Come è possibile implementare un idoneo Sistema Privacy? il ruolo del Data Protection Officer
Il Data Protection Officer (di seguito DPO) è una figura introdotta dal Regolamento generale sulla protezione dei dati 2016/679 | GDPR, pubblicato sulla Gazzetta Ufficiale europea L. 119 il 4 maggio 2016.
Il DPO è un professionista che deve avere un ruolo aziendale con competenze giuridiche, informatiche, di risk management e di analisi dei processi.
La sua responsabilità principale è quella di osservare, valutare e organizzare la gestione del trattamento di dati personali (e dunque la loro protezione) all’interno di un’azienda (sia essa pubblica che privata), affinché questi siano trattati nel rispetto delle normative privacy europee e nazionali.
Il Data Protection Officer fornisce tutta la consulenza necessaria per progettare, verificare e mantenere un sistema organizzato di gestione dei dati personali comprendente l’adozione di un complesso di idonee misure di sicurezza finalizzate alla tutela e alla salvaguardia del patrimonio basato sui dati e sulle informazioni che assicuri un elevato grado di sicurezza e riservatezza.
L'art. 39 del Regolamento europeo 2016/679 sulla protezione dei dati personali elenca i principali compiti del DPO (Responsabile della protezione dei dati):
-
informare e fornire consulenza al Titolare del trattamento o al Responsabile del trattamento nonché ai dipendenti che eseguono il trattamento in merito agli obblighi derivanti dal presente regolamento nonché da altre disposizioni dell'Unione o degli Stati membri relative alla protezione dei dati;
-
sorvegliare l'osservanza del presente regolamento, di altre disposizioni dell'Unione o degli Stati membri relative alla protezione dei dati nonché delle politiche del Titolare del trattamento o del Responsabile del trattamento in materia di protezione dei dati personali, compresi l'attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo;
-
fornire, se richiesto, un parere in merito alla valutazione d'impatto sulla protezione dei dati e sorvegliarne lo svolgimento ai sensi dell'articolo 35;
-
cooperare con l'autorità di controllo; e
-
fungere da punto di contatto per l'autorità di controllo per questioni connesse al trattamento, tra cui la consultazione preventiva di cui all'articolo 36, ed effettuare, se del caso, consultazioni relativamente a qualunque altra questione.
Nell'eseguire i propri compiti il responsabile della protezione dei dati considera debitamente i rischi inerenti al trattamento, tenuto conto della natura, dell'ambito di applicazione, del contesto e delle finalità del medesimo.
Come posso discriminare i Data Protection Officer esperti e competenti?
Le competenze dei Data Protection Officer sono certificati da enti indipendente di certificazione, come TÜV Italia; questi verificano il possesso dei requisiti di formazione (conoscenza) e di esperienza professionale specifica (abilità) richiesti dallo schema di certificazione;
Lo schema di certificazione del Privacy officer è stato sviluppato sulla base della norma di accreditamento UNI CEI EN ISO/IEC 17024:2012 con svolgimento di un esame di certificazione, composto da prove scritte ed orali sulle materie professionali.
