protection-officer

Chi è il Data Protection Officer?

Il Data Protection Officer (DPO) è il responsabile della sicurezza dei dati, questa figura è stata prevista dal Regolamento (UE) 2016/679, per rendere la protezione dei dati ancora più sicura ed effettiva.

Numerosi  Stati dell’Unione l’avevano già ufficializzata recependo la direttiva 95/46/CE, anche se nessuna leggere comunitaria sancisce l’obbligatorietà di questa figura professionale. Tuttavia, in Italia, il Codice della Privacy (d.lgs. n. 196/2003) non ha istituito il responsabile della protezione dati, motivo per cui è ora necessario introdurre tale nuova figura professionale seguendo non solo i dettami del Regolamento UE, ma anche considerando il contesto legislativo nazionale.

Il DPO deve essere quindi un professionista con conoscenze specialistiche della normativa e delle prassi in materia di protezione dati. Questo ruolo viene designato dal titolare e dal responsabile del trattamento in tre occasioni:

1.quando il trattamento è effettuato da un’autorità pubblica o da un organismo pubblico (ad eccetto delle autorità giurisdizionali nell’esercizio delle loro funzioni);

2.quando i trattamenti consistono e richiedono il monitoraggio regolare e sistematico degli interessati su larga scala;

3.quando il trattamento riguarda, su larga scala, dati sensibili o relativi a condanne penali e reati.

Le istituzioni che sono obbligate a designare la figura di Responsabile protezione dati sono:

  •  le amministrazioni e gli enti pubblici, escluse le autorità giudiziarie;
  • tutti i soggetti la cui attività principale consiste in trattamenti che, per la loro natura, il loro oggetto o le loro finalità, richiedono il controllo regolare e sistematico degli interessati;
  • tutti i soggetti la cui attività principale consiste nel trattamento di dati sensibili, relativi alla salute o alla vita sessuale, genetici, giudiziari e biometrici, in larga scala.

Il Data Protection Officer deve essere scelto in base alle sue qualità professionali, tenendo conto della sua preparazione in ambito di trattamenti dati sia sul piano teorico che pratico. Questa figura può essere selezionata anche tra i dipendenti del titolare del trattamento, oppure può essere scelto un libero professionista esterno. Un gruppo di imprese o soggetti pubblici possono nominare una sola figura per tutto il gruppo.

In ogni caso, i dati di contatto del DPO devono essere pubblicati e resi noti agli interessati oltre ad essere comunicati all’autorità di controllo competente.

Il DPO deve essere coinvolto in tutte le questioni inerenti la protezione dei dati. Il titolare e il responsabile del trattamento devono fornirgli tutte le risorse necessarie sia per fargli svolgere il suo lavoro sia per permettergli  di mantenere aggiornata la sua conoscenza specialistica. Questa nuova figura deve lavorare in completa autonomia e indipendenza, non può ricevere istruzioni  circa il suo lavoro e non può svolgere altre mansioni che vadano in conflitto di interessi con le proprie di DPO, essendo tenuto anche al segreto professionale per le sue funzioni di responsabile della protezione.

L’articolo 39 del Regolamento specifica poi nel dettaglio quali sono i compiti minimi del DPO:

  •  informare e fornire consulenza al titolare e al responsabile del trattamento in merito agli obblighi derivanti dal Regolamento 679/2016 o dalle altre disposizioni legislative interne o europee in materia di protezione dati;
  • sorvegliare l’osservanza del Regolamento da parte del titolare e del responsabile del trattamento in tutte le sue parti, compresi l’attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa al trattamento;
  • fornire su richiesta pareri in merito alla valutazione d’impatto e sorvegliarne lo svolgimento;
  • cooperare con l’autorità di controllo fungendo, tra le altre cose, da punto di contatto per questioni connesse al trattamento effettuando consultazioni di ogni tipo, con particolare riguardo e attenzione ad un’eventuale attività di consultazione preventiva.

L’introduzione del DPO permette alle aziende di avere un soggetto specifico, specializzato, esperto in materia, che si occupa esclusivamente della protezione dei dati personali, rimanendo sempre aggiornato sui rischi, i problemi e le misure di sicurezza necessarie a garantire un livello di tutela adeguato. Il tutto in linea con l’importanza, la diffusione e la complessità che l’ambito della privacy e del trattamento dei dati (soprattutto in campo digitale e tramite web) sta sempre più acquisendo.

Le imprese dovranno quindi, se vorranno garantire standard di sicurezza adeguati, nominare tali figure anche laddove ciò non sia obbligatorio per legge.

EticLab si è attivata e, alla luce delle recenti Linee Guida europee sui responsabili della protezione dei dati (RPD) delle informazioni aziendali e sulla regolamentazione dei rapporti di lavoro con riferimento al potere di controllo, sarà presto online il corso di preparazione per Data Protection Officer, figura professionale fondamentale all’interno delle aziende. Il nostro corso mirerà a fornire conoscenze e competenze specifiche, anche interdisciplinari, in materia sia di tutela del diritto alla privacy, sia di sicurezza nell’utilizzo di strumenti tecnologici nello svolgimento del rapporto di lavoro. Porremo attenzione agli aspetti giuridici della protezione dei dati personali, le misure di controllo dei lavoratori, la valutazione e prevenzione dei rischi e dei rimedi. Questo corso nasce in prospettiva dell’impresa tecnologica, il futuro delle aziende, che vedrà i lavoratori utilizzare sempre di più macchinari “intelligenti” e informatici.