Negli ultimi mesi si parla sempre più spesso del nuovo GDPR, dei nuovi obblighi che introdurrà, delle possibili sanzioni, e di come tutte le aziende avranno il dovere di mettersi in regola. Ma in pochi sanno chi è il DPO.
Il nuovo Regolamento Europeo per la Protezione dei Dati Personali introduce infatti una nuova figura, ovvero il Responsabile per la Protezione dei Dati, detto anche DPO (Data Protection Officer). Il DPO rappresenta una delle novità più importanti presenti all'interno del nuovo Regolamento UE, e il fatto che ancora oggi molte aziende e pubbliche amministrazioni non siano sufficientemente informate a riguardo non è solo un segnale di scarsa preparazione normativa, ma soprattutto una grave mancanza che deve obbligatoriamente essere risolta.
Vediamo quindi insieme chi è il Data Protection Officer, quali sono i casi in cui deve essere designato, i compiti che gli sono attribuiti per legge, e il valore delle certificazioni che lo riguardano.
DESIGNAZIONE
Il Responsabile della Protezione dei Dati deve essere nominato obbligatoriamente da tutti gli enti pubblici, le PA (tranne le autorità giudiziarie), e dalle aziende che trattano su larga scala dati sensibili, relativi alla salute o alla vita sessuale, genetici, giudiziari e biometrici, oppure che svolgono attività in cui i trattamenti richiedono il controllo regolare e sistematico degli interessati.
COSA FA
Il DPO:
- deve informare e consigliare il titolare o il responsabile del trattamento da lui preposto, nonché i dipendenti, in merito agli obblighi derivanti dal Regolamento Europeo e dalle altre disposizioni dell'UE o delle normative locali degli Stati membri relative alla protezione dei dati;
- deve poi verificare che la normativa vigente e le policy interne del titolare siano correttamente attuate e applicate, incluse le attribuzioni delle responsabilità, la sensibilizzazione e la formazione del personale, e i relativi audit;
- su richiesta, deve fornire pareri in merito alla valutazione d'impatto sulla protezione dei dati, sorvegliandone poi i relativi adempimenti;
- funge da punto di contatto sia con il Garante della Privacy che con gli interessati, che possono rivolgersi a lui anche per l'esercizio dei loro diritti.
Il DPO può avere anche altri compiti e funzioni, a condizione che non diano adito a un conflitto di interessi e che questi gli consentano di avere a disposizione il tempo sufficiente per espletare i suoi compiti come Data Protection Officer.
REQUISITI
Per essere designati come Responsabile della Protezione dei Dati è necessario avere una conoscenza specialistica della normativa e delle prassi di gestione dei dati personali, essere in grado di adempiere alle proprie funzioni in piena indipendenza e in assenza di conflitti di interesse, operando come dipendente, oppure anche sulla base di un contratto di servizi. Il titolare deve inoltre mettere a disposizione del DPO le risorse umane e finanziarie necessarie all'adempimento dei suoi compiti.
La fatidica scadenza del 25 Maggio 2018 è sempre più vicina. Informarsi è bene. Essere pronti è meglio. Prepararsi se ancora non lo si è, è la cosa migliore che possiate fare.