DPO Tutela della Privacy e Data Protection Officer

La tutela della privacy e la sicurezza dei dati personali, raccolti e custoditi su sistemi digitali, sono argomenti centrali nel nuovo Regolamento 2016/679 dell’Unione Europea. Il 25 maggio 2018, il responsabile della protezione dei dati diventa un ruolo obbligatorio ai sensi dell'articolo 37 per tutte le società che raccolgono o trattano dati personali dei cittadini dell'UE.

I DPO sono responsabili della formazione dell'azienda e dei suoi dipendenti su importanti requisiti di conformità, formazione del personale coinvolto nell'elaborazione dei dati e svolgimento di verifiche di sicurezza periodiche. I DPO fungono anche da punto di contatto tra la società e le eventuali autorità di vigilanza (SA) che sovrintendono alle attività relative ai dati. 

Come indicato nell'articolo 39 del GDPR, le responsabilità dell'RPD comprendono, ma non sono limitate a, le seguenti:

• Educare l'azienda e i dipendenti su importanti requisiti di conformità;
• Personale addetto alla formazione coinvolto nell'elaborazione dei dati;
• Esecuzione di audit per garantire la conformità e affrontare le potenziali problematiche in modo proattivo;   
• Punto di contatto tra l'azienda e le autorità di vigilanza di GDPR;
• Monitorare le prestazioni e fornire consulenza sull'impatto degli sforzi di protezione dei dati;
• Mantenere registrazioni complete di tutte le attività di elaborazione dei dati condotte dalla società, compreso lo scopo di tutte le attività di trattamento, che devono essere rese pubbliche su richiesta;
• Interfaccia con le persone interessate per informarli su come vengono utilizzati i loro dati, i loro diritti di cancellazione dei loro dati personali e quali misure sono messo in atto per tutelare le loro informazioni personali;

Che cos'è un responsabile della protezione dei dati (DPO)?

Un responsabile della protezione dei dati (DPO) è un ruolo di leadership della sicurezza aziendale richiesto dal regolamento generale sulla protezione dei dati (GDPR). I responsabili della protezione dei dati sono responsabili della supervisione della strategia di protezione dei dati e dell'implementazione per garantire la conformità con i requisiti GDPR .

Quali aziende hanno bisogno di responsabili della protezione dei dati?

Presentato dal Parlamento Europeo, dal Consiglio Europeo e dalla Commissione Europea per rafforzare e semplificare la protezione dei dati per i cittadini dell'Unione europea, il GDPR richiede la nomina obbligatoria di un responsabile della protezione dei dati per qualsiasi organizzazione che elabora o memorizza grandi quantità di dati personali, per dipendenti, individui al di fuori dell'organizzazione o entrambi. I DPO devono essere "nominate per tutte le autorità pubbliche e laddove le attività principali del responsabile del trattamento o del responsabile implicano un monitoraggio regolare e sistematico delle persone interessate su larga scala" o quando l'entità conduce l'elaborazione su larga scala di "categorie speciali di dati" come quello che descrive la razza o l'etnia o le credenze religiose.

Qualifiche per i responsabili della protezione dei dati

Il GDPR non include un elenco specifico di credenziali di DPO, ma l' articolo 37 richiede che un responsabile della protezione dei dati abbia "una conoscenza approfondita delle leggi e delle pratiche in materia di protezione dei dati." Il regolamento specifica inoltre che l'esperienza del responsabile della protezione dei dati deve allinearsi alle operazioni di trattamento dei dati dell'organizzazione e il livello di protezione dei dati richiesto per i dati personali trattati dai responsabili del trattamento e dai responsabili del trattamento dei dati.

I DPO possono essere membri del personale e le organizzazioni correlate possono utilizzare la stessa persona per sorvegliare collettivamente la protezione dei dati, purché sia ​​possibile per tutte le attività di protezione dei dati l'accessibilità allo stesso individuo e il DPO sia facilmente accessibile da chiunque da qualsiasi delle organizzazioni correlate quando necessario. È necessario che le informazioni del responsabile della protezione dei dati siano rese pubbliche e fornite a tutte le agenzie di vigilanza regolamentare.

La figure del momento e le sue potenzialità di impiego

Poiché le aziende che gestiscono i dati dei cittadini dell'UE sono soggette al GDPR anche se non si trovano nell'UE, uno studio prevede che saranno necessari 28.000 DPO per le organizzazioni regolamentate per ottenere la conformità GDPR quando la legge entrerà in vigore nel maggio 2018. Società e organizzazioni devono avere i loro DPOs in atto prima che entri in vigore il regolamento, quindi è importante iniziare a reclutare e assumere DPO prima o poi per assicurarsi i professionisti più qualificati per il ruolo, poiché saranno sicuramente molto richiesti come la scadenza incombe.

Il DPO giusto, dovrà disporre di competenze in materia di diritto e pratiche di protezione dei dati e una completa comprensione dell'infrastruttura IT, della tecnologia e della struttura tecnica e organizzativa. È possibile designare un dipendente esistente come DPO oppure è possibile assumere un DPO esternamente. 

Un DPO dovrebbe avere eccellenti capacità di gestione e la capacità di interfacciarsi facilmente con il personale interno a tutti i livelli e con le autorità esterne. Il responsabile della protezione dei dati deve essere in grado di garantire la conformità interna e avvisare le autorità di non conformità, pur comprendendo che la società potrebbe essere soggetta a multe salate per non conformità.