In data 25 Maggio 2018 con il GDPR UE 2016/679 viene istituita una nuova figura professionale di rilievo in materia di Privacy. Tale figura deve essere presente nell’organigramma di qualsiasi azienda che si trovi a gestire dati sensibili su terzi. ( Il GDPR all’Art 9, li definisce “Dati Particolari”
Il DPO ( Data Protection Officer) stabilisce tutte le procedure in merito alla gestione di dati sensibili su soggetti dei quali un’azienda ha necessita’ per svolgere la propria attività.
Quali sono i compiti di un DPO?
All’interno del Regolamento Europeo Regolamento UE 2016/679 il DPO è identificato come “Responsabile della protezione dei dati”, ruolo da non confondere con il “Responsabile del trattamento dei dati”.
Il ruolo del “Responsabile della protezione dei dati” non ha vincoli, se non quello con il Titolare del trattamento da cui però è indipendente; l’Art. 38 infatti garantisce l’impossibilità di penalizzazione o rimozione dall’incarico in rapporto allo svolgimento dei compiti affidati al DPO;
I suoi compiti sono:
- vigilare sulla corretta applicazione del Regolamento UE 2016/679 e della normativa in merito alla Privacy;
- supportare il Titolare del Trattamento durante tutte le operazioni necessarie allo svolgimento dell’attività di gestione dei dati personali;
- fare da tramite tra L’autorità Garante ed il Titolare del Trattamento
- notificare al Garante in caso di “data breach” (Violazione dei dati)
Chi ha l’obbligo di nominare un DPO?
In base al regolamento Regolamento UE 2016/679, art. 37 sono obbligati a nominare un DPO:
- le Pubbliche Amministrazioni e gli Enti Pubblici, ad esclusione delle Autorita’ Giudiziarie;
- tutti i soggetti la cui attività principale consiste nel raccoglimento di informazioni di carattere “sensibile”, (dati particolari) relativi all’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, nonché trattare dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona.
E’ difficile stabilire con esattezza chi ha l’obbligo di tale figura professionale. In linea generale si necessita di tale Professionista della Privacy in qualunque attività si trattino dati particolari su soggetti terzi e si gestiscano ed utilizzino ai fini della profilazione dei soggetti coinvolti, sopratutto se su larga scala.
E’ consigliato e raccomandata la nomina di un DPO anche dove non è espressamente definito l’obbligo, poiché è una figura professionale cruciale nella gestione di qualsiasi procedura di gestione dei dati sensibili non solo nella grande azienda ma anche e sopratutto nelle piccole e medie realtà dove in genere non è applicato alcun modello organizzativo ed è più facile che si nascondano violazioni più o meno gravi.