Il 25 maggio 2018 entra in vigore del nuovo GDPR Regolamento (UE) 2016/679 sulla privacy, con la conseguenza che la Pubblica Amministrazione e numerose aziende dovranno nominare un DPO. In vista di questo appuntamento il Garante della Privacy ha aggiunto sul proprio sito una scheda dedicata alla importante figura del DPO ovvero il responsabile della protezione dei dati nel Gdpr o Data Protection Officer. Al contempo il Garante ha altresì rilasciato un fac-simile e la procedura di comunicazione online dei dati del DPO.
Ricordiamo che il nuovo regolamento privacy 2018 o GDPR (General Data Protection Regulation) sarà direttamente applicabile in Italia e negli altri negli ordinamenti europei. Non vi è quindi la necessità di recepirlo in quanto si tratta di un regolamento appunto e non di una direttiva. Tuttavia il Consiglio dei ministri del 21 marzo 2018 ha adeguato la normativa nazionale vigente alle disposizioni del Regolamento europeo.
In questo periodo, vista la confusione che spesso accompagna questo genere di provvedimenti è bene sempre fare riferimento al Garante della Privacy, il quale puntualmente pubblica numerose guide e approfondimenti in materia.
Chi è il DPO
Uno dei primissimi adempimenti per la privacy è la designazione del responsabile della protezione dei dati personali (RPD) o Data Protection Officer (DPO). Questa figura professionale, può essere interna o esterna all’azienda ed ha quindi il delicato compito di “proteggere” i dati.
Il DPO in realtà non è una vera e propria novità. Si tratta di un ruolo già presente nelle aziende più grandi e nelle organizzazioni più complesse anche nel mercato italiano. A differenza del passato però, in cui il DPO era facoltativo, il nuovo regolamento privacy prevede espressamente i casi in cui diverrà obbligatorio, pensiamo ad esempio alla pubblica amministrazione e in alcune grandi imprese private.
Leggi anche: Responsabile della protezione dei dati RPD, faq e modello nomina
Chi è obbligato alla nomina del DPO
La norma prevede che siano tenuti ad avere il Data Protection Officer:
- gli Enti pubblici;
- le aziende private con trattamento dei dati e monitoraggio sistematico su larga scala di dati sensibili;
- le aziende private con trattamento dei dati e monitoraggio sistematico su larga scala di dati giudiziari.
Per molte aziende è comunque consigliabile la nomina di un Responsabile della Protezione dei dati, anche se non obbligati dalla legge.
Cosa fa il DPO
Il DPO dovrà avere competenze informatiche e giuridiche in quanto fra le sue sue responsabilità principali vi sono quelle di osservare, valutare e organizzare la gestione del trattamento di dati personali. Oltre al trattamento il DPO dovrà vigilare sulla protezione dei dati al fine di rispettare la normativa privacy europea.
Tra i compiti fondamentali del DPO troviamo:
- attività di consulenza e informazione al titolare o al responsabile del trattamento, nonché ai dipendenti che eseguono il trattamento dei dati;
- sorveglianza sull’osservanza delle norme;
- fornire, se richiesto, un parere in merito alla valutazione d’impatto sulla protezione dei dati e sorvegliarne lo svolgimento ai sensi dell’articolo 35.
Leggi anche: Nuove regole per la privacy: la guida al GDPR per i Consulenti del lavoro
Comunicazione obbligatoria del DPO o RPD
In base al Regolamento privacy (art. 37, paragrafo 7) i soggetti pubblici e privati obbligati devono comunicare al Garante Privacy il nominativo del DPO o Responsabile della Protezione dei dati, se designato.
Il Garante ha quindi comunicato che a breve sul sito www.garanteprivacy.it sarà è disponibile una procedura telematica per la comunicazione online del nominativo del DPO o RPD con utilizzo di firma digitale.
Per il momento il Garante ha altresì rilasciato un facsimile di nomina in formato .pdf che comunque non va utilizzato per la comunicazione al Garante. Lo stesso serve a tenere a portata di mano tutti i dati obbligatori all’adempimento prima di iniziare la compilazione online.
Comunicazione dei dati di contatto del RPD - Facsimile (1,1 MiB, 4.151 hits)
Comunicazione DPO online dal sito del Garante
Come anticipato sopra, è attiva sul sito del Garante della Privacy italiano la procedura di comunicazione DPO online. La procedura per la comunicazione del RPD che dir si voglia è raggiungibile online da questo link.
Come detto è utile stampare prima il fac-simile di comunicazione per conoscere in anticipo tutti i dati necessari che saranno richiesti durante la procedura di comunicazione telematica.