DPO – Scopri chi è la nuova figura del GDPR

Il Data Protection Officer è la nuova  figura introdotta dal GDPR (General Data Protection Regulation), il nuovo Regolamento Europeo sulla Privacy che diventerà applicabile dal 25 maggio 2018.
Il DPO è un professionista che deve avere competenze giuridiche, informatiche, di risk management e di analisi dei processi.

Come precisato dal Garante,  il ruolo aziendale può essere affidato anche a soggetti interni o  esterni, a condizione che garantiscano l’effettivo assolvimento dei compiti.

Quali sono i compiti del DPO?

L’Art. 39 del Regolamento Europeo sulla protezione dei dati personali elenca i suoi  principali compiti:

a) informare e consigliare il Titolare del trattamento o il Responsabile del trattamento, nonché ai dipendenti, che eseguono il trattamento in merito agli obblighi derivanti dal presente regolamento nonché da altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati;

b) verificare l’attuazione e l’applicazione del presente regolamento, delle altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati nonché delle politiche del Titolare del trattamento o del Responsabile del trattamento in materia di protezione dei dati personali, compresi l’attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo (audit);

c) fornire, se richiesto, un parere in merito alla valutazione d’impatto sulla protezione dei dati e sorvegliarne lo svolgimento ai sensi dell’articolo 35;

d) cooperare con l’autorità di controllo;

e) fungere da punto di contatto per l’autorità di controllo per questioni connesse al trattamento, tra cui la consultazione preventiva di cui all’articolo 36, ed effettuare, se del caso, consultazioni relativamente a qualunque altra questione.

Quali aziende sono obbligate a nominarlo?

La sua presenza  non è obbligatoria negli organigrammi di tutte le realtà imprenditoriali o no-profit.

Solo in tre casi, da Regolamento UE, il DPO deve essere nominato per legge:

1) Quando il trattamento dei dati è gestito da un Ente Pubblico;

2) Quando l’azienda basa le proprie principali attività (core business) sul monitoraggio continuo e sistematico dei soggetti profilati;

3) Quando le realtà imprenditoriali o le associazioni, nella loro operatività impiegano, su larga scala, dati personali, particolari tipologie di dati sensibili riferiti a situazioni economiche o patrimoniali e informazioni relative alla situazione giuridica dei soggetti.

Di conseguenza sono obbligati a nominare il DPO: gli istituti di credito; le imprese assicurative; i sistemi di informazione creditizia o commerciali; le società finanziarie,contabili e di recupero crediti; gli istituti di vigilanza, i partiti e i movimenti politici; i sindacati; i caf e patronati; le società operanti nel settore utility (telecomunicazioni, distributori di energia o gas); imprese di somministrazione del lavoro e ricerca del personale; i call center; società nel settore della cura della salute e della prevenzione/diagnostica sanitaria (ospedali privati, terme, laboratori di analisi, centri di riabilitazione); imprese che erogano servizi televisivi a pagamento.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *