Il Nuovo Regolamento Privacy e il DPO – Data Protection Officer ovvero il responsabile della sicurezza dei dati

Il Nuovo Regolamento Europeo EU679/2016 GDPR sull’applicabilità della Nuova Privacy Europea entrerà in vigore il 25 maggio 2018.

La Nuova Privacy impone a tutte le aziende di nominare il DPO – Data Protection Officer ovvero la figura che riveste il ruolo di Responsabile della sicurezza e la protezione dei dati trattati.

L’obiettivo della Nuova Privacy

L’obiettivo della nuova Privacy, con l’introduzione della figura del DPO, non è soltanto quello di trasferire la Responsabilità della sicurezza e la protezione dei dati dal Titolare/Responsabile del trattamento, ma di assegnarla ad una persona ben specifica, competente ed esperta in materia, in modo da occuparsi esclusivamente della protezione dei dati personali, rimanendone sempre aggiornato sui rischi, i problemi e le misure di sicurezza necessarie a garantire un livello di tutela adeguato.

Quando è obbligatorio identificare il DPO

Il Titolare/responsabile del trattamento dei dati devono identificare sistematicamente il DPO, rendendone pubblico a tutti gli interessati il suo nominativo e comunicandolo all’autorità di controllo competente, nei seguenti casi:

  1. Quando il trattamento dei dati è effettuato da un’autorità pubblica o da un organismo pubblico (ad eccezione delle autorità giudiziarie)

  2. Quando il trattamento dei dati richiede il monitoraggio regolare e sistematico degli interessati su larga scala

  3. Quando il trattamento riguarda, su larga scala, dati sensibili (relativi alla salute o alla vita sessuale, genetici, biometrici) o relativi a condanne penali e reati.

Se non si rientra in questi casi, la nomina del responsabile della protezione dei dati “Data Protection Privacy” è facoltativo. L’identificazione può avvenire anche tramite le associazioni e/o organismi che rappresentano.

Ma chi è il DPO – Data Protection Officer

Il DPO è un professionista con conoscenze specialistiche della normativa e delle buone prassi in materia di protezione e sicurezza dei dati, rivestendo il ruolo di Responsabile della Protezione dei Dati personali.

La figura del DPO può essere individuata dal datore di lavoro tra i propri dipendenti del titolare del trattamento oppure può essere un libero professionista, esterno e autonomo, incaricato in base a un contratto di servizi.

Requisito essenziale nella designazione del DPO è l’individuazione di una figura che abbia una preparazione e conoscenza in materia del trattamento dati , sia sul piano teorico che su quello pratico.

Quali sono i compiti del DPO

I compiti del Data Protection Privacy sono dettagliatamente indicati nell’art.39 del RegolamentoEuropeo EU679/2016 GDPR:

  • informare e fornire consulenza al titolare e al responsabile del trattamento in merito agli obblighi derivanti dal Regolamento 679/2016 o dalle altre disposizioni legislative interne o europee in materia di protezione dati;

  • sorvegliare l’osservanza del Regolamento da parte del titolare e del responsabile del trattamento in tutte le sue parti, compresi l’attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa al trattamento;

  • fornire su richiesta pareri in merito alla valutazione d’impatto e sorvegliarne lo svolgimento;

  • cooperare con l’autorità di controllo fungendo, tra le altre cose, da punto di contatto per questioni connesse al trattamento effettuando consultazioni di ogni tipo, con particolare riguardo e attenzione ad un’eventuale attività di consultazione preventiva.

Il DPO, riferisce direttamente ai vertici aziendali e non al titolare/responsabile del trattamento.

Sanzioni

Le sanzioni sono a dir poco “devastanti” non essendo più a “fasce” come per il D.lg.196/03 ma verranno commisurate in base al principio di Accountability che il titolare avrà rispettato o meno e potranno arrivare multe fino a 20 milioni di euro o fino al 4% del fatturato per i clienti inadempienti.

Raccomandazioni

Anche le aziende non obbligate a gestire il trattamento della privacy con il DPO, potranno dotarsi volontariamente di tale figura e dimostrare di garantire gli standard di sicurezza previsti per legge e perseguire l’obiettivo della Nuova Privacy.

Il gruppo dei Garanti Europeo (WP29) consigliano “vivamente” i Titolari del Trattamento che non hanno l’obbligo del DPO, di nominare il DPO servirsene in modo volontario, tenendo bene in considerazione il “principio di Accountability” del GDPR.

Di seguito alcuni documenti utili:

Privacy: la prima guida sintetica del Garante sul nuovo Regolamento UE

Ulteriori approfondimenti normativi : http://www.garanteprivacy.it/regolamentoue

Articolo realizzato da www.ingegneriadellasicurezza.it

Lascia un commento