Il Responsabile della protezione dei dati (DPO) chi è e in quali casi è obbligatorio nominarlo
Il Responsabile della Protezione dei dati o DPO (Data Protection Officer) è una figura privacy che viene introdotta con il GDPR. Il DPO essenzialmente è colui che fornisce al Titolare o al Responsabile del Trattamento dei dati consulenza sul rispetto delle norme in materia di protezione dei dati.
Il DPO, sia che esso sia soggetto interno o esterno all’impresa, deve essere dotato di adeguata e comprovata conoscenza della normativa, deve essere indipendente, (ovverosia non deve ricevere istruzioni dal vertici aziendali) e non deve svolgere altri compiti e funzioni che possano generare e dare adito ad un conflitto di interesse.
Vista la peculiarità dei delle sue mansioni, il DPO deve avere competenze multidisciplinare e trasversali che spaziano da conoscenze giuridiche , informatiche, di risk management ,di analisi dei processi, ed ancora di project management e di team management.
L’attività del DPO è continuativa nel tempo tuttavia, nell’ottica del rispetto del principio di accountability, provvede attraverso la sua azione ad elaborare dei report e documenti periodici al fine di dare prova dello stato della Data protection all’interno dell’organizzazione in cui opera.
La attività principali del Data Protection Officer sono:
– Vigilare sull’osservanza al GDPR e alle norme nazionali in materia di data protection
– Informare e fornire al titolare del trattamento dei dati personali, al responsabile o agli incaricati consulenza in merito agli obblighi derivanti dal GDPR
– Fornire quando richiesto un parere sulle valutazioni di impatto sulla protezione dei dati (c.d DPIA)
– Cooperare e fungere da punto di contatto con il Garante Privacy
– Analizzato quali siano i compiti del Data Protection Officer occorre chiarirne quando questo debba essere nominato.
Ebbene il GDPR disciplina che il DPO può essere designato su base volontaria o su base obbligatoria.
La sua designazione risulta obbligatoria qualora sussista uno dei seguenti requisiti:
– Il trattamento viene svolto da una “autorità pubblica” o da un “organismo pubblico”
– Quando il trattamento di dati consiste in un monitoraggio regolare e sistematico di interessati su “larga scala”
– Quando l’attività principale consiste nel trattamento su larga scala di dati particolari (Sensibili) o di dati relativi a condanne penali e reati
E importante fare chiarezza su cosa debba intendersi sul per “Larga scala” in questo caso ci viene in aiuto il
considerando 91 del GDPR e le indicazioni suggerite dal Gruppo di Lavoro WP29 secondo cui per determinare il concetto di la larga scala occorre tener conto dei seguenti fattori:
– del numero dei soggetti interessati al trattamento, in termini assoluti ovvero espressi in percentuale della popolazione di riferimento
– il volume dei dati e o le diverse tipologie dei dati trattati
– la durata del trattamento
– la portata geografica.
[su_button url=”https://www.logicaservizi.eu/gdpr-consulenza-privacy” background=”#115172″ size=”12″ center=”yes” radius=”0″ icon=”icon: edit ” text_shadow=”0px 0px 0px #d1cccc”]Richiedi subito un preventivo online![/su_button]
Elenco non esaustivo delle tipologie di imprese private che sono soggette all’obbligo di designazione :
Concessionari di servizi pubblici;istituti di credito; imprese assicurative; sistemi di informazione creditizia; società finanziarie; società di revisione contabile; società di recupero crediti;società di informazioni commerciali; istituti di vigilanza; partiti e movimenti politici; sindacati; caf e patronati; società operanti nel settore delle utilities (telecomunicazioni, distribuzione di energia elettrica o gas, ecc.); imprese di somministrazione di lavoro e ricerca del personale; società operanti nel settore della cura della salute, della prevenzione/diagnostica sanitaria quali ospedali privati, terme, laboratori di analisi mediche e centri di riabilitazione; società di call center; società che forniscono servizi informatici; società che erogano servizi televisivi a pagamento.
L’Autorità Garante, per supportate le organizzazioni private ha provveduto a fornire un elenco non esaustivo delle attività soggette all’obbligo di designazione, sebbene non siano comprese tutte le attività l’elenco è utile per definire un parametro.
[su_button url=”https://www.logicaservizi.eu/gdpr-consulenza-privacy” background=”#115172″ size=”12″ center=”yes” radius=”0″ icon=”icon: edit ” text_shadow=”0px 0px 0px #d1cccc”]Richiedi subito un preventivo online![/su_button]
Sede Operativa – Servizi Tecnici – Via Vizzini 65, 00132 Roma
Tel: 06 45431710
Indirizzo email per assistenza e informazioni: info@logicaservizi.eu
