Pubblicità
Condividi l'articolo, fallo sapere ai tuoi amici ! 
  • 1
  •  
  •  
  •  
  •  
  •  
  •  
    1
    Share

E’ tempo di cambiamenti, dal 25 maggio entra in vigore anche in Italia  il GDPR (regolamento generale sulla protezione dei dati) già  definito “il più importante cambiamento nella regolamentazione della privacy degli ultimi due decenni”.

Ma puntiamo il nostro Focus su una figura di cui si parlerà tantissimo, già presente comunque in altri paesi, quali la Germania e l’Austria.

Oltre al titolare del trattamento e al responsabile del trattamento, il GDPR introduce anche la figura del Data Protection Officer o D.P.O. (art. 37 e ss.), cioè il Responsabile della Protezione, una figura parzialmente nuova e, allo stato, molto nebulosa. La normativa GDPR prevede l’obbligatorietà della nomina del D.P.O. per:

  • tutte le Pubbliche Amministrazioni, ivi ricomprese le aziende private che effettuano funzioni pubblicistiche o esercitano pubblici poteri;
  • per le aziende che effettuano attività di monitoraggio regolare e sistematico di dati su larga scala(geolocalizzazione per finalità statistiche, analisi sui consumi e sulle preferenze, analisi dei dati per pubblicità mirata)
  • per chi tratta dati concernenti reati e condanne penali.

È opportuno precisare che l’elenco non ha pretese di esaustività e quindi dovrà essere la singola impresa a valutare l’opportunità, in base al proprio tipo di attività, della nomina del D.P.O. Tuttavia, la designazione di un D.P.O. può indubbiamente costituire una misura importante per dimostrare l’adeguamento e la compliance del titolare del trattamento in relazione a quanto previsto dal GDPR.

A differenza del titolare e del responsabile del trattamento, il Responsabile della Protezione non può essere una persona giuridica dovendo, necessariamente, trattarsi di persona fisica, inoltre dovrà possedere i seguenti requisiti;

  1. possedere un’adeguata conoscenza della normativa e delle prassi di gestione dei dati personali;
  2. adempiere alle sue funzioni in piena indipendenza ed in assenza di conflitti di interesse;
  3. operare alle dipendenze del titolare o del responsabile oppure sulla base di un contratto di servizio.

L’impresa dovrà dotarlo di strutture, mezzi tecnici ed economici e team proporzionali al suo incarico.

I compiti del D.P.O. sono previsti agli articoli 37 e 39 del GDPR e tra i più rilevanti vi è il dovere di fornire informazioni e consigli nei confronti dei Titolare del Trattamento e dei suoi dipendenti in merito alla normativa dell’Unione e dei singoli Stati in materia, verificare l’attuazione delle suddette normative, fungere da punto di contatto sia nei confronti dell’Autorità Garante della Privacy sia nei confronti degli utenti, comunicare il proprio parere in relazione alla V.I.P (valutazione di impatto sulla protezione dei dati). Inoltre, pur non rientrando nei compiti normativamente previsti, potrà essergli affidato il registro delle attività di trattamento.

Il D.P.O. potrà essere anche un dipendente dell’azienda ma ciò potrebbe creare dei problemi in relazione al conflitto di interessi. Infatti, il Titolare del trattamento dovrà dimostrare l’indipendenza della figura scelta, quindi è assolutamente consigliabile scegliere una figura terza regolamentando il rapporto come contratto di servizi.

Pubblicità Ciao, ti invito a mettere "Mi piace" alla mia Pagina perché ho pensato che ti potrebbe fare piacere sostenerla. Riceverai aggiornamenti relativi alle novità e potrai interagire con altre persone su questa Pagina.