Tra le novità previste dal GDPR, entrato in vigore a tutti gli effetti dal 25 maggio 2018, è prevista la nuova figura del Data Protection Officer (DPO) il cui scopo è fornire il supporto necessario al Titolare o al Responsabile del trattamento per l’applicazione e l’osservanza del Regolamento stesso.
Ci sono alcuni aspetti fondamentali da tenere in considerazione riguardo alla nomina del DPO:
- E’ obbligatorio per tutte le PA, mentre per le aziende solo in alcuni casi, non legati alla dimensione dell’azienda bensì alla tipologia dei trattamenti posti in essere (larga scala).
- Non può agire in conflitto di interessi (es. non può essere il Titolare del trattamento)
- Deve essere una figura di provata esperienza in materia
- Non è un ruolo operativo, bensì apicale e di governo, nell’organigramma si posiziona al livello della direzione e da questa deve avere risposte, appoggio, riscontro e budget.
- Può essere acquisito come servizio in outsourcing oppure nominato internamente nel rispetto dei requisiti precedenti.
- Il servizio DPO non deve essere confuso con quello del Privacy Officer o consulente privacy. La competenza necessaria può essere la medesima, ma sono due funzioni distinte che non possono coincidere nella stessa persona sulla stessa azienda (conflitto di interessi).
Privacy Pro Consulting Group, in possesso di comprovata preparazione in materia giuridica, informatica, di risk management, di analisi dei processi, formazione, mette a disposizione delle organizzazioni pubbliche e private il proprio servizio di DPO che, ai sensi dell’art. 37 par. 6 del Regolamento Europeo n. 679/2016, può essere assolto in base a un regolare contratto di servizi.
Tra i compiti principali che possiamo ricondurre al ruolo di DPO troviamo:
- Formazione ed informazione ai soggetti coinvolti
- Consulenza ed assistenza alla direzione
- Organizzazione e valutazione dei processi
- Funzioni cooperative con l’autorità di controllo
- Monitoraggio del trattamento
- Gestione di reclami e segnalazioni
- Parere sulla Data Protection Impact Assessment – DPIA
- Attività di prevenzione