Dpo obbligatorio – Chi e’ il Data Protection Officer – RPD di cosa si occupa

Senti spesso parlare di GDPR regolamento europeo della protezione dei dati che entrera’ in vigore a maggio 2018 e della figura del D.P.O. o R.D.P.,  ma effettivamente quando e’ obbligatoria questa presenza, in quale contesto? Nella tua organizzazione, azienda hai gia’ verificato se occorre provvedere alla designazione di un responsabile, un DPO obbligatorio per l’adeguamento al regolamento per la protezione dei dati?

Dpo obbligatorio –  Data Protection Officer quando e’ obbligatorio?

La designazione avviene obbligatoriamente in questi casi quando:

  1. il trattamento e’ svolto da un’autorita’ pubblica o da un organismo pubblico (tranne gli organi giudiziari per trattamenti per fini di giustizia);
  2. le attivita’ principali del titolare del trattamento o del responsabile di trattamento richiedono il monitoraggio regolare e sistematico di interessati su larga scala;
  3. le attivita’ principali del titolare o responsabile del trattamento consistono nel trattamento su larga scala di categorie particolari di dati o di dati personali relativi a condanne penali o reati.

Chi e’ il data protection officer? Chi e’ il DPO o RPD?

E’ il responsabile della protezione dei dati, ha una funzione di informazione, consulenza, sorveglianza, di collegamento con il Garante e gli Interessati e fornisce il parere (se richiesto) sul DPIA (Data Protection Impact Assessment).

Gli articoli di riferimento su DPO sono gli art. 37, 38, 39 del GDPR (General Data Protection Regulation).

Puo’ risultare utile, procedere alla designazione su base “volontaria” di questa figura, per quelle aziende in cui non vi e’ l’obbligo.

Nulla vieta infatti di ricorrere ad assegnare la funzione di coordinamento a questo responsabile esterno competente.

Precedentemente nei tre casi di obbligatorieta’ DPO ho evidenziato alcuni termini tecnici, che ora ti illustrero’ meglio.

Cosa significano “attivita’ principali”?

Sono le operazioni essenziali, che sono necessarie al raggiungimento degli obiettivi perseguiti dal titolare o dal responsabile del trattamento. I dati inerenti le principali dell’attivita’ che andranno vagliate su base documentale (statuto, visura) e su base fattuale (cosa fa la societa’ in concreto), esempio: le cartelle sanitarie dei pazienti per un ospedale.

Cosa significa “su larga scala”?

Il regolamento non definisce cosa rappresenti un trattamento su larga scala, a questo ci pensa il gruppo di lavoro art. 29 (WP29) a definire delle linee-guida sui responsabili della protezione dei dati RPD.

Per “larga scala” si intende:

  • il numero elevato di soggetti interessati dal trattamento
  • il volume dei dati
  • la durata del trattamento
  • la portata geografica del trattamento

Monitoraggio regolare e sistematico?

E’ l’interpretazione da parte del Gruppo di lavoro art. 29 in quanto non definito nel GDPR:

  • monitoraggio che avviene in modo continuo ovvero a intervalli definiti per un arco temporale definito
  • ricorrente e ripetuto a intervalli costanti
  • in modo costante o a intervalli periodici
  • che avviene per sistema
  • predeterminato, organizzato e metodico
  • svolto nell’ambito di una strategia

Tale concetto non si riferisce esclusivamente all’ambiente online.

Alcuni esempi di monitoraggio sono: la rete di telecomunicazioni, il reindirizzamento di messaggi di posta elettronica, l’attivita’ di marketing basate sull’analisi dei dati raccolti, programmi di fidelizzazione, pubblicita’ comportamentale.

Monitoraggio che e’ pur sempre su “larga scala”.

Categorie particolari di dati  (art. 37 paragrafo 1 lettera C)

Le designazione obbligatoria per il DPO riguarda il trattamento di categorie particolari di dati ai sensi dell’art. 9 gdpr e  di dati personali relativi a condanne penali e reati di cui all’art. 10.

DPO obbligatorio responsabilita’ ed operativita’

Il regolamento prevede che il lavoro del DPO obbligatorio, sia svolto in completa autonomia e indipendenza, attraverso:  un immediato ed adeguato coinvolgimento,  risorse necessarie, nessuna istruzione, e divieto di rimozione dall’incarico o penalizzazione.

IL D.P.O. risponde solo ed esclusivamente, al vertice del titolare o del responsabile del trattamento, non e’ responsabile personalmente, in caso di inosservanza degli obblighi in materia di protezione dati.

Dpo Roma, Dpo Milano, Dpo Padova – RDP Italia una figura molto richiesta

Il DPO obbligatorio o non, sara’ una figura molto richiesta, sia dalle strutture pubbliche che hanno l’obbligo di darne l’incarico, che dalle societa’ soprattutto, quelle di una certa dimensione, multinazionali che hanno un grosso volume di dati e operano magari anche con l’Estero online.

Queste aziende dovranno adeguare la loro struttura secondo la privacy, mettendo in sicurezza i propri sistemi informatici per evitare attacchi informatici esterni.

Le aziende che hanno un’enorme quantita’ di dati e lavorano su larga scala, con una vasta clientela avranno la necessita’ di avere queste figure di controllo “consigliere” specialmente se trattano di dati personali a volte sensibili specialmente chi effettua ricerche di marketing o statistiche.

Tutto questo deve essere organizzato, protetto,  monitorato e controllato, come deve essere anche previsto, il flusso degli adempimenti in caso di violazione dei dati per poter intervenire tempestivamente.

Hai bisogno di organizzare la tua azienda in sicurezza? Hai bisogno di un DPO?

A disposizione.

Leggi anche

GDPR privacy, GDPR 2018, GDPR EU, GDPR italiano, Significato

Strategia aziendale, marketing strategico; piano marketing

Indici di bilancio, analisi di bilancio per indici; controllo di gestione

 

Dpo obbligatorio - Chi e' il Data Protection Officer - RPD di cosa si occupahttps://www.consiglioweb.com/wp-content/uploads/2018/03/Dpo-obbligatorio-Chi-e-il-Data-Protection-Officer-RPD-di-cosa-si-occupa.pnghttps://www.consiglioweb.com/wp-content/uploads/2018/03/Dpo-obbligatorio-Chi-e-il-Data-Protection-Officer-RPD-di-cosa-si-occupa-100x100.pngMilena Martinatoconsulenza aziendaleconsulenza aziendale,DPO GDPR RPD RGPD privacy sicurezza dati - protezione dati,gestione trasmissione dati,web reputationDpo obbligatorio - Chi e' il Data Protection Officer - RPD di cosa si occupa Senti spesso parlare di GDPR regolamento europeo della protezione dei dati che entrera' in vigore a maggio 2018 e della figura del D.P.O. o R.D.P.,  ma effettivamente quando e' obbligatoria questa presenza, in quale contesto?...ConsiglioWeb - consigli web - consulenza aziendale - consulenza analisi indici di bilancio - consulenza contabile - consulenza strategica  - strategia web marketing a 360° - posizionamento SEO internazionale - protezione dati GDPR