Data protection officer

Assistenza Sindacale Consulenza legale Assistenza fiscale e contabile Welfare Sportello Consip Sportello Business Development Sportello Privacy DPO Servizi per il trasporto

DPO

Chi è il DATA PROTECTION OFFICER?

Il data Protection Officer (di seguito DPO) è una figura introdotta dal Regolamento generale sulla protezione dei dati 2016/679 | GDPR, pubblicato sulla Gazzetta Ufficiale europea L. 119 il 4 maggio ’16. Il DPO è un professionista che deve avere un ruolo aziendale (sia esso soggetto interno o esterno) con competenze giuridiche, informatiche, di risk management e di analisi dei processi. La sua responsabilità principale è quella di osservare, valutare e organizzare la gestione del trattamento di dati personali (e dunque la loro protezione) all’interno di un’azienda (sia essa pubblica che privata), affinché questi siano trattati nel rispetto delle normative privacy europee e nazionali.

Questo soggetto è già conosciuto nel mondo anglosassone con il termine di Chief Privacy Officer (CPO); Privacy Officer, Data Protection Officer o Data Security Officer.

Cosa fa il DPO?

L’art. 39 del Regolamento europeo sulla protezione dei dati personali elenca i principali compiti del DPO (Responsabile della protezione dei dati):

a) informare e fornire consulenza al Titolare del trattamento o al Responsabile del trattamento nonché ai dipendenti che eseguono il trattamento in merito agli obblighi derivanti dal presente regolamento nonché da altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati;

b) sorvegliare l’osservanza del presente regolamento, di altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati nonché delle politiche del Titolare del trattamento o del Responsabile del trattamento in materia di protezione dei dati personali, compresi l’attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo;

c) fornire, se richiesto, un parere in merito alla valutazione d’impatto sulla protezione dei dati e sorvegliarne lo svolgimento ai sensi dell’articolo 35;

d) cooperare con l’autorità di controllo;

e) fungere da punto di contatto per l’autorità di controllo per questioni connesse al trattamento, tra cui la consultazione preventiva di cui all’articolo 36, ed effettuare, se del caso, consultazioni relativamente a qualunque altra questione.

Nell’eseguire i propri compiti il responsabile della protezione dei dati considera debitamente i rischi inerenti al trattamento, tenuto conto della natura, dell’ambito di applicazione, del contesto e delle finalità del medesimo.

Conoscenze e competenze del DPO

In base all’articolo 37, paragrafo 5, il DPO “è designato in funzione delle qualità professionali, in particolare della conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati, e della capacità di assolvere i compiti di cui all’articolo 39”.

Nel considerando 97 si prevede che il livello necessario di conoscenza specialistica dovrebbe essere determinato in base ai trattamenti di dati effettuati e alla protezione richiesta per i dati personali oggetto di trattamento.

Il livello di conoscenza specialistica richiesto non trova una definizione tassativa; piuttosto, deve essere proporzionato alla sensibilità, complessità e quantità dei dati sottoposti a trattamento. Occorre anche distinguere in base all’esistenza di trasferimenti sistematici ovvero occasionali di dati personali al di fuori dell’Unione europea. Ne consegue la necessità di una particolare attenzione nella scelta del DPO, in cui si tenga adeguatamente conto delle problematiche in materia di protezione dei dati con cui il singolo titolare deve confrontarsi.

Chi deve nominare il DPO?

  • Amministrazioni ed enti pubblici ad eccezione delle autorità giurisdizionali e soggetti privati che esercitino funzioni pubbliche (ad esempio, le amministrazioni dello Stato, gli enti pubblici non economici nazionali, regionali e locali, le Regioni e gli enti locali, le università, le Camere di commercio, industria, artigianato e agricoltura, le aziende del Servizio sanitario nazionale, le autorità indipendenti ecc.);
  • tutti i soggetti (titolari e responsabili) la cui principale attività consiste in trattamenti che per natura, oggetto e finalità richiedono il monitoraggio sistematico e regolare degli interessati su larga scala;
  • tutti i soggetti la cui attività̀ principale consiste nel trattamento, su larga scala, di dati sensibili, relativi alla salute o alla vita sessuale, genetici, giudiziari e biometrici.

(in applicazione dei criteri sub a) e b) saranno tenuti alla nomina ad esempio: istituti di credito; imprese assicurative;  società finanziarie; società di informazioni commerciali; società di recupero crediti; istituti di vigilanza; partiti e movimenti politici; sindacati; caf e patronati; società operanti nel settore delle telecomunicazioni, società di distribuzione di energia; imprese di somministrazione di lavoro e ricerca del personale; società operanti nel settore della cura della salute, della prevenzione/diagnostica sanitaria quali ospedali privati, terme, laboratori di analisi mediche e centri di riabilitazione; società di call center; società che forniscono servizi informatici; società che erogano servizi televisivi a pagamento)

In ogni caso, resta comunque  raccomandata, anche alla luce del principio di “accountability” che permea il Regolamento, la designazione di tale figura (v., in proposito, le menzionate linee guida), i cui criteri di nomina, in tale evenienza, rimangono gli stessi sopra indicati.

 

Sanzioni per omessa nomina del DPO

Nelle summenzionate ipotesi nominare un DPO non è una scelta, bensì un obbligo giuridico assistito da una sanzione amministrativa pecuniaria elevatissima: fino a 10 milioni di euro o, per le imprese, fino al 2% del fatturato mondiale totale annuo, se superiore (art. 83, par. 4).

Requisiti e Posizione organizzativa del DPO

  1. Il Regolamento non richiede specifiche attestazioni formali o l’iscrizione in appositi albi;
  2. il DPO deve possedere una conoscenza approfondita della normativa europea e nazionale e delle procedure nel settore di data protection;
  3. il DPO deve avere una posizione di indipendenza nell’organizzazione del titolare/responsabile.
  • non deve ricevere istruzioni dal titolare che influenzino lo svolgimento delle funzioni ed i compiti assegnatigli dal Regolamento;
  • risponde solo ai vertici del titolare/responsabile con il quali opera in rapporto diretto;
  • deve avere a disposizione le risorse (personale, locali, attrezzature, ecc.) necessarie per l’espletamento dei propri compiti.
  1. il DPO può essere sia un dipendente del titolare/responsabile (che non sia in una situazione di conflitto di interesse tra le posizioni ricoperte) che un soggetto esterno (operante sulla base di un contratto di servizi);
  2. I dati di contatto del responsabile designato dovranno essere infine pubblicati dal titolare o responsabile del trattamento;
  3. Il nominativo del responsabile della protezione dei dati e i relativi dati di contatto vanno invece comunicati all’Autorità di controllo.

È possibile inoltre nominare un unico responsabile della protezione dei dati personali nell’ambito di un gruppo imprenditoriale

Il Regolamento (UE) 2016/679 prevede che un gruppo imprenditoriale (v. definizione di cui all’art. 4, n. 19) possa designare un unico responsabile della protezione dei dati personali, purché tale responsabile sia facilmente raggiungibile da ciascuno stabilimento (sul concetto di “raggiungibilità”, v. punto 2.3 delle linee guida in precedenza menzionate). Inoltre, dovrà essere in grado di comunicare in modo efficace con gli interessati e di collaborare con le autorità di controllo.

In cosa consiste il nostro servizio di DPO esterno

  • Analisi approfondita della struttura per comprendere la realtà aziendale;
  • Attività di consulenza e supporto al titolare del trattamento, al responsabile esterno e ai loro dipendenti;
  • Sorveglianza del rispetto del regolamento e delle regole adottate dal Titolare mediante audit di verifica periodici, con elaborazione di relazioni atte a modificare i comportamenti non conformi;
  • Formazione e sensibilizzazione del personale in forze, al fine di garantire a tutti i livelli la corretta applicazione della normativa;
  • Eventuale supporto nella valutazione d’impatto;
  • Realizzazione dell’inventario dei trattamenti e tenuta di un registro di tali trattamenti;
  • Eventuale supporto nell’attività di consultazione preventiva del Garante;
  • Cooperazione con il Garante Privacy e punto di contatto in caso di controlli e/o richieste di chiarimenti;
  • Formazione specifica in materia di privacy;
  • Assistenza completa ed audit periodici per la verifica della corretta gestione dei modelli adottati e per l’adeguamento del modello organizzativo in caso di modifiche successive; sopralluoghi, controlli e verifiche on-site, interviste, riunioni.
CANONE MENSILEDIPENDENTI/POSTAZIONI
80€da 1 a 5 dipendenti/postazioni
120€da 6 a 15 dipendenti/postazioni
180€da 16 a 30 dipendenti/postazioni
250€da 30 a 80 dipendenti/postazioni