CHI È IL DPO

Chi è il

DATA PROTECTION OFFICER?

Il data Protection Officer (di seguito DPO) è una figura introdotta dal Regolamento generale sulla protezione dei dati 2016/679 | GDPR, pubblicato sulla Gazzetta Ufficiale europea L. 119 il 4 maggio ’16.
Il DPO, figura storicamente già presente in alcune legislazioni europee, è un professionista che deve avere un ruolo aziendale (sia esso soggetto interno o esterno) con competenze giuridiche, informatiche, di risk management e di analisi dei processi. La sua responsabilità principale è quella di osservare, valutare e organizzare la gestione del trattamento di dati personali (e dunque la loro protezione) all’interno di un’azienda (sia essa pubblica che privata), affinché questi siano trattati nel rispetto delle normative privacy europee e nazionali.

Questo soggetto è già conosciuto nel mondo anglosassone con il termine di Chief Privacy Officer (CPO); Privacy Officer, Data Protection Officer o Data Security Officer.

Chi può nominare il DPO

Il Regolamento sulla Data Protection, entrato in vigore il 25 maggio 2016 si applicherà a tutti i 28 Stati membri UE a decorrere dal 25 maggio 2018, disciplina l’istituzione della figura del Data Protection Officer (in italiano Responsabile della protezione dei dati) nei seguenti casi:
a) il trattamento è effettuato da un'autorità pubblica o da un organismo pubblico, eccettuate le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali;

b) le attività principali del Titolare del trattamento o del Responsabile del trattamento consistono in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati sularga scala; oppure

c) le attività principali del Titolare del trattamento o del Responsabile del trattamento consistono nel trattamento, su larga scala, di categorie particolari di dati personali di cui all'articolo 9 (dati particolari | sensibili) o di dati relativi a condanne penali e a reati di cui all'articolo 10.

L’articolo 9 del Regolamento al comma 1 definisce quelli che sono le categorie particolari di dati personali (ex dati sensibili) ed in particolare i dati personali che: "rivelino l'origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l'appartenenza sindacale, nonché trattare dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all'orientamento sessuale della persona”.

Cosa farà il DPO ?

L'art. 39 del Regolamento europeo sulla protezione dei dati personali elenca i principali compiti del DPO (Responsabile della protezione dei dati):

1. Il responsabile della protezione dei dati | DPO | è incaricato almeno dei seguenti compiti:

a) informare e fornire consulenza al Titolare del trattamento o al Responsabile del trattamento nonché ai dipendenti che eseguono il trattamento in merito agli obblighi derivanti dal presente regolamento nonché da altre disposizioni dell'Unione o degli Stati membri relative alla protezione dei dati;

b) sorvegliare l'osservanza del presente regolamento, di altre disposizioni dell'Unione o degli Stati membri relative alla protezione dei dati nonché delle politiche del Titolare del trattamento o del Responsabile del trattamento in materia di protezione dei dati personali, compresi l'attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo;

c) fornire, se richiesto, un parere in merito alla valutazione d'impatto sulla protezione dei dati e sorvegliarne lo svolgimento ai sensi dell'articolo 35;

d) cooperare con l'autorità di controllo; e

e) fungere da punto di contatto per l'autorità di controllo per questioni connesse al trattamento, tra cui la consultazione preventiva di cui all'articolo 36, ed effettuare, se del caso, consultazioni relativamente a qualunque altra questione.

2. Nell'eseguire i propri compiti il responsabile della protezione dei dati considera debitamente i rischi inerenti al trattamento, tenuto conto della natura, dell'ambito di applicazione, del contesto e delle finalità del medesimo.

Come si possono preparare le aziende e i consulenti al futuro Regolamento Europeo ?

L’associazione dei Data Protection Officer (ASSO DPO) è nata per accompagnare le aziende, i consulenti privacy e gli attuali Titolari e Responsabili del trattamento dati nella formazione professionale dei futuri Data Protection Officer e fa tutto questo attraverso:

1. un Comitato Scientifico che lavora per l’elaborazione di standard e best practices;

2. dei gruppi di lavoro formati da associati ed esperti che approfondiscono tematiche importanti sulla Data Protection e predispongono documenti di sintesi che presentano agli associati sia attraverso incontri pubblici che seminari specifici aperti ai soli soci;

3. la sottoscrizione di accordi con partner che potranno portare utilità agli associati (Convenzioni – Assicurazioni ecc.);

4. Workshop dedicati agli associati;

5. L’organizzazione di un Congresso annuale che riunisce Garanti, associazioni privacy e DPO da tutto il mondo;

6. la promozione di percorsi di Alta Formazione con accordi con Società di formazione ed Università;

7. il rilascio dell'Attestato di Qualità e di Qualificazione Professionale dei Servizi Prestati e l’inserimento nel Registro Professionale ASSO DPO (Legge 4/2013).

8. l’interscambio di esperienze ed idee attraverso il portale www.assodpo.it o il gruppo linkedin di ASSO DPO.

congresso assodpo

Gli associati potranno utilizzare il marchio ASSO DPO?

L’utilizzo del marchio è riconosciuto ai soci effettivi che seguano le attività dell’Associazione attivamente ed è disciplinato da apposito Regolamento.