I dati sono ormai un elemento imprescindibile per numerose attività di business. La materia del trattamento dei dati personali è un percorso ad ostacoli ed è ancora poco chiaro il confine tra legale e illegale. E’ per fare chiarezza, tutelando aziende e privati, che è stato varato in Ue il Regolamento Generale sulla Protezione dei Dati (GDPR). Il nuovo Regolamento, entrato in vigore a maggio del 2016, diventerà obbligatorio a partire dal 25 maggio 2018 in tutti gli Stati membri.
Data Protection Officer (DPO), una nuova figura per aziende ed enti pubblici
Fra le novità introdotte vi è quella dell’introduzione di una nuova figura in azienda: il Data Protection Officer (DPO) che, tradotto in italiano, sta per Responsabile della protezione dei dati. Il DPO è un professionista, esterno o interno all’azienda, dotato di competenze giuridiche, informatiche, di risk management e di analisi dei processi e che sia in grado di osservare, valutare e organizzare la gestione del trattamento di dati personali nel rispetto delle normative europee e nazionali.
Quando il DPO è obbligatorio
In quali casi l’istituzione del DPO è obbligatoria?
- quando il trattamento dei dati è effettuato da un’autorità o da un organismo pubblico, eccezion fatta per quelli giurisdizionali nell’esercizio delle loro funzioni
- in tutti i casi in cui l’attività svolta richiede il monitoraggio regolare e sistematico degli interessati su larga scala
- in tutti i casi in cui vengono trattati dati particolari/sensibili o relativi a condanne penali e a reati
Il ruolo e i compiti del DPO
Quali saranno le mansioni specifiche del DPO? Ad elencare i principali compiti è il Regolamento europeo, all’art.39, che sintetizziamo:
- informare e fornire consulenza al Titolare del trattamento o al Responsabile del trattamento nonché ai dipendenti che eseguono il trattamento in merito agli obblighiderivanti dal presente regolamento nonché da altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati;
- sorvegliare l’osservanza del regolamento, di altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati nonché delle politiche del Titolare del trattamento o del Responsabile del trattamento in materia di protezione dei dati personali;
- fornire, se richiesto, un parere in merito alla valutazione d’impatto sulla protezione dei dati e sorvegliarne lo svolgimento;
- cooperare con l’autorità di controllo svolgendo il ruolo di punto di contatto per tutto le questioni connesse al trattamento dei dati.