Il nuovo regolamento UE sulla privacy: Il Data Protection Officer

Il regolamento generale sulla protezione dei dati (GDPR), che entrerà in vigore il 25 maggio 2018, introduce l'obbligo di nominare un Data Protection Officer (DPO). Il DPOdeve fungere da contatto per tutte le questioni relative alla protezione dei dati in azienda e deve essere coinvolto in tutte le questioni afferenti la protezione-dati. Può essere un dipendente dell'azienda (c.d. DPO interno) o un terzo esterno (c.d. DPO esterno). L'DPO è l’organo della società che funge da punto di contatto tra l'autorità di vigilanza, la società e le persone interessate.

Designazione

Sia i responsabili del trattamento che gli incaricati del trattamento possono essere obbligati a designare un DPO. Tale obbligo si applica i) agli enti pubblici (ad eccezione dei tribunali); ii) alle imprese, le cui principali attività consistono nel controllo regolare e sistematico degli interessati su vasta scala o nel trattamento esteso di particolari categorie di dati (quali l'origine razziale o etnica, la religione, la salute) o i dati relativi a condanne penali. Le compagnie di assicurazione, i fornitori di servizi medici, così come le società che utilizzano programmi fedeltà o sistemi di videosorveglianza, sono obbligati a designare un DPO. In caso di ampliamento dell’offerta di servizi, è sempre necessario valutare se sussista un eventuale obbligo di designazione dell’DPO. Conformemente alla clausola di flessibilità, gli Stati membri possono adottare regolamenti speciali in relazione alla designazione dell'DPO.

Un gruppo di società può nominare un DPO unico, a condizione che sia facilmente raggiungibile da qualsiasi filiale. Nella scelta del DPO, è necessario assicurarsi che non sorgano conflitti di interesse con le eventuali e ulteriori attività che lo stesso svolge all'interno dell'azienda. E’ il caso, ad esempio, del marketing manager.

Indipendenza e responsabilità

La designazione di un DPO non esonera l'impresa da responsabilità in caso di mancato rispetto del GDPR. In relazione allo svolgimento dei propri compiti, la Società non può istruire, discriminare o licenziare l'DPO. Tuttavia, l’ordinamento interno può prevedere la possibilità di richiedere il risarcimento dei danni, eventualmente subiti, direttamente al DPO. L'impresa sostiene l'DPO nell'adempimento dei suoi compiti e deve fornirgli informazioni sui processi di trattamento dei dati. L'DPO fa capo direttamente al più alto livello dirigenziale della società.

Qualifiche e compiti

L'DPO dispone di qualifiche, competenze ed esperienza professionali nel settore della normativa in materia di protezione dei dati. E’coadiuvato da altri settori dell'impresa - in particolare dal dipartimento informatico o legale - o, se necessario, da un gruppo di lavoro separato. Il DPO partecipa a tutte le questioni interne all’impresa collegate direttamente alla protezione dei dati. Il responsabile della protezione dei dati deve fornire informazioni sulle procedure di trattamento e formulare raccomandazioni per l'adozione di eventuali misure. In particolare, l'DPO fornisce informazioni sugli obblighi derivanti dal GDPR, dalle leggi nazionali sulla protezione dei dati e dalle politiche interne sulla privacy, ne controlla l'osservanza e collabora con l'autorità di controllo. In relazione all'esecuzione dei suoi compiti, l'DPO è tenuto alla riservatezza.

Doveri d'informazione

I dati di contatto dell'DPO (ma non necessariamente il suo nome) devono essere pubblicati sul sito web e su Intranet. Le coordinate del responsabile della protezione dei dati devono essere fornite all'autorità di controllo.

In caso di ulteriori domande, non esitate a contattare in qualsiasi momento i nostri colleghi nelle rispettive sedi.