La figura del Data Protection Officer

Chi è il Data Protection Officer


Il Data Protection Officer è una figura professionale introdotta daL Regolamento Generale sulla Protezione dei Dati 2016/679 GDPR, pubblicato sulla Gazzetta Ufficiale Europea L. 119 il 14 maggio 2016, ovvero un professionista in grado di avere competenze informatiche, giuridiche, di risk management e di analisi dei processi.

La sua responsabilità principale è quella di osservare, valutare e organizzare la gestione del trattamento dei dati personali all'interno di un'azienda pubblica o privata con la finalità che i dati vengano trattati nel pieno rispetto della normativa privacy in vigore.

L'art. 39 del Regolamento Europeo elenca i principali compiti del Data Protection Officer che sono dare consulenza e informare il Titolare o il Responsabile del Trattamento e tutti coloro che effettuano il trattamento in merito agli obblighi derivanti dal Regolamento, sorvegliare che le disposizioni in merito alle attività di controllo vengano rispettate, fornire pareri sulla valutazione d'impatto sulla protezione dei dati sorvegliandone il corretto svolgimento (di cui l'art. 35), collaborare con le autorità di controllo e fungere da punto di contatto per questioni connesse al trattamento, tra cui la consultazione preventiva (di cui l'art. 36).
Dovranno obbligatoriamente dotarsi di un Responsabile della Protezione dei Dati personali tutte le pubbliche amministrazioni ed enti pubblici (eccetto le autorità giudiziarie), e tutti i soggetti (enti e imprese piccole, medio e grandi) che trattano su larga scala dati sensibili, relativi alla salute o alla vita sessuale, genetici, giudiziari e biometrici, oppure che svolgono attività in cui I trattamenti richiedono il monitoraggio regolare e sistematico degli interessati.

Le imprese, che non ricadono nell'obbligo di legge, potranno dotarsi ugualmente di un Data Protection Officer di supporto al titolare del trattamento per garantire le misure prescritte dal Regolamento Europeo.




Clicca sull'anteprima per guardare il video

Cos'è il GDPR


GDPR, ovvero General Data Protection Regulation è il nuovo Regolamento Europeo sulla protezione dei dati personali.
È importante ricordare che non decadono i Provvedimenti del Garante, gli accordi internazionali e le Decisioni della Commissione UE. Fra le novità introdotte dal GDPR (registro dei trattamenti, DPIA, misure adeguate, entità delle sanzioni, DPO, accountability) assumono particolare rilevanza la figura del DPO – Data Protection Officer e le Certificazioni.

il WP29


Il Gruppo WP29, istituito dall'art. 29 della direttiva 95/46, è un organismo consultivo e indipendente, composto da un rappresentante delle autorità di protezione dei dati personali designate da ciascuno Stato membro, dal GEPD (Garante europeo della protezione dei dati), nonché da un rappresentante della Commissione. Il presidente è eletto dal Gruppo al suo interno ed ha un mandato di due anni, rinnovabile una volta. Il WP29 adotta le sue decisioni a maggioranza semplice dei rappresentanti delle autorità di controllo.
Il WP29 incoraggia l’adozione del DPO anche quando non è obbligatorio, poiché lo individua come un elemento fondamentale nel processo di compliance, nonché un intermediario fondamentale per diversi interlocutori.
La figura del DPO era già prevista dalla normativa privacy adottata da alcuni stati membri.

Designazione del DPO


La designazione del DPO è obbligatoria per:

  • enti pubblici;
  • Titolari di trattamento le cui attività principali consistono in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala;
  • Titolari di trattamento le cui attività principali consistono nel trattamento, su larga scala, di categorie particolari di dati personali (dati sensibili e dati relativi a condanne penali).
Le “attività principali” vanno intese in senso lato: per un ospedale è la sanità, che non può essere erogata senza un massiccio trattamento dati, quindi scatta obbligo DPO.
Il “trattamento su larga scala” non è definito ma occorre tenere in considerazione alcuni aspetti quantitativi: numero degli interessati, percentuale della popolazione, durata/permanenza, estensione geografica.
Il “monitoraggio regolare e sistematico” non è definito, include essenzialmente la profilazione online, ma non solo.

Caratteristiche del DPO


Maggiore è la complessità del trattamento, maggiori dovranno essere le competenze e l’esperienza del DPO, il quale dovrà comunque possedere qualità professionali, conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati, e capacità di assolvere i compiti previsti.

Outsourcing del DPO


È prevista la possibilità di designare in qualità di DPO sia una persona fisica (interna o esterna) che un’entità esterna. Pertanto, la funzione del DPO può essere esercitata anche sulla base di un contratto di servizio stipulato con un individuo o con una organizzazione esterna all’organizzazione del Titolare.

Posizione del DPO


Il DPO deve essere coinvolto in tutte le questioni che si riferiscono alla protezione dei dati.
Il GDPR prevede esplicitamente il coinvolgimento del DPO in alcune attività specifiche, come ad esempio nello svolgimento delle Valutazioni di Impatto sulla Protezione dei Dati, specificando inoltre che il Titolare deve chiedere il parere del DPO su questi temi.
Il Titolare e il Responsabile del trattamento restano tuttavia responsabili del rispetto della normativa sulla protezione dei dati e devono essere in grado di dimostrare la conformità al GDPR.
Il DPO può svolgere altri compiti e funzioni. Il titolare del trattamento o il responsabile del trattamento si assicura che tali compiti e funzioni non diano adito a un conflitto di interessi.

Compiti del DPO


Il principale compito del DPO è il controllo del rispetto del GDPR”, azione nel corso della quale il DPO può raccogliere dati, analizzare la compliance e infine “informare, consigliare e formulare raccomandazioni al Titolare o al Responsabile”. Il WP29 chiarisce: “Il controllo della conformità non significa che sia il DPO ad essere personalmente responsabile nel caso in cui vi sia una non conformità. Il GDPR rende chiaro che è il Titolare, non il DPO, ad essere tenuto all’attuazione di misure tecniche e organizzative che garantiscano e che dimostrino che il trattamento viene eseguito in conformità al GDPR”.
In conclusione, il rispetto della protezione dei dati è una responsabilità aziendale del Titolare del trattamento, non del DPO“.

i Nostri Partners

logo federterziario
logo dancan
logo federterziario piemonte