News

GDPR: la figura del DPO ed i suoi compiti
9 Apr 2018

GDPR, i soggetti obbligati alla designazione del DPO (Data Protection Officer)

//
Commenti0

Manca ormai poco più di un mese all’entrata in vigore del Regolamento UE 2016/679, meglio conosciuto come GDPR. Il 25 maggio, questa normativa comunitaria abrogherà e sostituirà gran parte dell’attuale normativa privacy italiana (il D.Lgs. 196/2003). Tra le più importanti novità del Regolamento, c’è sicuramente la figura del Data Protection Officer (DPO). Approfondiamone i compiti principali per capire chi sono i soggetti obbligati alla sua designazione.

Compiti del DPO, quali sono?

La figura del Responsabile della Protezione dei Dati è regolata nel GDPR agli artt. 37, 38 e 39. Il primo e più importante compito del DPO è quello di “informare e fornire consulenza al titolare del trattamento o al responsabile del trattamento nonché ai dipendenti che eseguono il trattamento in merito agli obblighi derivanti dal presente regolamento nonché da altre disposizioni dell’Unione o degli Stati Membri relative alla protezione dei dati” (Art. 39, c.1, lett. a).

In generale, la funzione del DPO consiste anche nel:

  • Sorvegliare l’osservanza del regolamento, valutando i rischi di ogni trattamento alla luce della natura, dell’ambito di applicazione, del contesto e delle finalità;
  • Collaborare con il titolare/responsabile, laddove necessario, nel condurre una valutazione di impatto sulla protezione dei dati (DPIA);
  • Cooperare con il Garante e fungere da punto di contatto per il Garante su ogni questione connessa al trattamento;
  • Supportare il titolare o il responsabile in ogni attività connessa al trattamento di dati personali, anche con riguardo alla tenuta di un registro delle attività di trattamento.

Chi è obbligato a designare il DPO?

Il GDPR non elenca chiaramente i soggetti obbligati alla designazione del DPO, tuttavia è possibile desumere chi essi siano partendo dall’analisi di quanto previsto dall’art. 37 del Regolamento, il quale recita che dovranno designare obbligatoriamente un Data Protection Officer:

  • Amministrazioni ed enti pubblici, fatta eccezione per le autorità giudiziarie;
  • Tutti i soggetti la cui attività principale consiste in trattamenti che, per la loro natura, il loro oggetto o le loro finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala;
  • Tutti i soggetti la cui attività principale consiste nel trattamento, su larga scala, di dati sensibili, relativi alla salute o alla vita sessuale, genetici, giudiziari e biometrici.

A partire da ciò, una lista esemplificativa e non esaustiva di attività soggette a questo obbligo di designazione, può essere la seguente:

  • Istituti di credito;
  • Imprese assicurative;
  • Sistemi di informazione creditizia;
  • Società finanziarie;
  • Società di informazioni commerciali;
  • Società di revisione contabile;
  • Società di recupero crediti;
  • Istituti di vigilanza;
  • Partiti e movimenti politici;
  • Sindacati;
  • CAF e patronati;
  • Società operanti ad esempio nel settore telecomunicazioni, distribuzione di energia elettrica o gas;
  • Imprese di somministrazione di lavoro e ricerca del personale;
  • Società operanti nel settore della cura della salute, della prevenzione/diagnostica sanitaria quali ospedali privati, terme, laboratori di analisi mediche e centri di riabilitazione;
  • Società di call center;
  • Società che forniscono servizi informatici;
  • Società che erogano servizi televisivi a pagamento.

In ogni caso, anche se non soggette all’obbligo di designazione, le imprese possono comunque decidere su base volontaria di usufruire di un Data Protection Officer.

Per quanto riguarda l’adeguamento aziendale al nuovo GDPR, S.G.I. Srl offre un servizio ad hoc per ogni tipologia di azienda basato su specifico audit preventivo e sulla predisposizione di tutta la parte documentale prevista dal Regolamento UE 2016/679. Per ulteriori informazioni, il nostro staff è a disposizione al n. 0363 351758 e all’indirizzo mail: info@sistemigestioneintegrata.eu

Rispondi