Il "DPO", acronimo di Data Protection Officer (in italiano anche "RPD" ovvero "Responsabile della Protezione dei Dati"), è una figura introdotta dal Regolamento generale sulla protezione dei dati 2016/679 GDPR, pubblicato sulla Gazzetta Ufficiale europea L. 119 il 4 maggio ’16.
Il DPO (figura storicamente già presente in alcune legislazioni europee con i termini di Chief Privacy Officer, Privacy Officer o Data Security Officer), è un professionista che riveste un ruolo aziendale (sia egli soggetto interno o esterno) con competenze giuridiche, informatiche, di risk management e di analisi dei processi.
La sua responsabilità principale è quella di osservare, valutare e organizzare la gestione e la protezione dei Trattamenti dei dati personali all’interno di un’azienda (sia essa pubblica che privata), affinché questi siano trattati nel rispetto delle normative Privacy europee e nazionali. (Leggi anche "GDPR: DPO Interno o esterno all'azienda?")
Chi può nominare il DPO?
Il Regolamento sulla Protezione dei Dati, entrato in vigore il 25 maggio 2016 è stato applicato a tutti gli Stati membri dell'Unione Europea dal 25 maggio 2018 e disciplina l’istituzione della figura del DPO nei casi in cui:
- il Trattamento dei dati è effettuato da un’Autorità pubblica o da un Organismo pubblico, eccettuate le Autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali; - le attività principali del Titolare del Trattamento Dati o del Responsabile del Trattamento Dati consistono in trattamenti che per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala; - le attività principali del Titolare del Trattamento Dati o del Responsabile del Trattamento Dati consistono nel trattamento, su larga scala, di categorie particolari di dati personali di cui all’articolo 9 (dati particolari o sensibili) o di dati relativi a condanne penali e a reati di cui all’articolo 10.
L’articolo 9 del Regolamento al comma 1 definisce quelle che sono le categorie particolari di dati personali (ex dati sensibili) ed in particolare i dati personali che “rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, nonché trattino dati genetici, dati biometrici intesi ad identificare in modo univoco una persona fisica, dati relativi alla salute, alla vita sessuale o all’orientamento sessuale della persona”.
Cosa deve fare il DPO?
L’art. 39 del Regolamento Europeo sulla Protezione dei Dati Personali elenca i principali compiti del DPO: a) Informare e fornire consulenza al Titolare o al Responsabile del Trattamento Dati nonché ai dipendenti che eseguono il trattamento in merito agli obblighi derivanti dal Regolamento Privacy UE 2016/679 (GDPR), nonché da altre disposizioni dell’Unione Europea o degli Stati membri relative alla protezione dei dati; b) Sorvegliare l’osservanza del Regolamento Privacy UE 2016/679 (GDPR), di altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati nonché delle politiche del Titolare del Trattamento Dati o del Responsabile del Trattamento Dati in materia di protezione dei dati personali, compresi l’attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo; c) Fornire, se richiesto, un parere in merito alla valutazione d’impatto sulla protezione dei dati e sorvegliarne lo svolgimento ai sensi dell’articolo 35; d) Cooperare con l’Autorità di Controllo; e) Fungere da punto di contatto per l’Autorità di Controllo per questioni connesse al trattamento, tra cui la consultazione preventiva di cui all’articolo 36, ed effettuare, se del caso, consultazioni relativamente a qualunque altra questione.
Inoltre, nell’eseguire i propri compiti, il Responsabile della Protezione dei Dati deve considerare debitamente i rischi inerenti al trattamento, tenuto conto della natura, dell’ambito di applicazione, del contesto e delle finalità del medesimo.
A chi si possono rivolgere le aziende per capire se necessitano del DPO?
Enterprise Solutions si occupa di fornire una prima consulenza gratuita a tutte le aziende e ai professionisti che navigano tra dubbi e incertezze o che vogliono chiarimenti in merito all'incarico di un DPO in outsourcing per la loro attività.
Attraverso la fusione delle competenze di esperti consulenti, specialisti in materia di Privacy e professionisti legali e informatici, possiamo offrire un servizio professionale a 360°.
Contattaci senza impegno a info@enterprise-solutions.net oppure chiamaci al Cel. 371 46 37 145 - 371 46 30 129