DGP Servizi
English
Francaise
Arab
PRIVACY & DATA PROTECTION

Consulenza certificata, formazione, DPO

DPO - incarico esterno

Il Data Protection Officer (DPO), in italiano il Responsabile della Protezione dei Dati (RPD), è una nuova figura professionale che va ad inserirsi nel panorama dei consulenti aziendali sempre più proiettati ad una totale compliance in materia di sicurezza nelle aziende.


Il DPO (Data Protection Officer) sarà quindi un manager che obbligatoriamente dovrà avere approfondite conoscenze sia in campo normativo sia in materia di sicurezza informatica.


I nostro DPO sono certificati UNICERT DAAKS (DE) e ACS ACCREDIA (IT)

REQUISITI DEL DPO

I requisiti del DPO, Responsabile della protezione dei dati personali, nominato dal titolare del trattamento o dal responsabile del trattamento, dovranno essere:

  1. possedere un'adeguata conoscenza della normativa e delle prassi di gestione dei dati personali;
     
  2. adempiere alle sue funzioni in piena indipendenza ed in assenza di conflitti di interesse;
     
  3. operare alle dipendenze del titolare o del responsabile oppure sulla base di un contratto di servizio.

 

Il titolare o il responsabile del trattamento dovranno mettere a disposizione del Responsabile della protezione dei dati personali le risorse umane e finanziarie necessarie all’adempimento dei suoi compiti.

COMPITI DEL DPO

  • Informare il titolare e gli incaricati, circa gli obblighi derivanti dai dati trattati;
     
  • Monitorare l’implementazione ed applicazione delle politiche adottate dal titolare in materia di protezione dei dati, assegnazione delle responsabilità, formazione delle risorse umane (in materia di protezione dei dati) ed in materia di verifiche derivanti da quanto sopra;
     
  • Assicurare che la “documentazione” di cui ai precedenti punti (l’equivalente del nostro DPS) sia redatta ed efficacemente aggiornata. Vengono riconosciuti importanti principi come l'accountability, ovvero un obbligo del rendiconto delle attività che incidono sulla protezione dei dati personali ma in un'ottica proattiva, per esempio il considerando n. 74 asserisce che "il titolare del trattamento dovrebbe essere tenuto a mettere in atto misure adeguate ed efficaci ed essere in grado di dimostrare la conformità delle attività di trattamento con il presente regolamento, compresa l'efficacia delle misure", inoltre, è previsto che "Per dimostrare che si conforma al presente regolamento, il titolare del trattamento o il responsabile del trattamento dovrebbe tenere un registro delle attività di trattamento effettuate sotto la sua responsabilità" (considerando n. 82 e art. 30). In questo contesto viene quindi previsto un obbligo di tenere un registro delle attività del trattamento dei dati personali, adempimento solo per alcuni limitati profili simile al Documento Programmatico per la Sicurezza (c.d. D.P.S.) previsto fino al 2012 nel Codice della Privacy (disposizioni abrogate all'art. 34 lett. g e punto 19 dell'Allegato B del Codice della Privacy).
     
  • Monitorare che accessi illeciti ai dati siano notificati (ricordiamo che le violazioni di dati personali o data breach devono essere notificate dal controller, senza ritardo, alle autorità competenti ), nel rispetto della norma, all’autorità Garante. Il Garante per la protezione dei dati personali ha adottato una serie di provvedimenti che fissano per amministrazioni pubbliche e aziende l’obbligo di comunicazione nei casi in cui a seguito di attacchi informatici, accessi abusivi, incidenti o eventi avversi, come incendi o altre calamità si dovesse verificare la perdita, la distruzione o la diffusione indebita di dati personali conservati, trasmessi o comunque trattati. In riferimento agli incidenti informatici, la procedura di garanzia degli interessati (contraenti) coinvolti nella violazione dei dati personali (c.d. Data Breach Notification) non sarà più solo limitata ai soli fornitori di servizi di comunicazioni elettroniche, ma avrà una portata estesa che potrà riguardare sia i diversi operatori dalla sanità che tutti gli operatori di internet e altri.
     
  • Monitorare l’efficacia, l’adeguatezza e l’applicazione del DPIA (Data protection impact assessment ovvero l’obbligo di effettuare una valutazione d'impatto sulla protezione dei dati personali) nonché la sistematica autorizzazione e consultazione del titolare al trattamento verso il DPO prima di adottare una decisione che coinvolga il trattamento dati e la privacy;
     
  • Rispondere e cooperare con le richieste dell’autorità Garante per la Privacy;
     
  • Agire come punto di contatto per le questioni, sollevate dal Garante, correlate ai trattamenti svolti in azienda.
COME SCEGLIERE UN DPO

  • Il DPO deve avere esperienza e competenze professionali nella protezione dei dati e una profonda conoscenza del regolamento sulla protezione dei dati.
     
  • Il livello richiesto di competenza non è strettamente definito, ma deve essere commisurato con la sensibilità e la quantità di dati organizzativi da processare.  
     
  • Il DPO ha bisogno di essere abile nello sviluppare e implementare le pratiche di protezione dei dati in ambiti che richiedono un'ottima gestione del cambiamento.
     
  • Un DPO riferisce alla direzione, ma deve lavorare in modo indipendente. Egli deve essere coinvolto in tutte le aree di protezione dei dati all'interno dell'organizzazione in cui lavora, e deve essere informato di tutti i problemi di elaborazione dei dati e protezione degli stessi in modo tempestivo.
     
  • Il DPO è, ovviamente, la persona che dirige e supervisiona tutte le attività di protezione dei dati all'interno di una società. Egli elabora le politiche e le procedure che portano l'organizzazione ad agire in conformità con il regolamento, controlla l'attuazione di tali politiche, assicura che tutto il personale sia pienamente consapevole per quanto riguarda i dati che si proteggono, assegna le responsabilità e gestisce le richieste degli utenti in materia dei dati personali.
     
  • Il DPO ed è il punto di contatto principale per le autorità di vigilanza. Il DPO è anche responsabile per il monitoraggio, la notifica e la comunicazione delle eventuali violazioni dei dati personali (come indicato negli articoli 31 e 32), oltre ad offrire la documentazione pubblica e rispondere allle richieste dei regolatori per quanto riguarda la sottrazione, la distruzione e l'accessibilità dei dati.
TI PUO' INTERESSARE
> Scopri tutti i corsi
NEWS CORRELATE
> Scopri tutte le news