Cos’è il DPO?

Il nuovo Regolamento 2016/679 dell’Unione Europea pone come tema centrale la tutela della privacy e la sicurezza dei dati personali. La raccolta delle normative è stata pubblicata in Gazzetta Europea il 4 maggio del 2016, ed entrerà in vigore dal 25 maggio del 2018, molte realtà imprenditoriali, no profit e di pubblica amministrazione saranno obbligate a dotarsi di un DPO.

Cosa si intende con DPO?

Con DPO si intende: Data Protection Officer, ovvero una specie di “consulente tecnico con poteri esecutivi, che si occupa della conservazione dei dati e ne gestisce i rischi.”

Con l’evoluzione informatica degli ultimi anni, le basi di dati sono costantemente prese di mira da hacker e malintenzionati in qualsiasi parte del mondo . Visti questi rischi molto elevati l’Unione Europea ha voluto garantire maggiore tutela ai soggetti interessati, ovvero colore che navigano sul web ed i quali forniscono i propri dati sensibili.. La figura del DPO, finora resa obbligatoria per le autorità pubbliche ma senza averne mai specificato le competenze è  “uno specialista che conosca a fondo sia i sistemi informatici di storage che le normative in materia”.

Il DPO ha il potere di agire per placare eventuali intrusioni ai sistemi e rendere solida la protezione dei dati personali.

Il ruolo di DPO può essere scelto secondo due modi:

  • Un dipendente interno che abbia le competenze minimi necessarie a proteggere i dati personali o prendere le giuste misure per la loro protezione;
  • Un consulente in outsourcing che si assume tutte le responsabilità del caso e sopra citate, scegliendo i servizi di consulenti specializzati in privacy e tutela dei dati. Questa sarà probabilmente la scelta preferita da aziende di grandi dimensioni, gli enti pubblici e tutti coloro che raccolgono Big Data, che avranno bisogno di figure e consulenze più strutturate.

Per quali realtà è obbligatorio avere un DPO?

L’obbligo di dotarsi di un DPO sorge In tre casi, come vediamo da Regolamento Europeo:

1) “Quando il trattamento dei dati è gestito da un Ente Pubblico”

2) “Quando l’azienda basa le proprie principali attività (core business) sul monitoraggio continuo e sistematico dei soggetti profilati”

3) “Quando le realtà imprenditoriali o le associazioni, nella loro operatività impiegano, su larga scala, dati personali, particolari tipologie di dati sensibili riferiti a situazioni economiche o patrimoniali e informazioni relative alla situazione giuridica dei soggetti”

Nei casi di piccole e medie imprese che raccolgono semplici dati sul web, attraverso una form di contatto non sarà sempre necessario dotarsi di un DPO. Invece per aziende impegnate in ambito economico, banche e istituti di credito o agenzie specializzate in analisi del rating, in possesso di grandi basi di dati sarà obbligatorio dotarsi di un DPO. Lo stesso discorso  vale per la pubblica amministrazione.

Quali sono le sanzioni?

“In caso di mancato rispetto di adeguamento alla figura del DPO, il GDPR consente alle autorità di protezione dei dati di sanzionare i trasgressori con multe fino a 20 milioni di euro o per il 4% del fatturato mondiale annuo di una società.”

Quali sono i compiti del DPO?

Il Regolamento Europeo Privacy ha previsto che questo ruolo sia indipendente e autonomo nel prendere le proprie decisioni. Vediamo i compiti del DPO:

  • “Fornire consulenza al responsabile della conservazione e informare tutte le figure coinvolte, sia in merito alla normativa, sia riguardo alle soluzioni tecniche adottate per rispettare gli standard imposti”;
  • In primo luogo il DPO deve effettuare un’analisi per quanto riguarda i meccanismi di raccolta e conservazione dei dati. Deve redigere un documento di probabilità di perdite e tutti i possibili rischi, considerando i processi utlizzati per la raccolta dati;
  • il DPO redige un documento nel quale evidenzia eventuali procedure e misure tecnologiche da mettere in atto per essere conforme con il Regolamento Europeo.
  • Una volta mappata la realtà esistente, il DPO redige di un piano per mettere in conformità tutti i sistemi di raccolta dati, che deve essere sempre aggiornato con l’evoluzione della normativa.
  • È compito del DPO, inoltre, relazionarsi con le autorità di controllo, per tutte le questioni che riguardano la consultazione preventiva, in caso di perdita dati e per qualsiasi verifica di conformità al Regolamento Europeo GDPR.

Pin It on Pinterest

Condividi queste informazioni con i tuoi contatti

Condividi questo articolo nel tuo social preferito.