Il Regolamento Europeo per la protezione dei dati (GDPR, o General Data Protection Regulation) è entrato ufficialmente in essere il 25 Maggio 2018 comportando per aziende ed istituzioni l’onere d’adeguare le proprie policy e le proprie infrastrutture tecnologiche ai nuovi standard.
Il mancato adempimento di tali obblighi comporta possibili sanzioni economiche per il soggetto pari a 20 milioni di euro o al 4% del fatturato dell’azienda a livello globale, oltre alla cessazione dell’attività illecita. Inoltre, il Regolamento predispone l’obbligo per molte realtà di nominare un Data Protection Officer (DPO) che s’occupi di coadiuvare il management nel rispetto della normativa.
Proprio per rispondere a questa esigenza, STARTUP DATA PROTECTION, offre la possibilità di poter essere nominata come DPO, garantendo un’assistenza continuativa che può essere erogata tramite piattaforma online dedicata oppure tramite una consulenza personalizzata e tagliata sulla singola esigenza e realtà. Un monitoraggio costante è necessario per cui servono professionisti competenti in ambito legale, della privacy e con una sensibilità particolare verso la tecnologia che possano espletarlo al meglio.
Chi è il DPO, e quali sono i suoi compiti?
Il Data Protection Officer (DPO) è colui che deve assolvere a funzioni di supporto e controllo, consultive, informative e formative all’interno della sua realtà di riferimento per far si che le direttive del Regolamento (UE) 2016/679 (GDPR) e le normative europee e nazionali in materia di privacy e protezione dei dati vengano applicate nel rispetto dei cittadini.
Il DPO ha il compito di:
- Informare e consigliare l’ente o l’azienda di riferimento circa gli obblighi e le ottemperanze previste dal Regolamento e dalle normative europee e nazionali in materia di protezione dei dati;
- Fornire, ove richiesto, una valutazione complessiva dell’impatto, anche solo potenziale, dei trattamenti posti in essere dalla realtà di riferimento;
- Controllare che siano eseguiti gli adeguamenti necessari e monitorarne le evoluzioni;
- Dialogare e cooperare con l’organo di vigilanza (Garante per la Protezione dei Dati Personali) ed esserne il punto di contatto;
- Provvedere alla formazione del personale dell’ente o della società di riferimento in relazione alle direttive;
- Collaborare con il titolare nel segnalare all’organo di vigilanza i Data Breach ove abbiano una portata tale da dover essere denunciati nel rispetto delle direttive disposte dal Regolamento.
Tutti sono obbligati ad avere un DPO?
Secondo le linee guida del Garante sono obbligati a designare un DPO tutti quei soggetti che rispondono ad una o più delle seguenti caratteristiche:
- Autorità pubblica o altro soggetto pubblico;
- Soggetti che come attività principale effettuino su larga scala un monitoraggio regolare e sistematico di persone fisiche;
- Soggetti che, come attività principale trattino su larga scala categorie particolari di dati personali – ossia dati che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni filosofiche o religiose, o l’appartenenza sindacale, oltre al trattamento di dati genetici, dati biometrici al fine dell’identificazione univoca di una persona fisica, e di dati relativi alla salute, alla vita sessuale o all’orientamento sessuale – oppure dati relativi a condanne penali e reati.
Dunque sono tenuti alla nomina principalmente:
- Gli istituti di credito;
- Le imprese assicurative;
- I sistemi d’informazione creditizia;
- Le società finanziarie,
- Le società d’informazioni commerciali;
- Le società di revisione contabile;
- Le società di recupero crediti;
- Gli istituti di vigilanza;
- I partiti ed i movimenti politici;
- I sindacati, i caf ed i patronati;
- Le società operanti nel settore delle “utilities” (telecomunicazioni, distribuzione d’energia elettrica o gas);
- Le imprese di somministrazione di lavoro e ricerca del personale;
- Le società operanti nel settore della cura della salute, della prevenzione/diagnostica sanitaria quali ospedali privati;
- Le terme;
- I laboratori d’analisi mediche ed i centri di riabilitazione;
- Le società di call center;
- Le società che forniscono servizi informatici;
- Le società che erogano servizi televisivi a pagamento.
Tuttavia, dal momento che la raccolta e l’utilizzo dei dati oggi permea anche attività con finalità diverse dalle summenzionate, è bene che tutte le realtà che hanno un diretto contatto con i dati delle persone fisiche si dotino di un DPO.
