Entro il 25 maggio 2018 le aziende dovranno uniformarsi al regolamento generale sulla protezione dei dati 2016/679 (GDPR) rivedendo i propri processi per il trattamento dei dati personali ed introducendo, se necessario, il DPO, il Data Protection Officer o, in italiano, il Responsabile Protezione Dati.
Responsabile Protezione Dati (DPO): nomina obbligatoria dal 25 maggio 2018?
Il Data Protection Officer (DPO) è una figura professionale ancora poco conosciuta in Italia.
Il DPO è stato introdotto dal regolamento generale sulla protezione dei dati 2016/679 (GDPR) pubblicato sulla Gazzetta Ufficiale Europea il 4 maggio 2016: le aziende, le organizzazioni in generale, dovranno uniformarsi entro il 25 maggio 2018 rivedendo se necessario i propri processi per il trattamento dei dati personali.
Quando la nomina è obbligatoria
Come previsto dall’art. 37 del regolamento la nomina del DPO è obbligatoria:
- se il trattamento è svolto da un'autorità pubblica o da un organismo pubblico, con l'eccezione delle autorità giudiziarie nell'esercizio delle funzioni giurisdizionali; oppure
- se le attività principali del titolare o del responsabile consistono in trattamenti che richiedono il monitoraggio regolare e sistematico di interessati su larga scala; oppure
- se le attività principali del titolare o del responsabile consistono nel trattamento su larga scala di categorie particolari di dati o di dati personali relativi a condanne penali e reati.
Si tenga presente che la designazione obbligatoria di un DPO può essere prevista anche in casi ulteriori in base alla legge nazionale o al diritto comunitario.
Infine, sebbene il regolamento non imponga in modo specifico la designazione di un DPO, può risultare utile procedere a tale designazione su base volontaria: il "Gruppo di lavoro ex Articolo 29”, ed il Garante della Privacy italiano, "incoraggiano" infatti un tale approccio "cautelativo".
Sei un professionista della Privacy? Abbiamo la soluzione specifica! Compila il form QUI
Chi è il DPO
Al DPO sono richieste competenze giuridiche e informatiche, ma anche organizzative e di controllo dettate dal delicato compito di assistere il titolare o il responsabile del trattamento dei dati affinché la gestione degli stessi dati personali sia conforme e rispetti la normativa in materia di privacy.
Nel dettaglio i suoi compiti sono molteplici, dall’analisi della mappatura aziendale, delle procedure fino alla gestione documentale cartacea e informatizzata via web: insomma, una bella responsabilità!
Il DPO può essere un dipendente dell'azienda oppure anche un soggetto esterno: quale che sia deve esser totalmente libero di svolgere in modo indipendente i suoi compiti.
Ecco la RC Professionale per il DPO "esterni".
Proprio per coloro che assolveranno il compito del DPO "conto terzi" (può essere un singolo professionista o una società) è da poco disponibile una RC Professionale che copre i danni a terzi a seguito di inadempienza ai doveri professionali causati da fatto colposo (lieve o grave), o da errore o da omissione, involontariamente commessi nell'esercizio dell'attività professionale esercitata".
Nella "attività professionale esercitata" sono comprese tutte le mansioni e funzioni svolte dall'Assicurato sulla base del Regolamento europeo 2016/679 sulla protezione dei dati personali e le rispettive norme vigenti in materia, come ad esempio:
- informare e fornire consulenza al Titolare del trattamento o al Responsabile del trattamento nonché ai dipendenti che eseguono il trattamento in merito agli obblighi derivanti dal presente regolamento nonché da altre disposizioni dell'Unione o degli Stati membri relative alla protezione dei dati;
- sorvegliare l'osservanza del presente regolamento, di altre disposizioni dell'Unione o degli Stati membri relative alla protezione dei dati nonché delle politiche del Titolare del trattamento o del Responsabile del trattamento in materia di protezione dei dati personali, compresi l'attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo;
- fornire, se richiesto, un parere in merito alla valutazione d'impatto sulla protezione dei dati e sorvegliarne lo svolgimento ai sensi dell'articolo 35;
- cooperare con l'autorità di controllo;
- fungere da punto di contatto per l'autorità di controllo per questioni connesse al trattamento, tra cui la consultazione preventiva di cui all'articolo 36, ed effettuare, se del caso, consultazioni relativamente a qualunque altra questione.