GDPR per startup e PMI innovative: la nuova figura del Data Protection Officer (DPO)

15 Aprile 2018
|In News
|By Giuseppe Lorizzo
Condividi

Con la pubblicazione del Regolamento (UE) n. 679/2016 sulla protezione dei dati personali (il c.d. GDPR), gli enti pubblici e le aziende private le cui attività principali riguardano il trattamento, su larga scala, di informazioni sensibili o di dati relativi a condanne penali e reati e/o il trattamento richiedente il monitoraggio sistematico su larga scala dovranno obbligatoriamente avvalersi della nuova figura professionale del DPO (Responsabile della protezione dei dati personali). L’obbligo diventerà direttamente applicabile in tutti gli Stati Membri dell’UE a partire dal 25 maggio 2018 e riguarderà tutte le aziende a prescindere dalla loro maturità e grandezza. La disciplina si applica quindi anche alle startup.

Inoltre, è evidente che il GDPR impatterà in maniera profonda su startup e PMI innovative, maggiormente coinvolte nei processi di digital transformation e sempre più incentrate su tecnologie come cloud, big data, internet of things e mobile working.

Il ruolo del DPO

La figura del DPO può essere ricoperta da soggetti interni o esterni e ha un triplice ruolo:

  • essere un supervisore interno, in quanto dovrà dimostrare la conformità dei trattamenti;
  • rivestire il ruolo di comunicatore/facilitatore sia verso l’esterno che verso il vertice dell’organizzazione;
  • verificare e mantenere un sistema organizzato di gestione dei dati personali, grazie ad una conoscenza approfondita delle normative e delle prassi in materia di privacy e a specifiche competenze informatiche e giuridiche.

Il DPO può essere un dipendente del titolare o del responsabile del trattamento, a patto che non abbia conflitti d’interesse con le attività da svolgere. Si può optare anche per un soggetto esterno, persona fisica o persona giuridica.

Il “principio di responsabilizzazione”

Fra i nuovi adempimenti introdotti dal Regolamento UE merita di essere citato il c.d. “principio di responsabilizzazione”, in base al quale tutti i titolari ed i responsabili del trattamento dovranno adottare un metodo organizzativo in grado di garantire, in ogni fase del trattamento, la piena conformità al trattamento e raccogliere prove documentali per dimostrarla. È richiesta, quindi, una metodologia di conservazione dei dati che tenga conto della probabilità che si verifichi un qualunque evento che interferisca con la riservatezza, l’integrità e la disponibilità dei dati personali appartenenti all’organizzazione.

L’articolo 39 del Regolamento illustra quali sono i principali compiti del DPO:

  • raccogliere informazioni e valutare la conformità di queste con il Regolamento generale sulla protezione dei dati;
  • fungere da punto di contatto sia con il titolare/responsabile del trattamento sia con l’Autorità di controllo;
  • fornire pareri riguardo la valutazione della protezione dei dati.

Fra i soggetti privati obbligati a nominare la figura del DPO figurano:

  • Istituti di credito;
  • Imprese assicurative;
  • Sistemi di informazione creditizia;
  • Società finanziarie;
  • Società di informazioni commerciali;
  • Società di revisione contabile;
  • Società di recupero crediti;
  • Istituti di vigilanza;
  • Partiti e movimenti politici;
  • Sindacati;
  • Caf e patronati;
  • Società operanti nel settore delle “utilities” (telecomunicazioni, distribuzione di energia elettrica o gas);
  • Imprese di somministrazione di lavoro e ricerca del personale;
  • Società che erogano servizi televisivi a pagamento.
  • Società che forniscono servizi informatici;
  • Società di call center;
  • Società operanti nel settore della cura della salute.

Condividi