Nuove Faq sul Responsabile della Protezione dei Dati (DPO) in ambito privato (Parte I)

Dopo aver pubblicato le linee guida sui responsabili della protezione dei dati (DPO) in ambito pubblico da parte del il Garante Privacy, scopriamo adesso le nuove linee guida riguardo la figura del DPO in ambito privato. Di seguito elenchiamo i punti salienti riportati dal Garante Privacy:

Chi è il responsabile della protezione dei dati personali (DPO) e quali sono i suoi compiti?

Il responsabile della protezione dei dati personali (anche conosciuto con la dizione in lingua inglese data protection officer – DPO) è una figura professionale designata dal titolare o dal responsabile del trattamento per assolvere a funzioni di supporto e controllo, consultive, formative e informative relativamente all’applicazione del Regolamento Privacy. Coopera con l’Autorità e costituisce il punto di contatto, anche rispetto agli interessati, per le questioni connesse al trattamento dei dati personali

Quali requisiti deve possedere il DPO?

Il DPO, al quale non sono richieste specifiche attestazioni formali o l’iscrizione in appositi albi, deve possedere un’approfondita conoscenza della normativa e delle prassi in materia di privacy, nonché delle norme e delle procedure amministrative che caratterizzano lo specifico settore di riferimento.

Deve poter offrire, con il grado di professionalità adeguato alla complessità del compito da svolgere, la consulenza necessaria per progettare, verificare e mantenere un sistema organizzato di gestione dei dati personali, coadiuvando il titolare nell’adozione di un complesso di misure (anche di sicurezza) e garanzie adeguate al contesto in cui è chiamato a operare. Deve inoltre agire in piena indipendenza e autonomia, senza ricevere istruzioni e riferendo direttamente ai vertici. Inoltre, deve poter disporre, di risorse (personale, locali, attrezzature, ecc.) necessarie per l’espletamento dei propri compiti.

Chi sono i soggetti privati obbligati alla sua designazione?

Sono tenuti alla designazione del responsabile della protezione dei dati personali il titolare e il responsabile del trattamento.

Si tratta di soggetti le cui principali attività (in primis, le attività c.d. di “core business”) consistono in trattamenti che richiedono il monitoraggio regolare e sistematico degli interessati su larga scala o in trattamenti su larga scala di categorie particolari di dati personali o di dati relative a condanne penali e a reati. Il diritto dell’Unione o degli Stati membri può prevedere ulteriori casi di designazione obbligatoria del responsabile della protezione dei dati.

Sono tenuti alla nomina, a titolo esemplificativo e non esaustivo: istituti di credito; imprese assicurative; sistemi di informazione creditizia; società finanziarie; società di informazioni commerciali; società di revisione contabile; società di recupero crediti; istituti di vigilanza; partiti e movimenti politici; sindacati; caf e patronati; società operanti nel settore delle “utilities” (telecomunicazioni, distribuzione di energia elettrica o gas); imprese di somministrazione di lavoro e ricerca del personale; società operanti nel settore della cura della salute, della prevenzione/diagnostica sanitaria quali ospedali privati, terme, laboratori di analisi mediche e centri di riabilitazione; società di call center; società che forniscono servizi informatici; società che erogano servizi televisivi a pagamento.

Chi sono i soggetti per i quali NON è obbligatoria la designazione del responsabile della protezione dei dati personali?

La designazione del responsabile del trattamento non è obbligatoria (ad esempio, in relazione a trattamenti effettuati da liberi professionisti operanti in forma individuale; agenti, rappresentanti e mediatori operanti non su larga scala; imprese individuali o familiari; piccole e medie imprese, con riferimento ai trattamenti dei dati personali connessi alla gestione corrente dei rapporti con fornitori e dipendenti: v. anche considerando 97 del Regolamento, in relazione alla definizione di attività “accessoria”).

È possibile nominare un unico DPO nell’ambito di un gruppo imprenditoriale?

Il Regolamento prevede che un gruppo imprenditoriale possa designare un unico responsabile della protezione dei dati personali, purché tale responsabile sia facilmente raggiungibile da ciascuno stabilimento. Inoltre, dovrà essere in grado di comunicare in modo efficace con gli interessati e di collaborare con le autorità di controllo.

È possibile esternalizzare ad un fornitore il ruolo di DPO?

Si, il Regolamento consente alle imprese di esternalizzare il ruolo di DPO ad un fornitore esterno. Con la carenza di professionisti con competenze adeguate alla gestione delle responsabilità del DPO, l’esternalizzazione di tali compiti può aiutare l’azienda a soddisfare le richieste di conformità del GDPR, pur restando concentrata sulle attività principali. Il servizio di DPO (Responsabile della Protezione dei Dati) fornito da IT Governance è una soluzione pratica ed economica per le imprese che non dispongono delle competenze e delle conoscenze necessarie in materia di protezione dei dati e devono adempiere agli obblighi imposti dal Regolamento generale sulla protezione dei dati (GDPR), ossia la nomina di un DPO.

Scopri di più >>

Leave a Reply

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.