DPO – Data Protection Officer

Un Data Protection Officer sempre a disposizione della Tua azienda

Un esperto sempre a disposizione della Tua azienda che possa garantirti sicurezza e compliance?

Il nostro servizio di Data Protection Officer (DPO) ti consente di avere un professionista, altamente specializzato e aggiornato, sempre a tua disposizione per consigliarti nelle attività di formazione e aggiornamento dei tuoi dipendenti, garantendoti dunque la sicurezza necessaria per scongiurare eventuali rischi connessi ad una violazione dei dati, nonché per supportarti nell’adempimento di tutte le obbligazioni imposte dalla normativa europea e nella valutazione di eventuali cambiamenti intervenuti nei processi produttivi tali da impattare sulla conformità al Regolamento Europeo sulla Protezione dei Dati.

Chi è il Data Protection Officer

Tra le novità introdotte dal Regolamento Europeo sulla Protezione dei Dati n. 2016/679 (in inglese, General Data Protection Regulation, meglio noto con la sigla GDPR), vi è anche la nomina del Responsabile della Protezione dei Dati, meglio noto con il termine anglofono “Data Protection Officer” o con la siglia DPO.

Le autorità e gli organismi pubblici, eccetto le autorità giudiziarie in esecuzione delle funzioni giurisdizionali, nonché tutti i soggetti (enti e imprese) che nel corso delle loro attività principali trattano su larga scala dati sensibili, relativi alla salute o alla vita sessuale, genetici, giudiziari e biometrici, oppure che svolgono attività in cui i trattamenti richiedono il controllo regolare e sistematico degli interessati (rientrano, per esempio, in tale presupposto gli operatori di telecomunicazione, gli operatori che effettuano profilazione per finalità di marketing comportamentale, attività di localizzazione tramite app, monitoraggio sullo stato di salute tramite dispositivi indossabili e interconnessi, c.d. wearable devices, programmi di fedeltà, ecc. ecc..) devono nominare obbligatoriamente un Data Protection Officer.

Il Data Protection Officer è colui che all’interno di un’azienda, sia essa pubblica o privata, osserva, valuta e regola la gestione del trattamento di dati personali, garantendone un trattamento conforme alla normativa privacy, europea e nazionale. Nel nuovo ordine giuridico, il Data Protection Officer costituisce un tassello fondamentale in quanto, ponendosi quale intermediario
tra i vari soggetti coinvolti, favorisce la crescita e lo sviluppo competitivo tra le aziende, assicurando il pieno rispetto a delle disposizioni del GDPR.

I compiti del Data Protection Officer

L’art. 39 del Regolamento UE 2016/679 fornisce un elenco non esaustivo dei compiti affidati al DPO. In particolare, ciascun DPO dovrà:

  • « informare e fornire consulenza al titolare del trattamento o al responsabile del trattamento nonché ai dipendenti che eseguono il trattamento in merito agli obblighi derivanti dal Regolamento UE 2016/679 nonché da altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati;
  • sorvegliare l’osservanza del suddetto Regolamento, di altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati nonché delle politiche del titolare del trattamento o del responsabile del trattamento in materia di protezione dei dati personali, compresi l’attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo;
  • fornire, se richiesto, un parere in merito alla valutazione d’impatto sulla protezione dei dati e sorvegliarne lo svolgimento ai sensi dell’art. 35;
    cooperare con l’autorità di controllo;
  • fungere da punto di contatto per l’autorità di controllo per questioni connesse al trattamento, tra cui la consultazione preventiva di cui all’articolo 36, ed effettuare, se del caso, consultazioni relativamente a qualunque altra questione;

Nell’eseguire i propri compiti, il responsabile della protezione dei dati considera debitamente i rischi inerenti al trattamento, tenuto conto della natura, dell’ambito di applicazione, del contesto e delle finalità del medesimo. »

Data Protection Officer. Compiti e qualità professionali

Il Regolamento UE 2016/679 non fornisce un elenco delle qualità professionali che ciascun Data Protection Officer deve possedere, per svolgere tale funzione tuttavia, sono da considerarsi pertinenti e necessari allo svolgimento dei suoi compiti un’adeguata conoscenza della normativa di riferimento e delle prassi nazionali ed europee in materia di protezione dei dati nonché un costante aggiornamento sulle tematiche connesse.

Fondamentale inoltre la padronanza delle competenze raggiunte nel settore e una buona familiarità con le operazioni di trattamento svolte nonché con i sistemi informativi e le esigenze di sicurezza e protezione dati manifestate dal titolare.

INSIDE vi fornirà il DPO ideale, un profilo senior indipendente e autonomo, adeguatamente formato, in possesso di una conoscenza effettiva e approfondita della normativa in materia di privacy e delle prassi operative.

La nomina di un Data Protection Officer:

  • non è una mera formalità ma deve avvenire in modo efficace e concreto;
  • deve essere adeguata al contesto legale-organizzativo dell’azienda;
  • deve riguardare un soggetto autonomo e indipendente che, all’interno della medesima azienda, non dovrà dunque ricoprire altri ruoli.
  • deve garantire la tutela della sicurezza aziendale.

 

GDPR – Le Sanzioni

Il Regolamento Europeo sulla Protezione dei Dati introduce sanzioni e ammende.

Al fine di individuare la sanzione da applicare, si prenderanno in considerazione una serie di fattori: la gravità, la durata della violazione, il numero di soggetti interessati, il livello di danni subiti, il carattere intenzionale dell’infrazione, tutte le azioni adottate per mitigare i danni, il grado di cooperazione con l’autorità di vigilanza.

Qualora le norme non vengano rispettate, il Regolamento individua due massimali per le ammende.

Il primo limite prevede ammende fino ad un massimo di 10 milioni di euro, oppure, in caso di impegno, fino al 2% del fatturato annuale mondiale. Questa prima categoria di multa verrebbe applicata dai controllori nei casi di valutazioni d’impatto, come richiesto dal Regolamento.

Il massimale delle ammende raggiunge un massimo di 20 milioni di euro o il 4% del fatturato annuo mondiale.