Responsabile Protezione Dati

Non se ne parla se non tra gli addetti ai lavori, ma è prossima la scadenza del 28 Maggio 2018 per adeguarsi a quanto disposto dal Regolamento (UE) 2016/679 che, oltre ad un approccio nuovo in materia dei trattamenti dei dati personali, prevede l’introduzione obbligatoria, e sottolineo obbligatoria, di una figura  fino ad ora sconosciuta dal nostro ordinamento giuridico : parliamo del DPO, acronimo di Data Protection Officer o per meglio capirci il Responsabile della Protezione dei Dati.

Per indicare quali sono i soggetti che devono obbligatoriamente sottostare all’obbligo sopra descritto, si riporto di seguito un elenco, non completo ed esaustivo, perché frutto di una interpretazione della norma europea e di  una comparazione della stessa con il Gruppo di Lavoro Europeo, costituito ex. Art 29 dello stesso Regolamento.

L’obbligo riguarda, oltre gli Enti Pubblici, ma non tutti e i seguenti settori privati :

  •       Istituzioni finanziarie ed istituti di credito
  •       Società di recupero crediti
  •       Istituzioni e compagnie assicurative
  •       Aziende sanitarie private, cliniche, poliambulatori, laboratori di analisi cliniche e diagnostiche, altri istituti sanitari
  •       Società di servizi/consulenza
  •       Centri di elaborazione dati ed internet provider
  •       Società di somministrazione di pubbliche utilità
  •       Società di trasporti
  •       Agenzie di viaggio, alberghi e strutture ricettive in genere
  •       Scuole ed Università
  •       Società commerciali ed industriali trattino su larga scala una grande mole di dati personali ( chi si occupa di telecomunicazioni, i fornitori di app, chi offre programmi fedeltà, chi effettua il marketing comportamentale e in genere chi effettua su larga scala attività di profilazione su internet)
  • Le funzioni del DPO: deve garantire
    1. la riservatezza, l’integrità e la disponibilità dei dati personali relativi ai trattamenti dei dati personali dell’organizzazione.
    2. ridurre i rischi: dovrà individuare le soluzioni tecnologiche ed organizzative migliori presenti sul mercato ( es. criptazione o pseudonimizzazione ).
  • Il DPO ha anche altre funzioni :
  1. a) controllare la costante osservazione del Regolamento Europeo così come di tutte le altre normative in materia di tutela della privacy;
  2. b) informare il titolare, il responsabile del trattamento dei dati personali ed il personale degli obblighi loro ascritti dal Regolamento UE;
  3. c) essere il punto di contatto e collaborare con l’Autorità Garante per la protezione dei dati;
  4. d) controllare che le violazioni dei dati personali siano documentate, notificate e comunicate.

Tale figura potrà essere scelta all’interno dell’azienda oppure individuata esternamente mediante un contratto di fornitura di servizi.

Le sanzioni amministrative, eventualmente comminiate, saranno anche di carattere pecuniario e di importi molto significativi. Si parte da un minimo del 2% del fatturato mondiale totale annuo dell’esercizio precedente fino ad un 4% dello stesso fatturato.

L’auspicio che sottintende la creazione di questa nuova figura è che il DPO abbia un ruolo cruciale per garantire e portare, nell’organizzazione aziendale, la cultura della protezione dei dati personali. Ciò vale ancor di più per le PMI, meno organizzate e complesse delle grandi aziende, che possono considerare il problema della tutela dei dati come un aspetto marginale e burocratico rispetto al business aziendale. La nomina di un DPO rappresenta per l’imprenditore lungimirante una occasione per la costituzione di un vantaggio competitivo nel futuro prossimo dell’azienda.

Fonte: www.impresa-news.it

 

CHI DEVE NOMINARLO. Sono tenuti a nominare l’Rpd, a titolo esemplificativo: istituti di credito; imprese assicurative; sistemi di informazione creditizia; società finanziarie; società di informazioni commerciali; società di revisione contabile; società di recupero crediti; istituti di vigilanza; partiti e movimenti politici; sindacati; caf e patronati; società operanti nel settore delle «utilities» (telecomunicazioni, distribuzione di energia elettrica o gas); imprese di somministrazione di lavoro e ricerca del personale; società operanti nel settore della cura della salute, della prevenzione/diagnostica sanitaria quali ospedali privati, terme, laboratori di analisi mediche e centri di riabilitazione; società di call center; società che forniscono servizi informatici; società che erogano servizi televisivi a pagamento.

CHI NON DEVE NOMINARLO. Non è obbligatoria la nomina del Rpd in relazione a trattamenti effettuati da liberi professionisti operanti in forma individuale; agenti, rappresentanti e mediatori operanti non su larga scala; imprese individuali o familiari; piccole e medie imprese, con riferimento ai trattamenti dei dati personali connessi alla gestione corrente dei rapporti con fornitori e dipendenti. La nomina anche in questi casi viene, però, raccomandata, per dimostrare di essersi responsabilizzati.

CHI NOMINARE. Il problema, che vivono le aziende, è chi nominare Rpd. Sulla carta può essere un soggetto esterno (anche una persona giuridica), ma anche un soggetto interno. Ma se è un dipendente, attenzione al conflitto di interesse. L’Rpd non può essere contemporaneamente sorvegliante e sorvegliato. Dunque meglio evitare di assegnare il ruolo di Rpd a soggetti con incarichi di alta direzione: amministratore delegato; membro del consiglio di amministrazione; direttore generale ecc.); meglio evitare di sceglierlo nell’ambito di strutture aventi potere decisionale sulle finalità e alle modalità del trattamento (direzione risorse umane, direzione marketing, direzione finanziaria, responsabile It ecc.). Timida apertura del Garante va segnalata per l’assegnazione di tale incarico ai responsabili delle funzioni di staff, come ad esempio, il responsabile della funzione legale: ma è sempre da valutare l’assenza di conflitti di interesse in base al contesto di riferimento. Anche le funzioni di staff possono, in quanto chiamati a cooperare con le strutture decisionali, risultare coinvolti in decisioni su finalità e mezzi. Attenzione, dunque, a decisioni non ponderate, vista l’esposizione a sanzione amministrativa pecuniaria per cattiva scelta del Rpd.

DATI AL GARANTE. I dati di contatto del responsabile designato devono essere resi pubblici. È una buona prassi, ma non è obbligatorio, pubblicare anche il nominativo dell’Rpd: spetta all’azienda e allo stesso responsabile della protezione dei dati, valutare se sia un’informazione utile o necessaria. Il nominativo dell’Rpd e i relativi dati di contatto vanno invece comunicati al Garante della privacy, utilizzando un modello disponibile sul sito dell’autorità di controllo.

NOMINA UFFICIALE. L’Rpd interno deve essere nominato con uno specifico atto scritto di designazione, mentre con l’esterno si deve sottoscrivere un contratto di servizi.

REQUISITI. Il Garante richiama i requisiti previsti dal Regolamento Ue, i quali non sciolgono un’ambiguità di fondo: a stare aderenti alla norma l’Rpd è un tuttologo «legale-informatico-organizzativo-esperto di audit». Su questa scia, il profilo disegnato da una norma tecnica Uni riflette e amplifica le criticità della definizione dell’Rpd nel regolamento Ue. Il rischio è che di Rpd così non se ne trovi nemmeno uno. Il Garante, conscio della situazione, da un lato richiama all’alta professionalità, ma dall’altro ricorda che all’Rpd non sono richieste specifiche attestazioni formali o l’iscrizione in appositi albi.

www.italiaoggi.it