e gli audit relativi;
- fornire, se richiesto, pareri in merito alla valutazione d’impatto sulla protezione dei dati e sorvegliare i relativi adempimenti;
- fungere da punto di contatto per gli interessati in merito a qualunque problematica connessa al trattamento dei loro dati o all’esercizio dei loro diritti;
- fungere da punto di contatto per il Garante per la protezione dei dati personali oppure, eventualmente, consultare il Garante di propria iniziativa.
Il DPO effettua quindi sia un’attività interna alla struttura che un’attività esterna, in quanto funge da punto di contatto fra la struttura e l’Autorità Garante.
Quando deve esserci il DPO
La nomina del DPO, ai sensi dell’art. 37, primo paragrafo, del GDPR, è obbligatoria in 3 casi:
- se il trattamento di dati personali è effettuato da un’autorità pubblica o da un organismo pubblico;
- nel caso in cui le attività principali dell’organizzazione consistono in trattamenti che, richiedono il “monitoraggio regolare e sistematico” degli interessati “su larga scala”;
- quando le attività principali dell’organizzazione consistono nel trattamento “su larga scala” di dati “sensibili“ o “giudiziari”.
DPO obbligatorio
Il GDPR prevede l’obbligo di nomina del DPO per:
- istituti di credito;
- società di informazioni commerciali;
- imprese assicurative;
- società di revisione contabile;
- sistemi di informazione creditizia;
- società finanziarie;
- istituti di vigilanza;
- società di call center;
- partiti e movimenti politici;
- società che forniscono servizi informatici;
- sindacati;
- società di recupero crediti;
- caf e patronati;
- società operanti nel settore delle “utilities” (telecomunicazioni, distribuzione di energia elettrica o gas);
- imprese di somministrazione di lavoro e ricerca del personale;
- società operanti nel settore della cura della salute, della prevenzione e/o diagnostica sanitaria quali ospedali privati, terme, laboratori di analisi mediche e centri di riabilitazione;
- enti che erogano servizi televisivi a pagamento.
DPO facoltativo
La nomina del Data Protrection Officer invece non è ritenuta obbligatoria per:
- liberi professionisti operanti in forma individuale;
- agenti, rappresentanti e mediatori operanti non su larga scala;
- imprese individuali o familiari;
- piccole e medie imprese, con riferimento ai trattamenti dei dati personali connessi alla gestione corrente dei rapporti con fornitori e dipendenti.
Non farti trovare impreparato sul GDPR…contattaci per saperne di più!
