Il Data Protection Officer (DPO) è la figura professionale che si occupa di gestire e tutelare i dati personali di un’organizzazione. Scopriamo che cosa fa e il servizio DPO di GDPRlab
Chi è il DPO e quali sono i suoi compiti?
Nell’Articolo 37 del GDPR viene introdotto il DPO (Data Protection Officer), in italiano Responsabile della Protezione dei Dati, ovvero la figura professionale che si occupa dell’adempimento degli obblighi normativi ma soprattutto di tutelare il titolare e/o responsabile nel preservare i dati aziendali. La sua funzione è quella di affiancare il titolare e il responsabile del trattamento nella conservazione dei dati e gestione dei rischi in conformità con il Regolamento europeo.
Lo scopo del DPO non è quello di terrorizzare l’azienda minacciandola che arriveranno delle sanzioni, ma di facilitare il processo di autoconsapevolezza del cliente.
I compiti del DPOsono indicati nell’Articolo 39 del GDPR e possono essere ricondotti a tre attività:
- attività di sorveglianza: il DPO verifica l’implementazione di adeguate misure di sicurezza di tipo tecnico, organizzativo e documentale. Inoltre, identifica le criticità e propone correzioni o miglioramenti continui per garantire il rispetto delle normative e la protezione dei dati in una logica di accountability;
- attività di supporto: fornisce pareri e consulenze al titolare del trattamento su questioni specifiche relative alla gestione dei dati personali;
- attività informative: promuove e coordina le iniziative volte a sensibilizzare e formare tutti i soggetti coinvolti nel trattamento dei dati personali.
Di conseguenza, il DPO non solo consiglia e sorveglia, ma rappresenta anche un consulente tecnico e legale con potere esecutivo.
Inoltre, come indicato nell’Art. 39 del GDPR, il Data Protection Officer deve avere competenze giuridiche approfondite in modo tale da essere informato sulle normative e prassi in fatto di privacy. È cruciale privilegiare individui che possiedano una vasta gamma di conoscenze, in grado di affrontare la complessità del ruolo.
Per saperne di più > Data Protection Officer (DPO): chi è, che cosa fa, perché serve
Per quali organizzazioni è obbligatorio nominare un DPO?
In determinate circostanze è obbligatorio nominare un DPO. In particolare, è sempre necessario se si tratta di un ente pubblico o parapubblico (ovvero aziende private con una determinata percentuale di partecipazione dello Stato, ad esempio gli ospedali regionali). Sono escluse le autorità giurisdizionali nel momento in cui esercitano le loro funzioni giurisdizionali.
Nel caso di soggetti privati invece, la nomina dipende da alcune condizioni. E’ necessaria quando sono presenti:
- trattamenti che richiedono il monitoraggio regolare e sistematico degli interessati su larga scala;
- trattamenti su larga scala di dati particolari (ad esempio quelli che riguardano la salute) o relativi a condanne penali e reati.
Tra queste casistiche rientrano:
- imprese assicurative
- istituti di credito
- sistemi di informazione creditizia
- società finanziarie, di informazione commerciale, di revisione contabile, di recupero crediti
- istituti di vigilanza
- partiti politici
- CAF e patronati
- società che operano nel settore delle utilities (telecomunicazioni, energia elettrica e gas)
- imprese di somministrazione lavoro o ricerca di personale
- ospedali privati
- terme
- laboratori di analisi mediche e riabilitazione
- società di call center, di servizi informativi e televisivi a pagamento
- hosting di posta e società di informatica
Ad ogni modo, il Garante Privacy ritiene che la nomina del DPO sia sempre opportuna, anche laddove non obbligatoria. Questo perché il Data Privacy Officer rappresenta un elemento fondante ai fini della responsabilizzazione, aumenta il margine competitivo delle imprese, facilita l’osservanza della normativa e funge da interfaccia tra i soggetti coinvolti (autorità di controllo, interessati, ecc…).
Va inoltre ricordato che, in caso di controlli, il titolare del trattamento è obbligato a dimostrare di aver valutato se nominare il DPO e perché ha deciso di non farlo.
Conseguenza della mancata nomina del DPO
Nel caso in cui un’organizzazione obbligata alla nomina decida di non farlo, le sanzioni possono arrivare a 10 milioni di euro o al 2% del fatturato annuo globale. La mancata nomina del Data Protection Officer (DPO) comporta quindi l’irrogazione di sanzioni ingenti. Diverse aziende sono già state sanzionate in seguito a tale violazione.
Per approfondire > Nomina DPO: azienda tedesca sanzionata per DPO in conflitto d’interessi
Data Protection Officer: interno o esterno all’azienda?
Il GDPR non vieta che il ruolo di DPO sia affidato a soggetti interni all’azienda. Ciò che viene però specificato è che non deve sussistere nessun conflitto di interesse tra questo ruolo e i compiti e le funzioni “ordinarie” svolte all’interno dell’organizzazione.
Questo significa che il DPO deve essere in grado di operare in modo indipendente, autonomo e neutrale, senza che le sue responsabilità di protezione dei dati vengano influenzate o compromesse da altri ruoli o interessi all’interno dell’azienda.
In situazioni in cui l’organizzazione è di piccole dimensioni o ha risorse limitate, potrebbe essere difficile trovare un DPO interno che possa dedicarsi esclusivamente a questo ruolo. Per questo, potrebbe essere preferibile ricorrere a un DPO esterno.
Per approfondire > Nominano DPO il responsabile Affari Generali: il Garante Privacy sanziona il comune di Villabate
Il servizio DPO di GDPRLab
Alla luce di queste considerazioni, GDPR Lab si occupa di svolgere l’attività di DPO per i clienti che ne hanno bisogno e anche di provvedere alla registrazione della nomina sul sito del Garante Privacy.
Attraverso il servizio DPO GDPRLab garantisce supporto continuo nella gestione della conformità al GDPR e tutti gli adempimenti privacy necessari. I DPO si occupano di valutare la tua organizzazione, di mappare i trattamenti dei dati personali, i rischi connessi e di aiutarti ad adeguare la tua organizzazione agli obblighi previsti dal GDPR.
I DPO di GDPRLab, attraverso una consulenza tecnico-informativa, ti forniscono le informazioni necessarie per garantire la conformità della tua organizzazione alla normativa privacy e mantenerla nel tempo.
I nostri DPO sono certificati Accredia UNI 11697:2017
Le principali attività dei DPO di GDPRLab sono le seguenti:
- cooperazione con l’Autorità di Controllo e con gli interessati del trattamento;
- valutazione di impatto sulla protezione dei dati (DPIA): vengono analizzati tutti i rischi connessi ai trattamenti e previste misure di mitigazione per gestire i rischi;
- gestione violazione dei dati personali (Data Breach): i DPO forniscono l’assistenza necessaria per notificare alle autorità competenti l’accaduto e per gestire il rapporto con gli interessati a cui sono stati esposti i dati;
- gestione delle richieste di esercizio dei diritti da parte degli interessati: supporto e definizione delle procedure interne e preparazione e gestione dei moduli di richiesta;
- supporto all’implementazione e manutenzione di un sistema di governance privacy;
- mappatura delle attività di trattamento dei dati;
- definizione della struttura organizzativa e delle figure incaricate al trattamento dei dati;
- redazione di tutta la documentazione privacy necessaria.
Vuoi sapere se per la tua organizzazione il DPO è obbligatorio? Vuoi nominarne uno esterno? Contatta i nostri DPO!