La Privacy in Azienda con il DPO

Nell'attuale organigramma privacy di aziende e pubblica amministrazione il DPO è una figura fondamentale e in alcuni casi, ben specificati nell’articolo 37 del Regolamento, dovrà essere nominato obbligatoriamente dal Titolare del trattamento o dal Responsabile privacy. 

Il Regolamento Europeo per la Protezione dei dati personali in azienda attribuisce al DPO il ruolo di attore chiave nel sistema di governance dei dati personali all’interno delle organizzazioni pubbliche e private. Infatti il DPO (articoli 37-39) deve:

• Promuovere la cultura della protezione dei dati all’interno di qualsiasi organizzazione pubblica e privata (Leggi anche questo articolo sulla formazione).
• Aiutare il titolare del trattamento a implementare elementi essenziali della normativa privacy.
• Monitorare la conformità dell’organizzazione interna alla nuova normativa.
  
  

Come Avviene la Nomina del DPO 

Secondo il Regolamento (art. 37) il DPO deve essere scelto e nominato sulla base delle qualità professionali (conoscenza approfondita del regolamento europeo per la protezione dei dati e delle normative nazionali specifiche). 

La designazione, oltre a facilitare la conformità di un trattamento dei dati al regolamento, costituisce un vantaggio competitivo per le imprese. Infatti, in caso di violazione contestata, il DPO agisce come intermediario ad esempio con l’autorità di vigilanza, la persone interessata, o le unità all’interno di un’organizzazione.

Il ruolo di DPO può essere svolto sia da dipendenti (che non siano in conflitto di interessi) del titolare dei dati, sia da un consulente esterno. In quest’ultimo caso dovrà essere predisposto uno specifico contratto di servizio in cui specificare:

• Chi sono i soggetti che esercitano le funzioni di DPO, prestando attenzione che non sussistano conflitti d’interesse.
• Chi è il responsabile del contratto e qual è la ripartizione dei compiti all’interno del team DPO.
• I dati di contatto del DPO ed i mezzi che consentano alle persone e all’Autorità di vigilanza di comunicare con il DPO (indirizzo, numero telefonico, e-mail).
• Qual è il livello di servizio (SLA) con indicazioni di modalità, tempi e priorità di esecuzione delle funzioni DPO; serve quindi un piano di lavoro.
• La responsabilità civile del DPO, considerando che in caso di mancato rispetto della normativa, gli unici responsabili verso i terzi sono esclusivamente il titolare dei dati o il responsabile privacy.

Il DPO deve lavorare in autonomia e va coinvolto in maniera corretta e tempestiva in tutti i problemi che riguardano la protezione dei dati personali raccolti. Si dovrà, quindi, delineare un approccio progettuale stabilendo all’interno della governance aziendale delle procedure standard. 

Di conseguenza il DPO dovrà ad esempio:

• Partecipare alle riunioni dei dirigenti.
• Ricevere, in modo tempestivo e trasparente, tutte le informazioni pertinenti alla protezione dei dati.
• Essere consultato in caso di violazione dei dati.

In caso di disaccordo rispetto al parere del DPO su una questione legata al trattamento dati, il titolare dovrà documentare e motivare le ragioni per non seguire le prescrizioni.

Cosa Fare Subito

Nomina e funzioni del DPO sono soltanto 2 dei tanti aspetti trattati dal nuovo Regolamento Europeo in vigore.

I titolari devono valutare se il trattamento dei dati da loro effettuato rientri in una delle fattispecie elencate nell’articolo 37 e, conseguentemente, siano tenuti o meno a nominare il DPO.

In ogni caso, a prescindere dagli obblighi di legge, è consigliabile nominare un DPO al fine di avere un supporto professionale per rendere il trattamento dei dati personali compliance con i nuovi adempimenti introdotti dal Regolamento Europeo sulla privacy. 

Come primo passo nella giusta direzione, scarica gratuitamente la checklist della compliance GDPR pensata per i titolari del trattamento.