Obbligo nomina DPO: orientarsi tra vincoli normativi e opportunità

Il DPO o Data Protection Officer è una figura con funzioni di consulenza e mediazione in tema di privacy e trattamento dei dati. È un ruolo introdotto con il GDPR all’art. 37 e la sua nomina è obbligatoria per alcuni tipi di organizzazione. Negli altri casi, anche in assenza di uno specifico vincolo giuridico, può rivelarsi un’ottima risorsa per garantire in modo efficacie il rispetto del Regolamento Privacy.

Gestire la privacy in azienda con il DPO quindi può essere vista come un’imposizione e a ben vedere dove esiste questo obbligo ci sono reali ed effettive esigenze di tutela dei dati interessati. Quello che invece molte aziende ignorano è che contare su una figura professionale di tale competenza può portare a numerosi vantaggi.... evitare rischi

Compiti del DPO

Quella del Responsabile Protezione Dati (RPR) è una figura che deve possedere comprovate competenze sia tecniche che giuridiche. Le sue caratteristiche e i suoi compiti sono stabiliti dall’art. 37 del GDPR:

1. Informare e fornire consulenza al titolare del trattamento, al responsabile del trattamento e a chi effettua materialmente azioni di trattamento degli obblighi normativi relativi alla Privacy
   
   
2. Sorvegliare l’osservanza del GDPR e delle altre disposizioni normative correlate alla Privacy
   
   
3. Fornire, qualora richiesto, un parere sulla valutazione d’impatto sulla protezione dei dati e sorvegliarne lo svolgimento
   
   
4. Cooperare con il Garante Privacy
   
   
5. Fungere da tramite tra azienda e il Garante Privacy per questioni attinenti al trattamento dei dati.

È il titolare del trattamento a nominare il DPO, ma non può essere lui stesso il DPO! Questo perché, per garantire il corretto esercizio delle sue funzioni, l'RPO non può operare in conflitto di interessi. La scelta dovrà quindi ricadere su un'altra figura organizzativa interna oppure un soggetto esterno all’azienda.

La nomina poi deve essere comunicata al Garante Privacy.

Leggi anche:

• GDPR, le novità del Decreto Italiano Privacy 101/2018 in vigore dal 19 settembre 2018
• Responsabile trattamento dati GDPR: stai rispettando l’art. 28?

Obbligo nomina DPO

Chi deve avere il DPO in azienda? L’obbligo sorge principalmente per le Amministrazioni Pubbliche che svolgono qualsiasi attività che preveda un trattamento dei dati personali. Oltre a questo caso, la figura del Data Protection Officer è estesa anche a tutte quelle aziende che:

• svolgono un regolare e sistematico monitoraggio dei dati altrui su larga scala
• effettuano un trattamento di dati personali particolari, anche se non in modo regolare e sistematico e anche qualora riguardino reati commessi o condanne penali.

Possiamo quindi affermare che l'obbligo sussiste per: istituti di credito, assicurazioni, sistemi di informazione creditizia, società finanziarie, società di informazioni commerciali, revisori contabili, società di recupero crediti, istituti di vigilanza, partiti e movimenti politici, sindacati, CAF e patronati, società di telecomunicazioni o distribuzione di energia elettrica o gas, imprese che si occupano di ricerca e selezione del personale, ospedali privati e altre attività operanti nel settore della salute (anche per riabilitazione, terapie o analisi), call center, aziende che offrono servizi televisivi a pagamento nonché quelle che forniscono servizi informatici.

Quelli appena forniti sono gli esempi più comuni di aziende obbligate alla nomina del DPO. Tuttavia il quadro normativo del GDPR non offre un’elencazione ben definita. Infatti le modalità attraverso le quali si può configurare un trattamento dei dati sono moltissime e questo spiega la mancanza di un elenco esaustivo… ragione in più per considerare l’idea di dotarsi in qualunque caso di un DPO.

Vuoi capire se per la tua azienda sussiste l’obbligo di nomina del DPO? Richiedi una consulenza.

La pena in caso di mancata nomina del Responsabile del trattamento dati può arrivare a sanzioni pecuniarie del valore di 10 milioni di euro.

Leggi anche dal nostro BLOG:

• Trattamento Dati Personali: Classificazione Dati per fare chiarezza
• Sanzioni GDPR: lo sai quanto sta pagando Facebook?

GDPR e DPO: vincolo o opportunità

Al di fuori delle PA e delle aziende che trattano dati particolari o che svolgono attività di monitoraggio dati in modo sistematico, le altre aziende/organizzazioni non sembrerebbero vincolate a designare un DPO.

Ciò che invece resta obbligatorio è la conformità al GDPR.

Ogni azienda che effettua un qualsiasi tipo di trattamento dati deve rispettare i precetti normativi del Regolamento Privacy, pena sanzioni che possono arrivare a 20 milioni di euro o, per le imprese, fino al 4% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore.

È proprio per questa ragione che il DPO può essere considerato come un’opportunità. Una figura professionale cui affidare tutte le questioni inerenti alla Privacy è un valido aiuto per scongiurare sanzioni e raggiungere finalmente la compliance GDPR.