Previous Page  24 / 53 Next Page
Information
Show Menu
Previous Page 24 / 53 Next Page
Page Background

SPECIALE GDPR

&RPSHWHQ]H H UHTXLVLWL IRUPDWLYL XWLOL DO SUR¼OR GHO 'DWD 3URWHFWLRQ 2I¼FHU

E

ntro il prossimo mese di maggio, come dire domani,

aziende, enti, pubbliche amministrazioni e studi pro-

fessionali dovranno mettersi in regola con le nuove di-

sposizioni sulla privacy previste dal recente GDPR. Nel

nuovo regolamento sono delineati compiti, responsabilità

e strutture organizzative per le quali deve svolgere la sua

attività il DPO (Data Protection Officer), un ruolo che, si

comprende, è preferibile che sia svolto da un consulente,

persona fisica o giuridica, esterno all’organizzazione del

titolare/responsabile del trattamento dei dati, al fine di

garantire l’imparzialità della valutazione, nel contesto in

cui viene chiamato ad operare ed esprimere il proprio

parere. Il DPO che è chiamato a svolgere il suo ruolo

in piena indipendenza, deve però essere coinvolto nelle

decisioni del management dell’organizzazione da cui vie-

ne incaricato. Può anche essere un dipendente interno

all’azienda ma a condizione che possa garantire, nel suo

ruolo, di operare in assoluta assenza di conflitti di inte-

resse. Il DPO deve soddisfare tutti i requisiti definiti nel

GDPR. Per comprendere quali competenze sono richie-

ste a questa figura professionale, è necessario elencare

i compiti che dovrà eseguire:

1) assistere il titolare e/o il responsabile del trattamento

nelle attività di controllo interno;

2) attuare misure tecniche e organizzative che garanti-

scano e permettano di dimostrare che il trattamento

è effettuato in modo conforme al regolamento;

3) considerare i rischi relativi al trattamento, tenendo

conto della loro natura, dell’ambito applicativo, del

contesto e delle sue finalità.

Secondo l’art. 39 del GDPR, il DPO ha la responsabilità

di sorvegliare l’osservanza del regolamento, deve quindi

controllare la raccolta di informazioni per individuare i

trattamenti, analizzarne e verificarne la conformità e

svolgere attività di informazione, consulenza e indiriz-

zo nei confronti del titolare e/o del responsabile del

trattamento dei dati. Ma l’esecuzione di queste attività

non comporta che il DPO sia responsabile di eventuali

inosservanze, in quanto la responsabilità è e rimane del

titolare del trattamento.

ALLA RICERCA DEL DPO

Giuseppe Mastronardi

Presidente AICA

Docente di Data Security al Politecnico di Bari

Cosa deve fare il DPO

Il DPO assume, quindi, un ruolo rilevante nelle attività

di assistenza al titolare nell’esercizio delle sue funzioni

specifiche. In particolare, è sua la responsabilità di con-

durre, se lo ritiene necessario, la valutazione d’impat-

to sulla protezione dei dati mediante la redazione del

DPIA (Data Protection Impact Assessment), ovvero il

documento che attesta l’avvenuta verifica dell’impatto

dei sistemi di protezione dati impiegati nella struttura

al fine di garantire l’osservanza della privacy secondo il

GDPR, valutando l’efficacia di precauzioni e contromisure.

Se il titolare non concorda con le indicazioni fornite

dal DPO, è necessario che siano riportate nel DPIA le

motivazioni per le quali non si è voluto tenerne conto.

Il DPO deve quindi definire, in funzione del contesto,

le priorità nel garantire la protezione dei dati e presta-

re particolare attenzione alle attività che presentano i

rischi maggiori.

Deve inoltre cooperare con l’autorità di controllo (il

Garante per la protezione dei dati personali, più comu-

nemente detto Garante della Privacy), svolgendo il ruolo

di punto di contatto, in modo da facilitare l’accesso ai

documenti e alle informazioni necessarie per svolgere

i compiti di controllo che l’Autorità intende attivare.

La nomina del DPO diventa obbligatoria nei casi in cui

il trattamento dei dati personali sia effettuato:

- da una pubblica amministrazione o da un suo organismo;

- da società con più di 250 dipendenti;

- da aziende, le cui attività principali siano costituite da

sistematico e regolare monitoraggio delle persone

interessate, quindi, in funzione della popolazione di

riferimento, del volume dei dati oggetto del tratta-

mento o della loro diversa tipologia, della durata e

della portata geografica;

- da settori in cui l’attività principale del titolare implica

un trattamento su larga scala di dati sensibili, relativi a

salute, vita sessuale, dati genetici o informazioni giu-

diziarie.

54

dicembre 2017

prosegue a pagina 58