Il DPO è obbligatorio nel GDPR del Regolamento Europeo!

dpo-obbligatorio-gdpr-dave-slane-studio

“La società digitale sta progredendo notevolmente negli ultimi anni e con essa sta aumentando la grandissima quantità di dati personali gestita dai milioni di siti presenti sul web e facenti capo, il più delle volte, ad aziende.

A tal proposito è stato redatto il Regolamento Europeo del GDPR.

In questo articolo troverai una serie di informazioni utili relativamente al DPO (Data Protection Officer), figura chiave all’interno del GDPR.

Ma cosa prevede? Perché è così importante? Quali sono i rischi a cui andiamo incontro se non lo si rispetta appieno?

Cosa Significa DPO?

DPO (Data Protection Officer) è l’acronimo di Data Protection Officer e, in italiano, Responsabile della Protezione dei Dati (RPD).

Il DPO affianca il titolare del trattamento dei dati personali quale figura esperta nella gestione dei dati stessi.

Il GDPR (regolamento generali sulla protezione dei dati) ha previsto che non sia obbligatoria la nomina di un DPO qualificato, ovvero che abbia sostenuto corsi di formazione con attestati rilasciati. È di fondamentale importanza, però, che questi abbia una profonda conoscenza delle normative relative alla protezione dei dati personali, la cosiddetta privacy.

Ad ogni modo, è bene chiarire che il compito del DPO è quello di proteggere i dati di coloro che hanno dato adesione al trattamento, e non tutelare gli interessi di colui che risulta essere il titolare del trattamento stesso.

Cosa Prevede il Regolamento Europeo?

La grande quantità di dati personali gestita sul web ha portato, inevitabilmente, alla creazione di una normativa ben precisa che ponesse degli obblighi in merito alla protezione di questi dati.

Il Trattato di Lisbona del 2007 prevede il diritto alla privacy:

Rispetto della vita privata e della vita familiareOgni individuo ha diritto al rispetto della propria vita privata e familiare, del proprio domicilio e delle sue comunicazioni” nonché la “Protezione dei dati di carattere personale – Ogni individuo ha diritto alla protezione dei dati di carattere personale che lo riguardano – Tali dati devono essere trattati, secondo il principio di lealtà, per finalità determinate e in base al consenso della persona interessata o a un altro fondamento legittimo previsto dalla legge. Ogni individuo ha il diritto di accedere ai dati raccolti che lo riguardano e di ottenerne la rettifica – il rispetto di tali regole è soggetto al controllo di un’autorità indipendente”.

È nato, quindi, il Regolamento Europeo sulla protezione dei dati entrato in vigore il 24 Maggio 2016 e diventato operativo soltanto due anni dopo (25 Maggio 2018).

Lo scopo fondamentale del Regolamento Europeo è quello di tutelare la gestione dei dati personali e cercare di far progredire, in maniera esponenziale, quella che oggi è una società rivolta al mondo del digitale, cercando di indurre coloro che rilasciano l’adesione al trattamento dei dati ad una sempre maggior fiducia nei confronti dei titolari del trattamento stesso.

Con questo regolamento, l’Unione Europea si è posta l’obiettivo di rafforzare la protezione dei dati personali dei cittadini europei sia all’interno sia all’esterno dei confini dell’UE, dando ai cittadini il controllo dei propri dati personali, semplificando il contesto normativo che riguarda gli affari internazionali, unificando e rendendo omogenea la normativa privacy dentro l’UE.

Il testo affronta anche il tema dell’esportazione di dati personali al di fuori dell’UE e obbliga tutti i titolari del trattamento dei dati (anche con sede legale fuori dall’UE) che trattano dati di residenti nell’UE ad osservare e adempiere agli obblighi previsti.

Figure all’Interno del GDPR

L’art. 4 del ‘Codice della Privacy’ prevede le seguenti figure cui è consentito trattare i dati personali:

  1. Titolare del trattamento: è la persona fisica, la persona giuridica, la Pubblica Amministrazione o qualsiasi altro ente a cui è consentito determinare le finalità e le modalità del trattamento dei dati personali. (art. 4 comma f)
  2. Responsabile del trattamento: è la persona fisica, la persona giuridica, la Pubblica Amministrazione e qualsiasi altro ente preposto dal titolare al trattamento di dati personali. (art. 4 comma g)
  3. Destinatario del trattamento: è la persona fisica, la persona giuridica, la Pubblica Amministrazione o qualsiasi altro ente che riceve i dati personali dal titolare del trattamento.
  4. Terzi: sono tutti coloro che non sono identificati come titolari, responsabili o destinatari del trattamento.
  5. Incaricato: è la persona fisica autorizzata dal titolare o dal responsabile a compiere operazioni di gestione dei dati. (art. 4 comma h)
  6. Interessato: è la persona fisica a cui si riferiscono i dati personali. (art. 4 comma i)
  7. Rappresentante: è la persona fisica designata come responsabile del trattamento in Europa. Questa figura si manifesta solo nel momento in cui i responsabili del trattamento non appartengano all’Unione Europea.
  8. Designato: è il soggetto al quale si affidano tutte le funzioni di controllo ad alto livello del trattamento dei dati personali.

L’importanza del DPO

La figura del DPO è nata proprio per tutelare le persone che aderiscono all’inserimento dei propri dati personali ed all’eventuale modifica degli stessi.

Il DPO ha il compito di supervisionare la gestione dei dati e affiancare il titolare nella gestione degli stessi, facendo notare eventuali violazioni ed apportando le necessarie modifiche in merito.

Quando è Obbligatorio Nominare un DPO?

L’articolo 37 del Regolamento Europeo disciplina l’obbligatorietà della nomina del DPO.

In particolare, sancisce che è OBBLIGATORIO nominare un DPO nei seguenti casi:

  1. il trattamento è gestito da enti pubblici o amministrazioni;
  2. il titolare del trattamento svolge principalmente un’attività di gestione e controllo sistemico di dati su larga scala;
  3. se il trattamento prevede la gestione di dati sensibili (salute, giudiziari, sessuali, etc.).

Quali Rischi Comporta la Violazione del Regolamento Europeo Relativamente al DPO?

Abbiamo parlato del Regolamento Europeo, ora capiamo quali rischi dovremmo affrontare, in caso di violazione dello stesso relativamente al DPO.

Sono diverse le violazioni che possiamo commettere in tal senso. Di seguito ve ne riportiamo alcune:

  1. Il DPO non viene nominato;
  2. Il DPO nominato è in conflitto d’interessi;
  3. Il DPO non ha sufficiente conoscenza della materia gestita;
  4. Il DPO non è facilmente reperibile;
  5. Il titolare del trattamento omette la pubblicazione dei dati di contatto del DPO, soprattutto al GDPR;
  6. Tardivo, omesso o inappropriato coinvolgimento del DPO;
  7. Al DPO non vengono fornite le giuste risorse per adempiere ai suoi compiti;
  8. Al DPO vengono assegnati ulteriori compiti non dovuti.

Le inadempienze elencate possono farci cadere in sanzioni molto care.

Queste sanzioni possono variare da una semplice diffida amministrativa all’applicazione di una sanzione amministrativa che può arrivare fino a 20 milioni di euro o al 4% del fatturato annuale.

A subire le suddette sanzioni è in primis il titolare del trattamento dei dati personali, ma anche il DPO in maniera indiretta, a meno che non dimostri che vi sia stata un’inadempienza del titolare nella comunicazione dei dati o dei compiti affidati.

Speriamo di avervi dato delle nozioni interessati in merito alla figura del DPO e comprendere, soprattutto, che tale figura nel mondo aziendale è fondamentale. È necessario, dunque, affidarsi ad un professionista del settore, meglio se in possesso di una certificazione che comprovi la conoscenza della materia, per non incorrere in provvedimenti o sanzioni.

LA TUA AZIENDA HA BISOGNO DI UN DPO? CONTATTACI