Il GDPR, cioè il regolamento europeo sulla protezione dei dati, porterà molte novità per quanto riguarda l'ambito della privacy ed è bene conoscerle il più approfonditamente possibile. Tra le numerose novità che introduce, occupa sicuramente un posto molto importante il DPO. Vediamo di cosa si tratta.
Chi è il DPO?
Il DPO (acronimo di Data Protection Officer) è una figura professionale, esterna o interna, che ha il compito di gestire il trattamento dei dati personali all'interno dell'azienda (che può essere sia pubblica che privata) con lo scopo di garantire il rispetto delle normative riguardanti la privacy nazionali ed europee. Data la trasversalità della sua professione, è necessario che abbia competenze riguardanti campi
quali: l'informatica, l'analisi dei processi, risk management e, ultima ma non meno importante, conoscenze legali. Tale figura è stata introdotta dal GDPR a Maggio del 2016, ma diverrà vincolante il giorno nel quale tale regolamento entrerà definitivamente in vigore, il 25 maggio 2018. Pur essendo una figura già presente da anni in alcune nazioni europee (Inghilterra e Germania, per esempio) e non solo, è una novità per quanto riguarda l'Italia. Vediamo dunque quali sono i suoi compiti e con quali realtà aziendali deve rapportarsi.
quali: l'informatica, l'analisi dei processi, risk management e, ultima ma non meno importante, conoscenze legali. Tale figura è stata introdotta dal GDPR a Maggio del 2016, ma diverrà vincolante il giorno nel quale tale regolamento entrerà definitivamente in vigore, il 25 maggio 2018. Pur essendo una figura già presente da anni in alcune nazioni europee (Inghilterra e Germania, per esempio) e non solo, è una novità per quanto riguarda l'Italia. Vediamo dunque quali sono i suoi compiti e con quali realtà aziendali deve rapportarsi.
Quali sono i compiti del DPO?
Prima di elencare i compiti del DPO, è necessario specificare che questa figura professionale deve essere indipendente e autonoma rispetto all'azienda con la quale lavora, dunque, pur non essendoci nessuna legge che vieti la nomina di un DPO interno all'azienda (che sia dunque un dipendente vero e proprio), si tende a preferire nella maggior parte dei casi la nomina di una figura esterna. In questo modo, infatti, viene garantita la neutralità del professionista. Inoltre, nello stesso GDPR viene sottolineato come questa figura debba avere una forte autonomia per quanto riguarda le decisioni da prendere. Inoltre, è previsto l'obbligo per il DPO di tenere un registro delle attività del trattamento dei dati personali.
Vediamo adesso i suoi compiti:
Vediamo adesso i suoi compiti:
- Informare e fornire consulenza al Titolare del trattamento o al Responsabile del trattamento, ma anche ai dipendenti riguardo gli obblighi che derivano dal regolamento, da ulteriori disposizioni dell'Unione Europea o degli stati membri relative alla protezione dei dati.
- Monitorare l’osservanza del regolamento e di tutte le disposizioni europee e nazionali sulla protezione dati, comprese l'attribuzione delle responsabilità, la sensibiliazzione e formazione del personale che partecipa ai trattamenti e alle attività di controllo connesse.
- Controllare che gli accessi non autorizzati vengano notificati all'autorità Garante. Quest'ultima infatti, attraverso una serie di normative, ha stabilito l'obbligo per le aziende di comunicare la perdita, la distruzione oppure la diffusione di dati personali trattati in seguito ad attacchi informatici, accessi non autorizzati, incidenti oppure calamità, come per esempio un incendio.
- Fornire pareri e sorvegliare sulla redazione della PIA (Protection Impact Assessment). Quest'ultimo è un documento comprendente i possibili rischi derivanti dal trattamento dei dati personali e i metodi da attuare per prevenirli e risolverli.
- Fare da punto di contatto con l'Autorità Garante e collaborare con essa per la protezione dei dati personali.
Come precedentemente accennato, la nomina di un Data Protection Officer non è obbligatoria per tutte le aziende. Vediamo dunque in quali casi la nomina è invece obbligatoria per legge:
- Se il trattamento è gestito da un'ente pubblico (autorità o organismo), con l'eccezione delle autorità giudiziarie quando esercitano le loro funzioni giurisdizionali.
- Se il titolare oppure il responsabile svolge delle attività che consistono in trattamenti che richiedono il monitoraggio regolare e sistematico degli interessati su larga scala.
- Se l'azienda tratta su larga scala dati particolari/sensibili, di cui all'articolo 9 del GDPR, ad esempio quelli riguardanti la situazione economica o patrimoniale e dati riguardanti la situazione giuridica, di cui all'articolo 10 del GDPR, come reati e condanne. L'articolo 9 dettaglia, al comma 1, le categorie particolari di dati personali e vi inserisce: quelli che rivelino l'origine etnica, le opinioni politiche, le convinzioni religiose o filosofiche, l'appartenenza sindacale nonché tutti i dati genetici/biometrici/medici o riguardanti la vita e l'orientamento sessuale della persona.
Tuttavia, si deve puntualizzare che il DPO può essere nominato anche in altri casi, in base alla legge italiana oppure al diritto comunitario. Non solo, ma l'azienda può scegliere di sua iniziativa di nominare un Data Protection Officer, secondo un'ottica precauzionale.
Nessun commento:
Posta un commento