Nonostante il Regolamento Generale sulla Protezione dei Dati 2016/679, conosciuto come GDPR, sia entrato a regime da alcuni anni, ancora oggi, quando si parla di DPO c’è un po’ di confusione.
Cerchiamo di chiarire tutti gli aspetti relativi a questa figura mettendo in luce la sua importanza.
Chi è il DPO?
L’acronimo DPO sta per Data Protection Officer – Responsabile della protezione dei dati – ed è una figura introdotta dall’ormai conosciuta GDPR il 4 maggio 2016.
Il Data Protection Officer è un professionista che deve avere un ruolo aziendale, può essere un soggetto interno o esterno all’azienda, con competenze giuridiche, informatiche, di risk management e di analisi dei processi.
La sua responsabilità principale è quella di osservare, valutare, organizzare e, soprattutto, proteggere la gestione del trattamento di dati personali all’interno di un’azienda, affinché questi siano trattati nel rispetto delle normative privacy europee e nazionali.
Chi nomina il Data Protection Officer?
Il Regolamento generale sulla protezione dei dati si applica a tutti gli stati membri UE e disciplina l’istituzione della figura del DPO nei seguenti casi:
- il trattamento è effettuato da un’autorità pubblica o da un organismo pubblico, eccettuate le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali;
- le attività principali del Titolare del trattamento o del Responsabile del trattamento consistono in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala;
- le attività principali del Titolare del trattamento o del Responsabile del trattamento consistono nel trattamento, su larga scala, di categorie particolari di dati personali di cui all’articolo 9 (dati particolari e dati sensibili) o di dati relativi a condanne penali e a reati di cui all’articolo 10.
L’articolo 9 del Regolamento al comma 1 definisce quelli che sono le categorie particolari di dati personali (ex dati sensibili) ed in particolare i dati personali che: “rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, nonché trattare dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona“.
Quali sono gli incarichi del DPO?
Nell’art. 39 del Regolamento europeo sulla protezione dei dati personali si elencano i principali compiti del Responsabile della protezione dei dati:
- Il DPO è incaricato almeno dei seguenti compiti:
- informare e fornire consulenza al Titolare del trattamento o al Responsabile del trattamento nonché ai dipendenti che eseguono il trattamento in merito agli obblighi derivanti dal Regolamento Privacy UE 2016/679 (GDPR), nonché da altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati;
- sorvegliare l’osservanza del Regolamento Privacy UE 2016/679 (GDPR), di altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati nonché delle politiche del Titolare del trattamento o del Responsabile del trattamento in materia di protezione dei dati personali, compresi l’attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo;
- fornire, se richiesto, un parere in merito alla valutazione d’impatto sulla protezione dei dati e sorvegliarne lo svolgimento ai sensi dell’articolo 35;
- cooperare con l’autorità di controllo;
- fungere da punto di contatto per l’autorità di controllo per questioni connesse al trattamento, tra cui la consultazione preventiva di cui all’articolo 36, ed effettuare, se del caso, consultazioni relativamente a qualunque altra questione.
- Nell’eseguire i propri compiti il responsabile della protezione dei dati considera debitamente i rischi inerenti al trattamento, tenuto conto della natura, dell’ambito di applicazione, del contesto e delle finalità del medesimo.
Quali sono le multe per chi non designa il DPO?
Il GDPR ha previsto delle pesanti conseguenze sanzionatorie per coloro che, pur essendo tenuti a designare tale figura, non ottemperano a tale obbligo.
Ai sensi dell’articolo 83, comma 4, del Regolamento, infatti, l’omessa nomina del responsabile della protezione dati sarà punita con sanzioni amministrative pecuniarie fino a euro 10.000.000 o, per le imprese, fino al 2% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore.