PrivacyControl
Adeguamento GDPR - Privacy
  • GDPR Regolamento UE
    • BLOG & NEWS
    • FAQ
  • Chi siamo
    • PARTNERS
    • EVENTI
  • Servizi
    • Consulenza Privacy
    • Data Protection Officer 
    • Corsi di Formazione Privacy
    • Privacy, Trasparenza e Anticorruzione
    • Videosorveglianza & GDPR
    • Cyber Security & GDPR
    • Analisi del SITO WEB
    • Assistenza legale – Violazione Privacy
  • FORMAZIONE
  • CONTATTI & PREVENTIVI
    • PREVENTIVI
    • PREVENTIVI Formazione
    • PREVENTIVI Videosorveglianza
  • Area Clienti
    • Bacheca
    • Mio account
      • Logout
  • Italiano
    • Inglese
data protection officer profilo giuridico privacy control

DPO – Data Protection Officer: il responsabile della protezione dei dati personali

Il DPO è una figura esperta nella protezione dei dati, il cui compito è valutare e organizzare la gestione del trattamento di dati personali e dunque la loro protezione, all’interno di un’organizzazione, affinché questi siano trattati in modo lecito.


La storia
La prima comparsa di questo responsabile negli ordinamenti giuridici è stata in Europa, nella legislazione della Germania nel 1970 (Datenschutzbeauftragter). In seguito la sua figura fu istituita per la prima volta negli Usa nell’agosto 1999 dalla società AllAdvantage, specializzata in servizi pubblicitari attraverso Internet. Essa fu creata per rispondere alla preoccupazione dei consumatori sull’utilizzo dei propri dati personali e per meglio gestire il rispetto delle norme inerenti al tema. In Italia all’interno del Codice della Privacy (D.Lgs. n. 196/2003) non si fa riferimento al Responsabile della protezione dei dati, ma lo fanno le Linee guida in materia di Dossier sanitario del 4 giugno 2015 dove, in ragione della particolare delicatezza dei dati contenuti nel dossier sanitario, il Garante italiano auspicava che i Titolari del Trattamento individuassero una figura di Responsabile della protezione dei dati che svolgesse il ruolo di referente con il Garante anche in caso di “Data Breach”.Il 24 maggio 2016 è stato approvato il Regolamento (UE) 2016/679, che uniforma la legislazione in materia di protezione dei dati in tutta l’Unione Europea e che, all’art. 37, designa l’obbligatorietà per enti e aziende di nominare un DPO ufficiale.


Requisiti e compiti
Secondo il testo del regolamento europeo sulla protezione dei dati personali, una volta designato il responsabile, l’organizzazione deve assicurarsi che sia prontamente coinvolto e che possa adempiere alle sue funzioni in piena indipendenza allo scopo di non creare un conflitto di interessi nello svolgimento del suo compito di vigilanza sull’attuazione e l’applicazione della normativa. Il responsabile della protezione dei dati riferisce direttamente alla dirigenza e risponde gerarchicamente ad essa. Il titolare e i responsabili del trattamento sostengono il DPO nel suo ruolo per l’esecuzione dei suoi compiti, fornendogli tutte le risorse necessarie quali risorse finanziarie, personale, locali, attrezzature e quanto necessario per adempiere alle sue funzioni. A seconda dell’organigramma stabilito dall’azienda o dall’ente, può esserci anche più di un responsabile, specialmente nei casi di grandi organizzazioni e multinazionali, nelle quali la mole di lavoro prevedrebbe l’impiego di più soggetti.
Ai sensi dell’art. 39 del Regolamento europeo sulla protezione dei dati, il DPO:
a. deve essere adeguatamente coinvolto in tutte le questioni riguardanti la protezione dei dati personali;
b. deve essere sostenuto dal titolare del trattamento e dal responsabile nell’esecuzione dei compiti assegnati;
c. deve avere le risorse necessarie per adempiere ai compiti assegnati;
d. deve poter accedere ai dati personali e ai trattamenti che riguardano la struttura in cui è inserito;
e. deve mantenere la sua conoscenza specialistica (corsi di aggiornamento);
f. deve essere indipendente nell’esercizio delle sue funzioni;
g. non deve essere penalizzato o rimosso per l’adempimento dei propri compiti;
h. è tenuto al segreto e alla riservatezza in merito all’adempimento dei propri compiti;
i. non può svolgere altre funzioni o compiti che determino un conflitto di interessi.
L’articolo 39 del Regolamento europeo sulla protezione dei dati personali, elenca i compiti del DPO, che sono almeno i seguenti:
a. informare e consigliare il titolare del trattamento o il Responsabile nonché i dipendenti;
b. sorvegliare l’osservanza del Regolamento e delle altre leggi vigenti nell’Unione Europea in materia nonché delle policy;
c. fornire se richiesto un parere sulla valutazione di impatto sulla protezione dei dati personali e sorvegliarne lo svolgimento;
d. fungere da punto di contatto per l’autorità di controllo per questioni connesse al trattamento di dati personali.


Quando si nomina un DPO
In base al Regolamento il DPO deve essere nominato quando:
a. il trattamento è effettuato da un’autorità pubblica o da un organismo pubblico: il WP29 dà un’interpretazione estensiva di organismo pubblico e raccomanda, come una buona pratica, la nomina del DPO anche da parte delle organizzazioni private che svolgono incarichi pubblici o che esercitano pubblici poteri. La sua attività dovrebbe però coprire tutte le operazioni di trattamento, comprese quelle che non sono legate alla esecuzione di un compito pubblico o esercizio del dovere ufficiale (ad esempio la gestione di un database dei dipendenti).
b. Le attività principali (cd. core business) del titolare del trattamento o del responsabile del trattamento consistono in processi che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati. Per “attività core” si intende un’operazione necessaria per raggiungere lo scopo, appunto, del titolare o responsabile.
c. Terzo ed ultimo punto: nel caso di trattamento su larga scala di speciali categorie di dati personali o di dati relativi a reati e condanne penali. Il concetto di “larga scala” dev’essere valutato sulla base di alcuni specifici criteri quali, ad esempio, il numero di interessati coinvolti, la durata del trattamento e la sua estensione geografica. Tra i trattamenti non su larga scala sono invece compresi: il trattamento dei dati di un proprio paziente da parte del medico di famiglia ed il trattamento dei dati personali di natura penale da parte di un avvocato.


Qualora non vi sia obbligo (Art. 37.4 GDPR) il titolare o il responsabile del trattamento possono designare facoltativamente un Responsabile della protezione dei dati riconoscendo il ruolo centrale nella gestione della Data Protection a prescindere dagli obblighi normativi.
Addirittura le linee guida del WP29 incoraggiano le organizzazioni a designare volontariamente un DPO, anche perché è necessario documentare le valutazioni compiute per stabilire se si applica o meno l’obbligo di nomina.
Il Regolamento sottolinea anche i suoi compiti e le sue funzioni, in particolare non devono dar adito a possibili conflitti di interessi, deve essere un organo decisionale indipendente e professionalmente specialistico in materia di Privacy.


L’art. 37 non specifica le competenze professionali che dovrebbe avere un DPO, tuttavia appare chiaro che il responsabile della protezione dei dati dovrebbe avere esperienza sulla legislazione relativa alla protezione dei dati personali sia nazionale che europea, nonché conoscenza del settore di business delle imprese, informatiche e, nel caso di un ente pubblico, dovrebbe anche avere una buona conoscenza delle regole e delle procedure dell’organizzazione amministrativa.


La mole del lavoro e la specifica richieste di così ampie competenze portano a pensare che, nella pratica, il DPO sarà una figura composta da più persone fisiche anziché un unico individuo.

GDPR: CHE COS’È E PERCHÈ ALLE AZIENDE CONVIENE ADEGUARSI GDPR: il trattamento dei dati dei dipendenti da parte del datore di lavoro

Related Posts

Social Nework

BLOG, GDPR, Privacy

Social Network: è possibile tutelare la Privacy nel mondo virtuale?

ascolti dallo smartphone tramite microfono

BLOG, Cybersecurity, GDPR, Privacy

Spiati dai nostri smartphone: gli ascolti indiscreti come illeciti alla Privacy

face detection_ deepfake

BLOG, Cybersecurity, GDPR, Privacy

Deepfake e Intelligenza Artificiale: tra furto d’identità e danno all’immagine

PrivacyControl
Links
  • Facebook
  • Youtube
  • linkedin
© PrivacyControl 2022
Privacy Control, brand di Privacycert Lombardia srl • Pass. Don seghezzi, 2, 24122 Bergamo (BG)
P.IVA 04224740169 • Cap. Sociale 10.000,00 € I.V. • REA N. 445875 • Privacy policy
Tutte le immagini e i contenuti presenti in questo sito sono coperti da copyright. Condizioni di Vendita

Il presente sito Web archivia cookie sul computer dell'utente, che vengono utilizzati per raccogliere informazioni sull'utilizzo del sito e ricordare i comportamenti dell'utente in futuro.

 

CLICCA QUI PER SELEZIONARE I COOKIE.

Privacy Control Logo Trasparente
PrivacyCert Lombardia S.r.l.  GDPR Cookie Compliance
Cookies

Questo sito Web utilizza i cookie in modo che possiamo offrirti la migliore esperienza utente possibile. Le informazioni sui cookie sono memorizzate nel tuo browser e svolgono funzioni come riconoscerti quando ritorni sul nostro sito WeB e aiutare il nostro team a capire quali sezioni del sito Web ritieni più interessanti e utili.

Cookies necessari

I cookie strettamente necessari dovrebbero essere abilitati in ogni momento in modo che possiamo salvare le tue preferenze per le impostazioni dei cookie.

Se disabiliti questo cookie, non saremo in grado di salvare le tue preferenze. Ciò significa che ogni volta che visiti questo sito Web dovrai abilitare o disabilitare nuovamente i cookie.

Statistici

Questo sito web utilizza Google Analytics per raccogliere informazioni anonime come il numero di visitatori del sito e le pagine più popolari.

Mantenere attivo questo cookie ci aiuta a migliorare il nostro sito web.

Abilita prima i cookie strettamente necessari in modo da poter salvare le tue preferenze!

Cookie di Terze parti

Attraverso il sito sono installati alcuni cookie di terze parti non tecnici, che si attivano cliccando sul tasto “OK” presente all’interno del banner che l’utente visualizza quando accede al sito web oppure proseguendo la navigazione.

Abilita prima i cookie strettamente necessari in modo da poter salvare le tue preferenze!

Cookie Policy

Per maggiori informazioni leggi la nostra Cookie Policy