Data Protection Officer | DPO | RPD
Il Data Protection Officer (DPO) è una delle nuove figure professionali che operano nell’ambito della privacy aziendale, già prevista prima dell’entrata in vigore della nuova normativa europea sul GDPR in alcuni ordinamenti europei, ma da quest’ultima introdotta per la prima volta nella legislazione italiana e compiutamente definita e disciplinata a livello europeo.
In italiano la denominazione legislativa del DPO è quella di Responsabile della Protezione dei dati, o RPD, da non confondere con il Responsabile del Trattamento dei dati personali, che è una figura assolutamente diversa, con differente profilo di responsabilità.
La caratteristica peculiare della figura del Data Protection Officer consiste nella spiccata autonomia decisionale assegnata nell’esercizio delle proprie mansioni; a tale potere decisionale l’ordinamento ricollega la conseguente responsabilità per gli atti compiuti nell’esercizio della propria discrezionalità.
I poteri assegnati derivano direttamente dal Titolare del trattamento, che è il soggetto designato dalla normativa a nominare il DPO.
L’obbligo di designazione del DPO è sancito dall’art.37 del Regolamento UE 2016/679 a carico delle pubbliche amministrazione e degli enti pubblici, ed inoltre a carico di tutti i soggetti non pubblici la cui attività principale implichi trattamenti che richiedano un monitoraggio regolare e sistematico degli interessi su larga scala o che riguardino dati sensibili relativi alla salute, alla vita sessuale, alle caratteristiche genetiche, agli aspetti giudiziari o biometrici.
Sebbene la formulazione normativa lasci ampi spazi di interpretazione, è opportuno sottolineare che, come precisato anche dall’autorità garante della Privacy, è bene procedere alla nomina in tutti i casi in cui questa non sia espressamente esclusa (ciò avviene esclusivamente per agenti di commercio, rappresentanti, mediatori, imprese individuali e familiari e liberi professionisti operanti in forma non associata), e certamente per le aziende con più di 250 dipendenti o che trattino dati sensibili.
Possono essere nominati al ruolo di DPO i dipendenti aziendali o un soggetto esterno, sia persona fisica che giuridica, purché dotati di idonee competenze.
Pur non prevedendo l’istituzione di un albo apposito, la normativa pone a carico del Titolare del trattamento l’onere di provare di aver effettuato la scelta della figura del DPO in modo adeguato a ricoprire il ruolo; prova che può essere di fatto fornita solo attraverso i titoli detenuti dal soggetto incaricato (certificazioni, master, attestati di formazione).
I compiti del DPO presumono competenze trasversali di tipo giuridico e di tipo tecnico informatico, ed inoltre competenze di risk management e di analisi dei processi, oltre alla conoscenza specifica delle prassi in materia di gestione dei dati personali utilizzate nel settore in cui opera l’azienda per la quale supervisiona il trattamento; competenze che all’occorrenza, e in caso di aziende con dimensioni particolarmente ampie o con modalità di gestione particolarmente complesse, possono essere integrate con risorse professionali esterne specializzate.
Quanto alle mansioni specifiche, il DPO innanzitutto informa e fornisce consulenza al titolare, al responsabile del trattamento ed ai soggetti che intervengono a vario titolo nel trattamento dei dati relativamente alla normativa ed agli obblighi da essa sanciti; procede alla sorveglianza circa l’effettiva osservanza del regolamento GDPR e delle policies aziendali stabilite in materia (dal titolare del trattamento) da parte dei soggetti che partecipano al trattamento; coopera con l’autorità di controllo fornendo informazioni e relazioni e fungendo da punto di contatto per qualsiasi questione connessa al trattamento dei dati personali da parte dell’azienda.
La U.C. Group offre servizi di Data Protection Officer esterno sul territorio di Roma e Provincia.
In cosa consiste servizio di DPO esterno
- Analisi approfondita della struttura per comprendere la realtà aziendale;
- Attività di consulenza e supporto al Titolare del trattamento;
- Sorveglianza del rispetto del regolamento e delle regole adottate dal Titolare mediante audit di verifica periodici, con elaborazione di relazioni atte a modificare i comportamenti non conformi;
- Formazione e sensibilizzazione del personale in forze, al fine di garantire a tutti i livelli la corretta applicazione della normativa;
- Eventuale supporto nella valutazione d’impatto;
- Supporto nella realizzazione dell’inventario dei trattamenti e tenuta di un registro di tali trattamenti;
- Eventuale supporto nell’attività di consultazione preventiva del Garante;
- Cooperazione con il Garante Privacy e punto di contatto in caso di controlli e/o richieste di chiarimenti;
- Formazione specifica in materia di protezione dei dati personali;
- Assistenza completa ed audit periodici per la verifica della corretta gestione dei modelli adottati e per l’adeguamento del modello organizzativo in caso di modifiche successive; sopralluoghi, controlli e verifiche on-site, interviste, riunioni.
Per maggiori informazioni contattaci attraverso il modulo di contatti.