Perchè affidarsi ad un DPO esterno

GDPR
Perchè affidarsi ad un DPO esterno

Con il nuovo Regolamento Europeo privacy (entrato in vigore il 24 maggio 2016 e applicato a tutti gli Stati membri dell’Unione europea a partire dal 25 maggio 2018), che sostituisce la materia attuale in tema privacy, sono state introdotte delle novità riguardanti la gestione e il controllo dei dati personali nelle imprese e negli enti pubblici.

 

Una di queste, forse la più importante, è stata la designazione del Responsabile della protezione dati personali ovvero del Data Protection Officer (DPO), figura resa obbligatoria per tutta la pubblica amministrazione e, quasi sempre, in ambito privato.

L'introduzione del DPO non è una novità assoluta nel panorama legislativo europeo, in quanto, nonostante nessuna legge comunitaria ne avesse mai previsto l'obbligatorietà, numerosi Stati dell'Unione l'avevano già ufficializzata recependo la direttiva 95/46/CE.



Vuoi sapere quali sono gli adempimenti previsti dalla nuova normativa europea sulla privacy?

Clicca qui e scarica gratuitamente la nostra checklist!


 

Che cos’è il DPO e quali sono i suoi compiti?

Si tratta di un supervisore con competenze specialistiche della normativa e della prassi in materia di protezione dati, il quale viene incaricato di assicurare una corretta gestione dei dati personali nelle imprese e negli enti pubblici.

L’articolo n°39 del Regolamento stabilisce nel dettaglio quali sono i suoi compiti:

  • fornire consulenza al titolare e al responsabile del trattamento in merito agli obblighi derivanti dal Regolamento 679/2016 o dalle altre disposizioni legislative interne o europee in materia di protezione dati;
  • vigilare sull’applicazione del Regolamento da parte del titolare e del responsabile del trattamento in tutte le sue parti;
  • fornire pareri in merito alla valutazione d'impatto e sorvegliarne lo svolgimento;
  • cooperare con l'autorità di controllo e fungere da punto di contatto con essa per questioni connesse al trattamento, anche nei casi di violazione dei dati personali.

Il responsabile della protezione dati, in sostanza, deve essere tempestivamente coinvolto in tutte le questioni inerenti la protezione dei dati e sostenuto nell'esecuzione dei suoi compiti da parte del titolare e dal responsabile del trattamento, i quali devono fornirgli tutte le risorse necessarie per adempiere alle sue mansioni.

In qualunque caso, il suo lavoro deve svolgersi in assoluta autonomia e indipendenza, senza che nessuno gli dia alcuna istruzione circa l'esecuzione dei suoi compiti.

Quando viene nominato?

Il DPO viene scelto in base alle sue qualità professionali. Il titolare e il responsabile del trattamento devono considerare la sua preparazione in ambito di trattamento dati, sia sul piano teorico sia su quello pratico.

Viene nominato dal titolare e dal responsabile del trattamento in tre occasioni:

  1. quando il trattamento è effettuato da un'autorità pubblica o da un organismo pubblico (ad eccetto delle autorità giurisdizionali nell'esercizio delle loro funzioni);
  2. quando i trattamenti consistono e richiedono il monitoraggio regolare e sistematico degli interessati su larga scala;
  3. quando il trattamento riguarda, su larga scala, dati sensibili o relativi a condanne penali e reati.

Può essere selezionato tra i dipendenti del titolare del trattamento oppure può essere un libero professionista, esterno e autonomo, ingaggiato in base ad un contratto di servizi.

DPO: perché meglio interno? Conosce bene i processi aziendali

DPO: perché meglio esterno?

Assicura il principio di imparzialità: se fosse un dipendente, svolgendo altre mansioni all’interno dell’azienda, potrebbe risultare autore di un possibile conflitto di interessi con quelle proprie dell’altro incarico.

Il supervisore deve, invece, essere una figura indipendente e al di sopra delle parti, un soggetto specifico ed esperto in materia, che si occupi esclusivamente della protezione dei dati personali.

Assicura le competenze richieste; difficilmente all’interno dell’Azienda è presente una figura con i requisiti richiesti dalla normativa (necessari per legge).

In sintesi, egli necessita di una preparazione specialistica, una formazione continua e di un’esperienza concreta acquisita sul campo nel corso del tempo, in modo da essere in grado di supportare adeguatamente le organizzazioni nell’ambito di un mercato unico digitale europeo.

 

Registrazione webinar privacy

  • Commenti