Nomina Data Protection Officer - DPO

gdpr albaIl Nuovo Regolamento UE 2016/679 prevede la nomina di un Responsabile della Protezione dei Dati - RPD o Data Protection Officer - DPO in tutti gli Enti della pubblica Amministrazione e nelle imprese o in altre organizzazioni quando ricorrono le previsioni di cui all'articolo 37, lettere b) e c) dello stesso GDPR.

 

Il Responsabile per la protezione dei dati personali - RPD o  Data Protection Officer - DPO è una figura obbligatoria per tutti i soggetti pubblici e per i soggetti privati le cui principali attività, c.d. di "core business", consistono in trattamenti che richiedono il monitoraggio regolare e sistematico degli interessati su larga scala o in trattamenti su larga scala di categorie particolari di dati personali o di dati relative a condanne penali e a reati.

Nelle faq pubblicate dal Garante privacy sul Responsabile della Protezione dei Dati (RPD) si precisa che, oltre all'obbligo generale previsto per gli enti pubblici, in ambito privato sono tenuti alla nomina, a titolo esemplificativo e non esaustivo:
istituti di credito; imprese assicurative; sistemi di informazione creditizia; società finanziarie; società di informazioni commerciali; società di revisione contabile; società di recupero crediti; istituti di vigilanza; partiti e movimenti politici; sindacati; caf e patronati; società operanti nel settore delle "utilities" (telecomunicazioni, distribuzione di energia elettrica o gas); imprese di somministrazione di lavoro e ricerca del personale; società operanti nel settore della cura della salute, della prevenzione/diagnostica sanitaria quali ospedali privati, terme, laboratori di analisi mediche e centri di riabilitazione; società di call center; società che forniscono servizi informatici; società che erogano servizi televisivi a pagamento.

Nei casi diversi da quelli previsti dall'art. 37, par. 1, lett. b) e c), del Regolamento (UE) 2016/679, la designazione del responsabile del trattamento non è obbligatoria nei casi di trattamenti effettuati da liberi professionisti operanti in forma individuale; agenti, rappresentanti e mediatori operanti non su larga scala; imprese individuali o familiari; piccole e medie imprese, con riferimento ai trattamenti dei dati personali connessi alla gestione corrente dei rapporti con fornitori e dipendenti: v. anche considerando 97 del Regolamento, in relazione alla definizione di attività "accessoria".

In ogni caso  la designazione di tale figura resta comunque  raccomandata, anche alla luce del principio di responsabilità "accountability" che permea il Regolamento europeo GDPR n. 2016/679.
http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/8036793#3

 

Servizio DPO Actainfo

Il DPO/RPD, nuova figura obbligatoria prevista dal Regolamento UE, in stretto collegamento con il Titolare del trattamento - Data Controller - e i Responsabili del trattamento - Data Processor - dei dati personali, dovrà svolgere un ruolo chiave nel promuovere la cultura della protezione dei dati all’interno dell’organizzazione - ente, impresa, professionista - contribuendo a dare attuazione agli obblighi previsti dal Regolamento europeo GDPR n. 2017/679.

Questo servizio prevede la nomina del Dott. Igino Addari a DPO/RPD, ai sensi dell’art. 39 del Regolamento UE 2016/679, per l’assolvimento dei seguenti compiti:
1) monitorare l’osservanza del Regolamento UE, valutando i rischi di ogni trattamento alla luce della natura, dell’ambito di applicazione, del contesto e delle finalità;
2) collaborare con il titolare/responsabile nel condurre una valutazione di impatto sulla protezione dei dati (DPIA);
3) informare e sensibilizzare il titolare o il responsabile del trattamento, nonché i dipendenti di questi ultimi, riguardo agli obblighi derivanti dal regolamento e da altre disposizioni in materia di protezione dei dati;
4) cooperare con il Garante della privacy e fungere da punto di contatto per il Garante su ogni questione connessa al trattamento;
5) verificare la corretta tenuta dei Registri delle attività di trattamento del Titolare e del/dei Responsabili;
6) verificare l’attuazione e l’applicazione del Regolamento europeo, con particolare riguardo ai requisiti concernenti la protezione della privacy fin dalla sua progettazione (privacy by design); la protezione di default di dati e sistemi (privacy by default); la sicurezza dei dati; il riscontro alle richieste degli interessati di esercitare i diritti ricono-sciuti dal Regolamento;
7) garantire la conservazione a norma del DPCM 3 dicembre 2013 della documentazione informatica relativa ai trattamenti di dati personali effettuati dal titolare;
8) controllare che le violazioni dei dati personali - data breach - siano documentate, notificate al Garante della privacy e comunicate ai soggetti interessati ai sensi dell'art. 33 del GDPR
9) Inviare comunicazioni via email e PEC relative a nuovi adempimenti per la protezione dei dati personali richiesti dalla normativa nazionale e dell'Unione Europea;
10) eseguire auditing periodici su informative, consensi, nomine di Responsabili del trattamento esterno ex art. 28 GDPR.

Per agevolare l'operato del DPO, ai sensi dell'art. 38 del Regolamento UE - GDPR - il Titolare del trattamento e il Responsabile del trattamento devono ottemperare alle seguenti disposizioni:
a) si assicurano che il DPO - Responsabile della protezione dei dati - sia tempestivamente e adeguatamente coinvolto in tutte le questioni riguardanti la protezione dei dati personali.
b) sostengono il DPO - Responsabile della protezione dei dati - nell’esecuzione dei compiti di cui all’articolo 39 del GDPR, fornendogli le risorse necessarie per assolvere tali compiti e accedere ai dati personali e ai trattamenti e per mantenere la propria conoscenza specialistica.

Dal 2018 numerosi enti hanno aderito al servizio DPO fornito da Actainfo per cui queste sono le Referenze maturate nel settore della Privacy.

Contattaci per avere maggiori informazioni sulla nomina del DPO.

 Storyboard di un DPO in gamba.

DPO in gamba 1 Strip 2019 12 26 22 14 07

 

 formazione online