Progetto Privacy può assumere l'incarico di Responsabile della Protezione dei Dati (RPD) o Data Protection Officer (DPO), per aziende ed enti pubblici.
Il responsabile della protezione dei dati è una persona esperta nella protezione dei dati, il cui compito è valutare e organizzare la gestione del trattamento di dati personali, e dunque la loro protezione, all'interno di un'azienda, di un ente o di una associazione, affinché questi siano trattati in modo lecito e pertinente (Fonte: Wikipedia).
Il nostro approccio al ruolo di DPO aziendale è quello di persone che conoscono profondamente la realtà aziendale e le sue problematiche, non ultima quella di non avere tempo e risorse da dedicare a questo argomento che spesso viene visto come non centrale o non importante per il proprio business. Tuttavia, una non corretta gestione della privacy in azienda può portare a gravi conseguenze, quali il danno di immagine, cause di risarcimento e sanzioni da parte del Garante che possono arrivare nei casi più gravi fino al 4% del fatturato aziendale o del gruppo.
L’articolo 37 del Regolamento Europeo stabilisce che il DPO deve obbligatoriamente essere nominato in tre ipotesi specifiche:
- il trattamento è effettuato da un’autorità pubblica o da un organismo pubblico;
- le attività principali del Titolare consistono in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala;
- le attività principali del Titolare del trattamento consistono nel trattamento, su larga scala, di categorie particolari di dati personali di cui all’articolo 9 (dati sensibili) o di dati relativi a condanne penali e a reati di cui all’articolo 10.
Tutte le pubbliche amministrazioni sono quindi obbligate a designare un responsabile della protezione dei dati personali.
L'obbligo riguarda anche tutti i soggetti privati la cui attività principale consiste in trattamenti che, per la loro natura, il loro oggetto o le loro finalità, richiedono il controllo regolare e sistematico degli interessati su larga scala o consiste nel trattamento su larga scala di dati personali particolari (ex dati sensibili e giudiziari).
Un titolare o un responsabile del trattamento possono comunque designare un Dpo anche se non rientrano in questi casi: la presenza di questa figura professionale al proprio interno consente di delegare a un ente esterno gli audit e i controlli periodici sulla privacy, essendo quindi certi di non incorrere in inconvenienti. Il DPO potrà parlare a vostro nome con dipendenti, clienti e fornitori e potrà essere interpellato da tutti gli interessati qualora ci fossero informazioni da fornire o dubbi da chiarire riguardo al trattamento dei dati personali effettuato dall'azienda.
La figura del responsabile richiede una approfondita conoscenza della normativa privacy, piena indipendenza e assenza di conflitti d'interesse nello svolgimento del compito di controllo e vigilanza: queste le caratteristiche del Dpo che dovrà essere nominato dal titolare o dal responsabile del trattamento e operare alle sue dipendenze oppure sulla base di un contratto di servizio.
I compiti del Responsabile della Protezione dei Dati sono i seguenti:
• informare e consigliare il titolare o responsabile del trattamento sugli obblighi derivanti dal regolamento Ue e conservare la documentazione di questa attività e le risposte ricevute;
• vigilare su attuazione e applicazione delle politiche del titolare o del responsabile del trattamento in materia di protezione dei dati personali, compresi attribuzione delle responsabilità, formazione del personale che partecipa ai trattamenti e audit connessi;
• verificare: l'attuazione e l'applicazione del Regolamento Ue, con particolare riguardo ai requisiti della protezione della privacy fin dalla sua progettazione (privacy by design); la protezione di default di dati e sistemi (privacy by default); la sicurezza dei dati; il riscontro alle richieste degli interessati di esercitare i diritti riconosciuti dal Regolamento;
• garantire la conservazione della documentazione relativa ai trattamenti effettuati dal titolare;
• controllare che le violazioni dei dati personali siano documentate, notificate e comunicate;
• controllare che titolare o responsabile del trattamento effettui la valutazione d'impatto sulla protezione dei dati e richieda l'autorizzazione o la consultazione preventiva nei casi previsti;
• essere un punto di contatto per il Garante privacy oppure consultarlo di propria iniziativa;
• controllare che le richieste del Garante siano osservate e cooperare di propria iniziativa o su richiesta dell'Autorità.
Poiché la professione del Responsabile della protezione dei dati non è regolamentata, non è obbligatoriamente soggetta a esami, certificazioni, né all'iscrizione ad albi professionali. Si rientra quindi nell'ambito di applicazione della Legge 4/2013 sulle professioni non organizzate in ordini e collegi.
In Italia, sono presenti tre associazioni che rappresentano i responsabili della protezione dei dati (data protection officer) iscritte nell'elenco delle associazioni di natura privatistica che rilasciano l'attestato di qualità del Ministero dello Sviluppo Economico: Federprivacy, ASSO DPO e Uniquality.
I consulenti di Progetto Privacy, soci di Federprivacy e ASSO DPO e in possesso della Certificazione TUV Privacy Officer-Consulente della Privacy, svolgono attualmente l'incarico di RPD/DPO per importanti aziende e per enti pubblici.
