Chi è il Data Protection Officer (DPO)?

Chi è il DPO?

Figura prevista dall’art. 37 del Regolamento 2016/679, il DPO è un esperto designato dal titolare o dal responsabile per svolgere attività consultiva, di controllo e di supporto all’applicazione del GDPR.

E’ punto di riferimento per gli interessati in relazione ad ogni trattamento di dati personali.

Il Data protection officer è, infine, punto di contatto con L’Autorità di controllo.

Chi deve nominare il DPO?

  • Amministrazioni ed enti pubblici ad eccezione delle autorità giurisdizionali e soggetti privati che esercitino funzioni pubbliche

(ad esempio, le amministrazioni dello Stato, gli enti pubblici non economici nazionali, regionali e locali, le Regioni e gli enti locali, le università, le Camere di commercio, industria, artigianato e agricoltura, le aziende del Servizio sanitario nazionale, le autorità indipendenti ecc.).

  • tutti i soggetti (titolari e responsabili) la cui principale attività consiste in trattamenti che per natura, oggetto e finalità richiedono il monitoraggio sistematico e regolare degli interessati su larga scala o
  • tutti i soggetti la cui attività principale consiste nel trattamento, su larga scala, di dati sensibili, relativi alla salute o alla vita sessuale, genetici, giudiziari e biometrici.

(in applicazione dei criteri sub a) e b) saranno tenuti alla nomina ad esempio: istituti di credito; imprese assicurative;  società finanziarie; società di informazioni commerciali; società di recupero crediti; istituti di vigilanza; partiti e movimenti politici; sindacati; caf e patronati; società operanti nel settore delle telecomunicazioni, società di distribuzione di energia; imprese di somministrazione di lavoro e ricerca del personale; società operanti nel settore della cura della salute, della prevenzione/diagnostica sanitaria quali ospedali privati, terme, laboratori di analisi mediche e centri di riabilitazione; società di call center; società che forniscono servizi informatici; società che erogano servizi televisivi a pagamento)

Sanzioni per omessa nomina del DPO

Nelle summenzionate ipotesi nominare un DPO non è una scelta, bensì un obbligo giuridico assistito da una sanzione amministrativa pecuniaria elevatissima: fino a 10 milioni di euro o, per le imprese, fino al 2% del fatturato mondiale totale annuo, se superiore (art. 83, par. 4).

Quali sono i compiti del DPO? (art 39)

a) fornire consulenza ed informazioni al titolare, al responsabile ed a tutti i dipendenti che partecipano ai trattamenti di dati personali in relazione agli obblighi previsti dal Regolamento nonché alla normativa europea e nazionale vigente in materia di data protection;

b) vigilare in generale sull’osservanza del Regolamento e delle disposizioni vigenti in materia di data protection, ed in particolare anche sul rispetto da parte del personale delle politiche del titolare e del responsabile in materia di protezione dati, compresi responsabilità, sensibilizzazione e formazione del personale che partecipa ai trattamenti ed all’attività di controllo degli stessi.

c) collaborare con il titolare o responsabile ad operare la valutazione di impatto sulla protezione dei dati

d) cooperare con l’Autorità di controllo (Garante Privacy) e rappresentare per le stessa il punto di contatto con i titolari / responsabili consultato in relazione ad ogni questione connessa ai trattamenti dati.

e) valutare i rischi inerenti ad ogni trattamento tenendo in conto la natura, l’ambito di applicazione, il contesto e le finalità del trattamento.

Requisiti e Posizione organizzativa del DPO

1) Il Regolamento non richiede specifiche attestazioni formali o l’iscrizione in appositi albi;

2) il DPO deve possedere una conoscenza approfondita della normativa europea e nazionale e delle procedure nel settore di data protection

3) il DPO deve avere una posizione di indipendenza nell’organizzazione del titolare/responsabile

—-> non deve ricevere istruzioni dal titolare che influenzino lo svolgimento delle funzioni ed i compiti assegnatigli dal Regolamento

—> il Dpo risponde solo ai vertici del titolare/responsabile con il quali opera in rapporto diretto

—> il Dpo deve avere a disposizione le risorse (personale, locali, attrezzature, ecc.) necessarie per l’espletamento dei propri compiti.

4) il DPO può essere sia un dipendente del titolare/responsabile–> che non sia in una situazione di conflitto di interesse  tra le posizioni ricoperte, che un soggetto esterno—> operante sulla base di un contratto di servizi

5) I dati di contatto del responsabile designato dovranno essere infine pubblicati dal titolare o responsabile del trattamento.

6) Il nominativo del responsabile della protezione dei dati e i relativi dati di contatto vanno invece comunicati all’Autorità di controllo.

 

Dal 25 Maggio 2018 scatta l’obbligo di nomina di un Data protection officer.

Non farti trovare impreparato. 

Contattaci subito e chiedi un preventivo.