Il GDPR introduce la figura obbligatoria del Data ProtectionOfficier (DPO)

Il DPO è il responsabile della protezione dei dati che numerosi soggetti dovranno possedere
Con l’entrata in vigore del nuovo decreto GDPR , armonizzato dalla disciplina italiana 101/2018 inerente al Regolamento UE 2016/679 in materia di protezione dei dati personali, bisognerà provvedere ad alcuni adeguamenti.
Tra questi, è previsto il DPO (Data ProtectionOfficier), una nuova figura professionale che fino a poco tempo fa era sconosciuta in Italia e che adesso numerosi soggetti avranno l’obbligo di possedere.
QUALI FUNZIONI SVOLGE IL DPO?
Il DPO è sostanzialmente il responsabile della protezione dei dati.
Le sue principali mansioni:
- Assicurare l’osservanza del Regolamento UE 2016/679, soprattutto in materia di privacy;
- Collaborare ed essere punto di contatto con l’Autorità Garante;
- Informare e consigliare il titolare del trattamento sul regolamento e i suoi obblighi;
- Supportare il titolare nelle attività che riguardano il trattamento dei dati personali, compresa attribuzione delle responsabilità, sensibilizzazione e formazione del personale coinvolto;
- Fornire eventuali parerisulla valutazione d’impatto , Data Protection Impact Assessments (DPIA)
Attivare e notificare eventuali procedure in caso di Data breaches
CHI HA L’OBBLIGO DI ASSUMERE IL DPO?
La figura del DPO è obbligatoria per tutti i soggetti che hanno a che fare con il trattamento dei dati di persone fisiche, in particolar modo Pubbliche Amministrazioni e aziende che hanno a che fare con il trattamento dei dati su larga scala.
Nel dettaglio:
- Hanno l’obbligatorietà di un DPO : istituti di credito; sistemi di informazione creditizia; società finanziarie; società di recupero crediti; società di revisione contabile;caf e patronati; imprese assicurative; società di informazioni commerciali; istituti di vigilanza; partiti e movimenti politici; sindacati; società del settore “utilities” (distribuzione di energia elettrica o gas,telecomunicazioni); imprese di somministrazione di lavoro e ricerca del personale; società del settore cura della salute o prevenzione/diagnostica sanitaria (laboratori di analisi mediche, centri di riabilitazione e ospedali privati, terme); società che forniscono servizi informatici; società che erogano servizi televisivi a pagamento;società di call center.
- Non hanno l’obbligatorietà di un DPO: liberi professionisti operanti in forma individuale; rappresentanti, agenti e mediatori operanti non su larga scala; imprese familiari o individuali; piccole e medie imprese che trattano dati personali connessi alla gestione dei rapporti con fornitori e dipendenti;
NB: Nel caso di un avvocato, ad esempio, che lavora in forma associata, la nomina del DPO non è esclusa (è ricompreso solo il professionista in forma individuale) ma non è tra le attività che hanno l’obbligatorietà; va dunque verificato se tra le attività da svolgere, rientra il trattamento su larga scala ovvero il trattamento di una notevole quantità di dati personali sia a livello regionale, che nazionale o sovranazionale; dati dunque, che potrebbero incidere su un vasto numero di interessati e che presentano un rischio potenzialmente elevato.
I soggetti per i quali è richiesta la designazione di un DPO devono dunque rispondere a precisi criteri in merito a:
- Attività principale
- Larga scala
- Monitoraggio regolare e sistematico
L’Autorità Garante ha già fornito delle linee guida per l’interpretazione di questi criteri.
È consigliabile comunque richiedere la valutazione di un professionista qualificato per avere la certezza assoluta.