Blog

dpo.png

Chi è il DPO? Ce lo spiega il WP29

Sul web, negli ultimi tempi, non si fa altro che parlare del GDPR (General Data Protection Regulation), la nuova norma per la protezione dei dati che è stata approvata nell’aprile dell’anno scorso e dovrà necessariamente essere rispettata e messa in atto da tutte le aziende che hanno sede in Unione Europea, entro il 25 maggio 2018.

Il nuovo regolamento, mirerà a proteggere i dati personali. Cosa sono?

Essi possono essere un semplice nome, una foto, un numero di documento di identità, un sito web fino ad arrivare alle coordinate bancarie.

Insieme alla ventata di novità e di regole che porta il GDPR, si distinguono certamente alcuni elementi che non erano precedentemente previsti nella scorsa versione del regolamento.

Alcuni di questi sono:

  • l’obbligo di notifiche per violazioni dei dati: i titolari e i responsabili devono ora comunicare qualsiasi violazione alle Autorità di controllo, entro un arco previsto di 72 ore;
  • necessità di consenso esplicito: non basta più l’approvazione generale al trattamento dei dati. C’è bisogno di un consenso chiaro ed esplicito che autorizzi al trattamento dei dati. Di conseguenza, soltanto un modulo di approvazione può rappresentare un mezzo adeguato e può essere ritirato in qualunque momento;
  • trasferimento dei dati al di fuori dell’UE: i dati personali delle persone interessate non devono lasciare i confini dell’Unione Europea, a meno che non si è in possesso dell’adeguata approvazione da parte dell’interessato;
  • nomina di un responsabile della protezione dei dati: vi è il bisogno di una persona incaricata che farà da tramite con le Autorità di controllo, in caso di violazione dei dati;
  • sanzioni e costi della non conformità: le aziende e le organizzazioni che ogni giorno entrano a contatto con dati altamente sensibili, devono mettersi necessariamente a norma, per evitare di essere soggette a sanzioni oltre i 20 milioni di euro o fino al 4% del fatturato internazionale.

Queste sono solo alcune delle novità che il GDPR porterà in Europa.

C’è da dire, però, che con l’avvento di questo nuovo regolamento, ad emergere è la figura del DPO, ovvero il Data Protection Officer. Chi è?

Ne abbiamo parlato in uno dei punti precedenti: questa figura non è altro che un professionista con conoscenze specifiche della normativa e delle prassi in materia di protezione dei dati. Viene, solitamente, incaricato sistematicamente dal titolare e dal responsabile del trattamento e può essere chiamato in causa in tre situazioni: quando il trattamento è effettuato da un’autorità pubblica, quanto i trattamenti consistono e richiedono il monitoraggio regolare e sistematico su larga scala e, infine, quando il trattamento riguarda dati sensibili relativi a condanne penali o reati commessi dall’interessato.

Il processo di selezione che mira a designare un Data Protection Officer si sviluppa tenendo conto delle sue capacità e delle qualità professionali riguardanti la protezione dei dati. Inoltre, i dati del DPO devono essere prontamente resi noti alla persona che affida i dati e alle altre Autorità di controllo. Le mansioni del DPO vanno sostanzialmente dall’informare e fornire consulenza al responsabile dei dati in merito alle disposizioni legislative riguardanti i dati, fino a collaborare con le autorità di controllo facendo da “tramite” tra queste e il responsabile. E’ ovvio che l’introduzione della figura del DPO non è soltanto un passaggio di responsabilità, ma un grande passo avanti in fatto di tutela ed organizzazione, dal momento che quella persona deve occuparsi solo ed esclusivamente della massima protezione dei dati.

Come abbiamo suggerito nel titolo, a darci tutte queste informazioni è proprio il WP29, ovvero l’articolo 29 per la protezione dei dati (Article 29 Data Protection Working Party). Il WP29 mira ad introdurre un nuovo sistema di governance dei dati che si baserà su una serie di linee guida che vedremo nel prossimo articolo.

 



Pubblicato da Nicoletta Macallé in data 12/07/2017