Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

Data Protection

Data Protection Officer: chi è, cosa fa e in quali casi sarà obbligatorio

La figura del Data Protection Officer diventa obbligatoria per tutti i 28 Stati UE dal 25 maggio 2018, secondo le direttive del nuovo Regolamento generale sulla protezione dei dati: in quali casi è prevista la sua presenza e quali saranno le sue responsabilità in azienda?

03 Lug 2017

Francesca Carli

Il nuovo GDPR impone alle aziende diverse modifiche dal punto di vista operativo e organizzativo. Per rispettare le nuove normative, in tutta l’Unione Europea, le imprese coinvolte devono affrontare l’implementazione di un vero e proprio sistema di gestione dei dati personali: questo processo prevede anche l’istituzione della figura di un Data Protection Officer. Quest’ultima sarà obbligatoria per la Pubblica Amministrazione e all’interno di aziende che trattano dati personali su larga scala o ne effettuano un “monitoraggio regolare e sistematico” (come banche e compagnie assicurative o, per esempio, società che hanno in gestione le carte fedeltà).

Chi è il DPO (e come viene scelto)

Il responsabile della protezione dei dati riveste un ruolo strategico a cavallo tra privacy e sicurezza IT e, di fatto, vigilerà sul rispetto del Regolamento e avrà il compito di controllare i sistemi adottati in azienda (informando il responsabile del trattamento dei dati nel caso di non conformità). Secondo quanto recita l’articolo 37 del Regolamento Ue, verrà designato sulla base della conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati. In questo senso, se da un lato l’incaricato potrà essere scelto anche in seno all’azienda (esclusi i casi in cui si incorra in conflitto di interessi) dall’altro dovrà operare in autonomia: l’obiettivo del Data Protection Officer, infatti, non è tutelare l’azienda in cui opera, bensì gli utenti i cui dati sono gestiti da quella stessa impresa.

Per rivestire il ruolo di Data Protection Officer, non sono previste abilitazioni né l’iscrizione a un albo professionale: in base alla norma ISO 17024, è possibile che le competenze siano certificate da enti abilitati. Per ottenere l’incarico, il responsabile della protezione dei dati dovrà dimostrare di conoscere la normativa (sia a livello nazionale che europeo) e gli eventuali provvedimenti emanati dal Garante della Privacy, di padroneggiare adeguatamente le tecnologie IT e, ovviamente, le prassi relative alla sicurezza nell’ambito del trattamento dei dati.

In base a quanto previsto dal Regolamento (UE) 2016/679 e dalle Linee-guida del WP29, l’Authority per la privacy ha pubblicato una scheda descrittiva che fa chiarezza in merito all’istituzione della figura del Data Protection Officer e ne riassume il ruolo e le responsabilità, specificando requisiti, compiti e casi in cui è previsto.  Vediamoli nel dettaglio.

Quali sono i requisiti del Data Protection Officer?

Secondo quanto stabilito dall’Authority per la privacy, il Data Protection Officer  nominato dal titolare del trattamento o dal responsabile del trattamento, dovrà:

  1. possedere un’adeguata conoscenza della normativa e delle prassi di gestione dei dati personali, anche in termini di misure tecniche e organizzative o di misure atte a garantire la sicurezza dei dati
  2. svolgere le sue funzioni in maniera completamente indipendente e in assenza di conflitti di interesse
  3. operare alle dipendenze del titolare o del responsabile oppure sulla base di un contratto di servizio (DPO esterno)

L’Authority per la privacy, inoltre, specifica che il Data Protection Officer dovrà essere messo nelle condizioni di avere le risorse umane e finanziarie necessarie all’adempimento dei suoi compiti, da parte del titolare o del responsabile del trattamento dei dati.

Quali sono i compiti del Data Protection Officer?

In base alle direttive dell’Authority per la privacy, il Data Protection Officer è tenuto a:

  1. sorvegliare l’osservanza del regolamento, valutando i rischi di ogni trattamento alla luce della natura, dell’ambito di applicazione, del contesto e delle finalità
  2. se necessario, collaborare con il titolare/responsabile ai fini di valutare l’impatto sulla protezione dei dati
  3. informare e sensibilizzare sia il titolare/responsabile del trattamento che i dipendenti della relativa azienda, in merito agli obblighi imposti dal GDPR e da altre disposizioni affini
  4. cooperare con il Garante e fungere da punto di contatto per quest’ultimo su ogni questione connessa al trattamento dei dati
  5. supportare il  titolare/responsabile nelle attività inerenti al trattamento di dati personali (anche in relazione alla tenuta di un registro delle attività)

In quali casi è previsto il Data Protection Officer?

L’istituzione di un responsabile della protezione dei dati, a partire dal 25 maggio 2018, sarà obbligatoria per:

  1. amministrazioni ed enti pubblici, fatta eccezione per le autorità giudiziarie
  2. tutti i soggetti la cui attività principale consiste in trattamenti che richiedono il monitoraggio regolare e sistematico degli interessati su larga scala
  3. tutti i soggetti la cui attività principale consiste nel trattamento su larga scala di dati sensibili relativi alla salute o alla vita sessuale, genetici, giudiziari e biometrici

L’Authority per la privacy specifica che le realtà non soggette a questo obbligo possono comunque procedere con una nomina su base volontaria e che, nel caso di un gruppo di imprese o soggetti pubblici, è possibile nominare un unico DPO.

Articolo 1 di 5