Con l’entrata in vigore del nuovo decreto GDPR , armonizzato dalla disciplina italiana 101/2018 inerente al Regolamento UE 2016/679 in materia di protezione dei dati personali, bisognerà provvedere ad alcuni adeguamenti.

Tra questi, è previsto il DPO (Data ProtectionOfficier), una nuova figura professionale che fino a poco tempo fa era sconosciuta in Italia e che adesso numerosi soggetti avranno l’obbligo di possedere.

Il DPO è sostanzialmente il responsabile della protezione dei dati.

Le sue principali mansioni:

• Assicurare l’osservanza del Regolamento UE 2016/679, soprattutto in materia di privacy;
• Collaborare ed essere punto di contatto con l’Autorità Garante;
• Informare e consigliare il titolare del trattamento sul regolamento e i suoi obblighi;
• Supportare il titolare nelle attività che riguardano il trattamento dei dati personali, compresa attribuzione delle responsabilità, sensibilizzazione e formazione del personale coinvolto;
• Fornire eventuali parerisulla valutazione d’impatto , Data Protection Impact Assessments (DPIA)

Attivare e notificare eventuali procedure in caso di Data breaches

La figura del DPO è obbligatoria per tutti i soggetti che hanno a che fare con il trattamento dei dati di persone fisiche, in particolar modo Pubbliche Amministrazioni e aziende che hanno a che fare con il trattamento dei dati su larga scala.

Nel dettaglio:

• Hanno l’obbligatorietà di un DPO : istituti di credito; sistemi di informazione creditizia; società finanziarie; società di recupero crediti; società di revisione contabile;caf e patronati; imprese assicurative; società di informazioni commerciali; istituti di vigilanza; partiti e movimenti politici; sindacati; società del settore “utilities” (distribuzione di energia elettrica o gas,telecomunicazioni); imprese di somministrazione di lavoro e ricerca del personale; società del settore cura della salute o prevenzione/diagnostica sanitaria (laboratori di analisi mediche, centri di riabilitazione e ospedali privati, terme); società che forniscono servizi informatici; società che erogano servizi televisivi a pagamento;società di call center.
• Non hanno l’obbligatorietà di un DPO: liberi professionisti operanti in forma individuale; rappresentanti, agenti e mediatori operanti non su larga scala; imprese familiari o individuali; piccole e medie imprese che trattano dati personali connessi alla gestione dei rapporti con fornitori e dipendenti;

NB: Nel caso di un avvocato, ad esempio, che lavora in forma associata, la nomina del DPO non è esclusa (è ricompreso solo il professionista in forma individuale) ma non è tra le attività che hanno l’obbligatorietà; va dunque verificato se tra le attività da svolgere, rientra il  trattamento su larga scala ovvero il trattamento di una notevole quantità di dati personali sia a livello regionale, che nazionale o sovranazionale; dati dunque, che potrebbero incidere su un vasto numero di interessati e che presentano un rischio potenzialmente elevato.

I soggetti per i quali è richiesta la designazione di un DPO devono dunque rispondere a precisi criteri in merito a:

• Attività principale
• Larga scala
• Monitoraggio regolare e sistematico

L’Autorità Garante ha già fornito delle linee guida per l’interpretazione di questi criteri.

È consigliabile comunque richiedere la valutazione di un professionista qualificato per avere la certezza assoluta.