DPO Data Protection Officer o Responsabile della Protezione dei Dati

Home » Una nuova figura prevista dal Regolamento Europeo Privacy Ue 2016/679

DPO Data Protection Officer o Responsabile della Protezione dei Dati

Il nuovo regolamento sulla protezione dei dati (GDPR) è stato introdotto per sostituire la direttiva 95/46/CE. Il GDPR è direttamente applicabile alla data del 25 maggio 2018 in ciascuno Stato membro e porterà ad un maggior grado di protezione dei dati in tutte le nazioni europee.

DPO Data Protection Officer o Responsabile della Protezione dei Dati

Tra i nuovi adempimenti inseriti nel Regolamento generale sulla protezione dei dati 2016/679 | GDPR, pubblicato sulla Gazzetta Ufficiale europea L. 119 il 4 maggio ’16 , è prevista una nuova figura professionale :  il Responsabile per la protezione dei dati personali (Data Protection Officer).

Il Data Protection Officer o, per meglio dire, il Responsabile della Protezione dei Dati, è una nuova figura professionale che va ad inserirsi nel panorama, già nutrito, dei consulenti aziendali sempre più proiettati ad una totale compliance in materia di sicurezza nelle aziende
Il DPO (Data Protection Officer) sarà quindi un manager ma anche obbligatoriamente dovrà avere approfondite conoscenze sia in campo normativo sia in materia di sicurezza informatica.
Le attività del DPO potranno comprendere anche le attività già previste per il ruolo di responsabile privacy.
Il linea generale la qualifica di DPO – Data Protection Officer – di fatto muta l’attività del consulente privacy in azienda.

Il DPO è obbligatorio in qualsiasi caso in cui il trattamento sia effettuato:

  • da una pubblica amministrazione o da un suo organismo,
  • da società con più di 250 dipendenti,
  • da aziende, le cui attività principali siano costituite, per loro natura, scopo o finalità, da sistematico e regolare monitoraggio delle persone interessate, oppure se l'attività principale del titolare implicherà un trattamento su larga scala di dati sensibili, relativi alla salute o alla vita sessuale, genetici, oppure giudiziari e biometrici.  (escluse comunque le autorità giurisdizionali)

Il DPO rimarrà in carica, come minimo, due anni, rinnovabili alla scadenza. L’incarico potrà essere affidato ad un soggetto terzo laddove, il precedente DPO, non detenga più le qualità richieste dalla norma.
Un DPO dovrà detenere qualità di natura professionale, esperienza ed abilità nell’area “legge sulla privacy”, nonché rispettare i compiti (o parte di essi come da accordi presi con l’amministrazione del titolare) previsti per detta figura. Il DPO non dovrà avere conflitti di interesse in azienda e dovrà essere coinvolto preventivamente nelle decisioni del management. Il DPO potrà anche essere un dipendente interno all'azienda oppure esterno in forza di un contratto di servizi.

I requisiti del DPO, Responsabile della protezione dei dati personali, nominato dal titolare del trattamento o dal responsabile del trattamento, dovrà:
1. possedere un'adeguata conoscenza della normativa e delle prassi di gestione dei dati personali;
2. adempiere alle sue funzioni in piena indipendenza ed in assenza di conflitti di interesse;
3. operare alle dipendenze del titolare o del responsabile oppure sulla base di un contratto di servizio.

Il titolare o il responsabile del trattamento dovranno mettere a disposizione del Responsabile della protezione dei dati personali le risorse umane e finanziarie necessarie all’adempimento dei suoi compiti.

Come scegliere un DPO. Avete intenzione di assumere un responsabile della protezione dei dati (RPD) interno od esterno ? Sappiate che si prevede che il DPO rimarrà nella sua posizione per almeno due anni, e può essere espulso solo se non può svolgere le sue funzioni, motivo per il quale occorre sceglire il vostro DPO con molta saggezza. Il DPO deve avere esperienza e competenze professionali nella protezione dei dati e una profonda conoscenza del regolamento sulla protezione dei dati. Il livello richiesto di competenza non è strettamente definito, ma deve essere commisurato con la sensibilità e la quantità di dati organizzativi da processare.  Anche se questo non è indicato nel regolamento, il DPO dovrebbe essere un comunicatore chiaro e capace. Non è sufficiente conoscere le normative; ha bisogno anche di essere in grado di condividere in modo efficace la sua conoscenza. Inoltre, il DPO ha bisogno di essere abile nello sviluppare e implementare le pratiche di protezione dei dati in ambiti che richiedono un'ottima gestione del cambiamento. Un DPO riferisce alla direzione, ma deve lavorarere in modo indipendente. Egli deve essere coinvolto in tutte le aree di protezione dei dati all'interno dell'organizzazione in cui lavora, e deve essere informato di tutti i problemi di elaborazione dei dati e protezione degli stessi in modo tempestivo. Il DPO è, ovviamente, la persona che dirige e supervisiona tutte le attività di protezione dei dati all'interno di una società. Egli elabora le politiche e le procedure che portano l'organizzazione ad agire in conformità con il regolamento, controlla l'attuazione di tali politiche, assicura che tutto il personale sia pienamente consapevole per quanto riguarda i dati che si proteggono, assegna le responsabilità e gestisce le richieste degli utenti in materia dei dati personali. Il DPO ed è il punto di contatto principale per le autorità di vigilanza. Il DPO è anche responsabile per il monitoraggio, la notifica e la comunicazione delle eventuali violazioni dei dati personali (come indicato negli articoli 31 e 32), oltre ad offrire la documentazione pubblica e rispondere allle richieste dei regolatori per quanto riguarda la sottrazione, la distruzione e l'accessibilità dei dati.

I compiti del DPO sono:

  • Informare il titolare e gli incaricati, circa gli obblighi derivanti dai dati trattati;
  • Monitorare l’implementazione ed applicazione delle politiche adottate dal titolare in materia di protezione dei dati, assegnazione delle responsabilità, formazione delle risorse umane (in materia di protezione dei dati) ed in materia di verifiche derivanti da quanto sopra;
  • Assicurare che la “documentazione” di cui ai precedenti punti (l’equivalente del nostro DPS) sia redatta ed efficacemente aggiornata. Vengono riconosciuti importanti principi come l'accountability, ovvero un obbligo del rendiconto delle attività che incidono sulla protezione dei dati personali ma in un'ottica proattiva, per esempio il considerando n. 74 asserisce che "il titolare del trattamento dovrebbe essere tenuto a mettere in atto misure adeguate ed efficaci ed essere in grado di dimostrare la conformità delle attività di trattamento con il presente regolamento, compresa l'efficacia delle misure", inoltre, è previsto che "Per dimostrare che si conforma al presente regolamento, il titolare del trattamento o il responsabile del trattamento dovrebbe tenere un registro delle attività di trattamento effettuate sotto la sua responsabilità" (considerando n. 82 e art. 30). In questo contesto viene quindi previsto un obbligo di tenere un registro delle attività del trattamento dei dati personali, adempimento solo per alcuni limitati profili simile al Documento Programmatico per la Sicurezza (c.d. D.P.S.) previsto fino al 2012 nel Codice della Privacy (disposizioni abrogate all'art. 34 lett. g e punto 19 dell'Allegato B del Codice della Privacy).
  • Monitorare che accessi illeciti ai dati siano notificati (ricordiamo che le violazioni di dati personali o data breach devono essere notificate dal controller, senza ritardo, alle autorità competenti ), nel rispetto della norma, all’autorità Garante. Il Garante per la protezione dei dati personali ha adottato una serie di provvedimenti che fissano per amministrazioni pubbliche e aziende l’obbligo di comunicazione nei casi in cui a seguito di attacchi informatici, accessi abusivi, incidenti o eventi avversi, come incendi o altre calamità si dovesse verificare la perdita, la distruzione o la diffusione indebita di dati personali conservati, trasmessi o comunque trattati. In riferimento agli incidenti informatici, la procedura di garanzia degli interessati (contraenti) coinvolti nella violazione dei dati personali (c.d. Data Breach Notification) non sarà più solo limitata ai soli fornitori di servizi di comunicazioni elettroniche, ma avrà una portata estesa che potrà riguardare sia i diversi operatori dalla sanità che tutti gli operatori di internet e altri.
  • Monitorare l’efficacia, l’adeguatezza e l’applicazione del DPIA (Data protection impact assessment ovvero l’obbligo di effettuare una valutazione d'impatto sulla protezione dei dati personali) nonché la sistematica autorizzazione e consultazione del titolare al trattamento verso il DPO prima di adottare una decisione che coinvolga il trattamento dati e la privacy;
  • Rispondere e cooperare con le richieste dell’autorità Garante per la Privacy;
  • Agire come punto di contatto per le questioni, sollevate dal Garante, correlate ai trattamenti svolti in azienda.

I soggetti coinvolti nel nuovo modello organizzativo sul trattamento dei dati – regolamento europeo privacy ue 2016/679 ( ex dps) sono :

  • Il Titolare del Trattamento, ora chiamato Data Controller o Responsabile del trattamento, dotato di un potere decisionale in ordine alle tecniche da adottare e alle misure organizzative, al fine di garantire la conformità al Regolamento delle operazioni di trattamento dei dati.
  • Il Responsabile esterno del Trattamento / Amministratore di Sistema, ora chiamato Joint Controller o Co-responsabile del trattamento (ad esempio ad un fornitore di servizi in Cloud )
  • Il responsabile ed incaricato del trattamento, ora chiamato Data Processor e Incaricato del Trattamento o più semplicemente Data Handler, sarà l’attuale responsabile e potrà procedere al trattamento dei dati solo su istruzione del responsabile.
  • Il responsabile della sicurezza dei dati, ora chiamato Data Protection Officer ( DPO )

dal dps al gdpr Regolamento Europeo Privacy Ue 2016/679

Nel nuovo Regolamento generale sulla protezione dei dati, si nota subito un cambio di definizioni, laddove la figura del Responsabile del trattamento come prevista dall’art. 29 del D.Lgs. n. 196/2003 avrà una nuova denominazione con nuovi compiti e funzioni (tra l’altro precisamente stabiliti nel testo europeo citato). Per essere più chiari possibile, la figura che, ad oggi, viene denominata come Titolare del trattamento, una volta entrato in vigore il citato Regolamento UE, assumerà il nome di Responsabile del trattamento. Si aggiunga che la figura dell’Incaricato del trattamento, così come prevista dall’art. 30 dell’attuale Codice privacy, scomparirà completamente
Altra novità sarà la possibilità (in questo caso concessa  al Data Subject o Soggetto Interessato) di esercitare i propri diritti nei confronti di ciascun Data Controller Congiunto del trattamento oppure al Joint Controller.
Un elemento cruciale differenzia un Data Protection Officer o DPO da un responsabile privacy ex art. 29, mentre il primo deve essere indipendente e autonomo, il secondo deve agire seguendo solo e soltanto le istruzioni del titolare del trattamento, pertanto, un vincolo che impedisce di godere di ampia indipendenza, tipica invece del nuovo ruolo del DPO.

Dal Dps al Gdpr : [ Se desiderate approfondire sul GDPR (General Data Protection Regulation ): il nuovo Modello Organizzativo sul Trattamento dei Dati – Regolamento Europeo Privacy Ue 2016/679 vi invitiamo a leggere i contenuti di questa pagina ]

La vostra azienda richiede un DPO ed avete bisogno di un supporto temporaneo per la formazione del vostro incaricato interno ?

Il nostro staff di consulenti sarà lieto di potervi accompagnare nel periodo di transizione. L’obiettivo del nostro Incarico in qualità di Data Protection Officer è quello di accompagnavi nel processo di adeguamento normativo al codice privacy per priorità di intervento e mantenere successivamente un elevato livello di protezione e sicurezza in relazione agli standard normativi, tutelando il titolare e il responsabile del trattamento da sanzioni penali, civili ed amministrative.

La vostra attività richiede il trattamento di dati sensibili, relativi alla salute o alla vita sessuale, genetici, oppure giudiziari e biometrici e desiderate sapere se per voi è obbligatorio avere un data protection officer o DPO ?

Il nostro staff di consulenti sarà lieto di potervi aiutare. Ecco alcuni passaggi del nostro intervento :

STEP 1 - Verificheremo la necessità di un responsabile della protezione dei dati
Grazie alla nostra consulenza potrete valutare la conformità della vostra organizzazione nel rispetto delle norme vigenti. Se risulterà necessario un DPO vi accompagneremo nella scelta della persona più idonea, che potrà essere un vostro dipendente o un nostro consulente, garantendovi comunque assistenza anche nei punti successivi.
STEP 2 - Mapperemo il vostro inventario dei dati personali
Verificheremo insieme la natura dei dati trattati, conoscendone lo scopo e confermandovi le corrette procedure per ottenere il consenso per il loro l'utilizzo ed eventuale divulgazione.
STEP 3 - Implementeremo i processi di protezione dei dati
Dopo aver compreso l'inventario dei dati personali della vostra organizzazione, vi aiuteremo nel rivedere la struttura di gestione dei dati e dei processi per allinearle con il GDPR, al fine di :
• Ottimizzare i processi di informazione per l'ottenimento del consenso ed il suo ritiro.
• Stabilire una pratica trasparente per la valutazione e l'elaborazione di accesso e di rettifica dei dati o raccolta dei reclami.
• rivedere periodicamente l'adeguatezza della politica di protezione impostando scadenze chiare per la conservazione dei dati personali.
• Rivedere i termini di impegno con terzi quali agenti, partner o intermediari per garantire il rispetto del GDPR.
STEP 4 - Vi aiuteremo nella formazione ai vostri dipendenti
Vi aiuteremo ad informare tutti i vostri dipendenti delle politiche di protezione dei dati messe in atto nell'organizzazione e sottolineeremo il loro ruolo nella salvaguardia dei dati personali. Ci assicuraremo che i vostri dipendenti siano correttamente formati.
STEP 5 - Definiremo nsieme una politica per il controllo interno
Effettuare regolari audit interni per garantire nel tempo i processi della vostra organizzazione è un momento molto importante che pianificheremo con cura, di comune accordo.

Per richiedere la nostra consulenza :

Richiesta Consulenza DPO [ click qui ]