Home / DPO – Data Protection Officer: cos’è e cosa fa il nuovo responsabile della protezione dei dati personali

DPO – Data Protection Officer: cos’è e cosa fa il nuovo responsabile della protezione dei dati personali

web_28755359_xxl

 

La tutela della privacy e la sicurezza dei dati personali, raccolti e custoditi su sistemi digitali, sono argomenti centrali nel nuovo Regolamento 2016/679 dell’Unione Europea. La raccolta di normative, pubblicata in Gazzetta Europea il 4 maggio del 2016, lascia ai soggetti coinvolti poco più di un anno, per adeguare processi e organigrammi ai nuovi standard di sicurezza e tutela dei dati. Dal 25 maggio del 2018, molte realtà imprenditoriali, no profit e di pubblica amministrazione saranno obbligate a dotarsi di un DPO. L’acronimo che sta per Data Protection Officer indica una sorta di consulente tecnico con poteri esecutivi, che si occupa della conservazione dei dati e ne gestisce i rischi.

Una figura altamente specializzata e aggiornata, a tutela di dati e privacy

Le attuali leggi nazionali che regolamentano la privacy e, in particolare, il Decreto 196 del 2003, hanno finora imposto l’obbligo di fornire al pubblico un’informativa nella quale era indicato un titolare del trattamento dei dati. Nessuna norma, però, stabilisce quali competenze specifiche debba avere il soggetto nominato, il quale quindi può anche non essere in possesso di conoscenze informatiche e dei meccanismi utilizzati per la raccolta e la conservazione dei dati. Il Regolamento UE va a sanare quella che, considerando le evoluzioni tecnologiche degli ultimi anni, appare come una contraddizione evidente. Lo sviluppo hi-tech ha portato ad un inevitabile aumento esponenziale delle frodi informatiche. Le basi di dati sono tra gli obiettivi preferiti da hacker e malintenzionati, connessi da ogni punto del pianeta. Per questa ragione, l’Unione Europea ha voluto garantire maggiore tutela agli utilizzatori di internet, i quali forniscono i propri dati sensibili a più compagnie e aziende. La figura del DPO, uno specialista che conosca a fondo sia i sistemi informatici di storage che le normative in materia, ha il potere di intraprendere, a seconda dei casi e delle esigenze, tutte le azioni necessarie per massimizzare la sicurezza dei dati custoditi.
Il ruolo di DPO può essere affidato a risorse umane interne, purché queste abbiano i requisiti minimi previsti dal Regolamento UE. In alternativa, è possibile rivolgersi in outsourcing, scegliendo i servizi di consulenti specializzati in privacy e tutela dei dati. Le compagnie enterprise di grandi dimensioni, gli enti pubblici e tutti coloro che raccolgono Big Data, molto probabilmente intenderanno il DPO come un ufficio strutturato, composto da più professionisti, da figure interne e consulenti esterni.

Per quali realtà è obbligatorio avere un DPO dal 25 maggio 2018?

La presenza di un DPO, però, non è obbligatoria negli organigrammi di tutte le realtà imprenditoriali o no-profit. In tre casi, da Regolamento UE, il DPO deve essere nominato per legge:

1) Quando il trattamento dei dati è gestito da un Ente Pubblico

2) Quando l’azienda basa le proprie principali attività (core business) sul monitoraggio continuo e sistematico dei soggetti profilati

3) Quando le realtà imprenditoriali o le associazioni, nella loro operatività impiegano, su larga scala, dati personali, particolari tipologie di dati sensibili riferiti a situazioni economiche o patrimoniali e informazioni relative alla situazione giuridica dei soggetti

L’analisi delle tre categorie appena citate, risparmia nella quasi totalità dei casi le piccole e medie imprese che non dovranno dotarsi di un DPO per raccogliere semplici dati sul web, attraverso una form di contatto. Dovranno, invece, adeguare procedure e sistemi molte aziende impegnate in ambito economico, banche e istituti di credito o agenzie specializzate in analisi del rating, in possesso di grandi basi di dati. Naturalmente, il processo di ammodernamento delle procedure di conservazione riguarda anche la pubblica amministrazione e va completamente a beneficio degli utenti, i quali potranno fornire i propri dati sensibili con maggiore fiducia.

In caso di mancato rispetto di adeguamento alla figura del DPO, il GDPR consente alle autorità di protezione dei dati di sanzionare i trasgressori con multe fino a 20 milioni di euro o per il 4% del fatturato mondiale annuo di una società. Nonostante l’entrata in vigore della nuova legge sia prevista per il 25 maggio 2018, è importantissimo che le imprese comincino a pensare a come garantire prima possibile la conformità alle normative previste dal nuovo Regolamento europeo in materia di protezione dei dati personali.

Quali sono i compiti del DPO?

Il DPO ha molteplici mansioni e, per questo, il Regolamento Europeo Privacy ha previsto che questo ruolo sia indipendente e abbia grande autonomia decisionale. In primo luogo, l’officer per la protezione dei dati fornisce consulenza al responsabile della conservazione e informa tutte le figure coinvolte, sia in merito alla normativa, sia riguardo alle soluzioni tecniche adottate per rispettare gli standard imposti.

La prima azione del DPO, seguente alla sua nomina, è quella di analizzare i meccanismi di raccolta e conservazione dei dati in atto. Dopo aver valutato probabilità di perdite e tutti i possibili rischi, in relazione ai sistemi impiegati e alla particolare natura dei dati custoditi, il DPO produce un documento nel quale evidenzia anche l’eventuale necessità di un adeguamento tecnologico o di correttivi da apportare alle procedure in atto. Una volta mappata la realtà esistente, il DPO si fa carico della redazione di un piano di aggiornamento e manutenzione dei sistemi, per restare sempre al passo con l’evolversi delle normative in materia. È compito del DPO, inoltre, fare da interfaccia con le autorità di controllo, per tutte le questioni che riguardano la consultazione preventiva, la possibilità di reperire i dati anche in caso di guasti e, più in generale, per qualsiasi verifica necessaria ad attestare la conformità con il pacchetto di norme del Regolamento Europeo sulla Privacy.

 

Compila il form per richiedere maggiori informazioni sulla nuova figura del DPO – Data Protection Officer.

Presa visione dell'informativa, procedendo all’invio della richiesta autorizzo al trattamento dei dati rispetto alla finalità a).

Rispetto alla finalità b) (invio di comunicazioni commerciali delle attività professionali effettuate dal Titolare anche attraverso telefono, sms, mms, posta cartacea ed elettronica):
PRESTO IL CONSENSO, conseguentemente il Titolare PROCEDERÀ al trattamento per la finalità b) sopra specificata.NON PRESTO IL CONSENSO, conseguentemente il Titolare NON PROCEDERÀ al trattamento per la finalità b) sopra specificata.

Don`t copy text!