Che cos’è il data protection officer (DPO) e quali sono i suoi compiti.
Il responsabile della protezione dei dati personali (anche conosciuto come data protection officer – DPO) è una figura prevista dall’art. 37 del Regolamento (UE) 2016/679. Si tratta di un soggetto designato dal titolare o dal responsabile del trattamento per assolvere a funzioni di supporto, controllo, consultazione, formazione e informazione relativamente all’applicazione del Regolamento in materia di privacy.

Che requisiti deve possedere il responsabile della protezione dei dati personali.
Il responsabile della protezione dei dati personali deve possedere un’approfondita conoscenza della normativa e delle prassi in materia di privacy. Offre la consulenza necessaria per progettare, verificare e mantenere un sistema organizzato di gestione dei dati personali, supportando il titolare nell’adozione delle misure di sicurezza. Agisce in piena indipendenza e autonomia, senza ricevere istruzioni e riferendo direttamente ai vertici aziendali. Dispone di risorse (personale, locali, attrezzature, ecc.) necessarie per l’espletamento dei propri compiti.

Chi sono i soggetti obbligati alla designazione del DPO.
La designazione del DPO è obbligatoria per i soggetti che:

• svolgono trattamenti che richiedono il monitoraggio regolare e sistematico degli interessati su larga scala;
• svolgono trattamenti su larga scala di categorie particolari di dati personali;
• gestiscono in larga scala dati relativi a condanne penali e a reati.;

A titolo esemplificativo e non esaustivo, sono tenuti alla nomina:

• Istituti di credito;
• Imprese assicurative;
• Sistemi di informazione creditizia;
• Società finanziarie;
• Società di informazioni commerciali;
• Società di revisione contabile;
• Società di recupero crediti;
• Istituti di vigilanza;
• Partiti e movimenti politici;
• Sindacati;
• CAF e patronati;
• Società operanti nel settore delle “utilities” (telecomunicazioni, distribuzione di energia elettrica o gas);
• Imprese di somministrazione di lavoro e ricerca del personale;
• Società operanti nel settore della cura della salute, della prevenzione/diagnostica sanitaria quali ospedali privati, terme, laboratori di analisi mediche e centri di riabilitazione;
• Società di call center; società che forniscono servizi informatici;
• Società che erogano servizi televisivi a pagamento.

Il DPO deve essere un soggetto interno o può essere anche un soggetto esterno?
Il ruolo di responsabile della protezione dei dati personali (RPD) può essere ricoperto da un dipendente del titolare o del responsabile (in assenza di conflitto di interessi) che conosca la realtà operativa in cui avvengono i trattamenti.
L’incarico può essere anche affidato a soggetti esterni, a condizione che garantiscano l’effettivo assolvimento dei compiti che il Regolamento (UE) 2016/679 assegna a tale figura.
Il nominativo del responsabile della protezione dei dati e i relativi dati di contatto vanno comunicati all’Autorità di controllo.

I nostri servizi come DPO.
Oltre ai servizi di consulenza privacy (vedi sezione “ADEGUAMENTO AL GDPR E MONITORAGGIO DEL SISTEMA DI GESTIONE PRIVACY”), la nostra azienda assumendo il mandato di DPO, assolverà i seguenti compiti:

• Informare e fornire consulenza sugli obblighi imposti dal regolamento 2016/679 al Titolare del trattamento o al Responsabile del trattamento;
• Sorvegliare la corretta applicazione del Regolamento;
• Fornire, se richiesto, un parere in merito alla valutazione d’impatto sulla protezione dei dati;
• Cooperare e fungere da punto di contatto con l’autorità di controllo

Le variabili che incidono sullo svolgimento dei nostri servizi sono le seguenti:

• Quantità di trattamenti eseguiti dall’organizzazione e numero di sedi dell’azienda;
• Presenza di processi di profilazione e processi automatizzati;
• Tipologia e quantità di dati trattati (ad esempio identificativi o sensibili su larga scala).

Per ogni altra ulteriore informazione è possibile consultare il sito del Garante Privacy https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/8036793
In caso di mancato rispetto degli obblighi in materia di Privacy, il Regolamento Europeo (GDPR) prevede Sanzioni Amministrative Pecuniarie fino a 20.000.000,00 € o fino al 4% del fatturato.