pexels-photo-5717556

L’introduzione del ruolo del DPO nel GDPR impone alle imprese una necessità nuova: l’introduzione di una figura di responsabilità per la gestione e protezione dei dati personali. Ne parliamo nell’articolo del giorno.

Tra le novità introdotte dal Regolamento Europeo 2016/679 (altrimenti noto come GDPR) rispetto alle precedenti normative privacy troviamo l’inserimento di una nuova figura all’interno dell’organizzazione aziendale: il DPO (Data Protection Officer) o Responsabile della Protezione Dati.

Nel corso dell’articolo approfondiremo il ruolo del responsabile della protezione dei dati, le sue funzioni e cosa stabilisce il regolamento in merito. Buona lettura!

DPO: obbligatorietà, funzioni e norme che regolano il ruolo

Negli Articoli 37, 38 e 39 del GDPR vengono definiti i criteri per stabilire l’obbligatorietà, il ruolo, le responsabilità e i compiti in capo al DPO.
Il DPO è una nuova figura specialistica, che deve disporre di una preparazione giuridica e tecnico-informatica in materia di protezione dei dati.

Viene nominato dal Titolare del Trattamento o dal Responsabile del Trattamento e il suo compito è quello di supportare il Titolare nell’applicazione delle procedure che riguardano il regolamento, fungendo anche da interfaccia con l’Autorità di Controllo (il Garante della Privacy).

Chi è obbligato a nominare un DPO?

Nonostante il GDPR sia in vigore dal 2016, sono numerose le imprese che ad oggi non adempiono completamente agli obblighi del regolamento. Tra questi troviamo appunto l’obbligo della nomina di un Responsabile della protezione dei dati. Ma chi sono i soggetti obbligati ad arruolare tra le proprie fila questa figura?

Innanzitutto sono obbligati, senza se e senza ma, gli enti pubblici; per le aziende del settore privato, di qualsiasi settore o dimensione, il discriminante per l’obbligatorietà è la presenza o meno di trattamenti dei dati personali.

Per completezza riportiamo una sintesi del comma 1/b-c Art.37 del GDPR, presente nelleFAQ del Garante Privacy:

Sono tenute alla nomina di un RPD (o DPO) le organizzazioni (intese come aziende) le cui principali attività comprendono trattamenti che richiedono il monitoraggio regolare e sistematico degli interessati su larga scala o in trattamenti su larga scala di categorie particolari di dati personali o di dati relative a condanne penali e a reati.

A chiarire ulteriormente il perimetro entro il quale le aziende devono agire, il Garante Privacy riporta sempre nelle FAQ una serie di attività che, a titolo esemplificativo, sono obbligate a disporre di un DPO nella propria organizzazione a causa dei trattamenti di dati che effettuano:

  • concessionari di servizi pubblici (trasporto pubblico locale, raccolta dei rifiuti, gestione dei servizi idrici ecc.);
  • società finanziarie, di revisione contabile e recupero crediti, istituti di credito, imprese assicurative e sistemi di informazione creditizia;
  • istituti di vigilanza;
  • partiti e movimenti politici, sindacati, caf e patronati;
  • società operanti nel settore delle utilities (telecomunicazioni, distribuzione di energia elettrica o gas, ecc.);
  • imprese di somministrazione di lavoro e ricerca del personale;
  • società operanti nel settore della cura della salute, della prevenzione/diagnostica sanitaria quali ospedali privati, terme, laboratori di analisi mediche e centri di riabilitazione;
  • società di call center;
  • società che forniscono servizi informatici o che erogano servizi televisivi a pagamento.

pexels-photo-2977565

Chi non è obbligato a nominare un DPO?

Definiti i soggetti che sono tenuti ad adempiere all'obbligo di un DPO, vale la pena dare qualche indicazione in merito alle categorie di attività che, sempre secondo il Garante Privacy, non sarebbero obbligate, ovvero:

  • liberi professionisti operanti in forma individuale e che non effettuano trattamenti su larga scala;
  • amministratori di condominio;
  • agenti, rappresentanti e mediatori commerciali non operanti su larga scala;
  • piccole e medie imprese, individuali o familiari, con riferimento ai trattamenti dei dati personali connessi alla gestione corrente dei rapporti con fornitori e dipendenti.

A tal proposito è bene però riportare l’ultimo paragrafo del punto 4 delle FAQ del Garante Privacy, il quale recita:

“In ogni caso, resta comunque raccomandata, anche alla luce del principio di accountability che permea il RGPD, la designazione di tale figura (v., in proposito, WP 243, cit., par. 1), i cui criteri di nomina, in tale evenienza, rimangono gli stessi sopra indicati.”

Il DPO deve essere interno all’azienda? O può anche essere esterno?

L’Art.37 comma 6 del GDPR recita:

“Il DPO può essere un dipendente del Titolare del Trattamento o del Responsabile del Trattamento oppure assolvere i suoi compiti in base ad un contratto di servizi”.

Pertanto, per tutte quelle aziende dove non ci fosse la possibilità di nominare un dipendente, per mancanza di competenze interne, organizzazione o disponibilità economiche, è possibile comunque avvalersi di un consulente esterno o di una società di servizi.

Se, in alternativa, l’azienda decide di nominare internamente il DPO è necessario porre particolare attenzione a scegliere una figura che non abbia un ruolo od una mansione che possa entrare in conflitto d’interessi con i compiti affidati al DPO.

Lo stesso Garante della Privacy chiarisce nelle sue Linee Guida che:

“…a grandi linee, possono sussistere situazioni di conflitto all’interno dell’organizzazione con riguardo a ruoli manageriali di vertice (amministratore delegato, responsabile operativo, responsabile finanziario, responsabile sanitario, direzione marketing, direzione risorse umane, responsabile IT), ma anche rispetto a posizioni gerarchicamente inferiori se queste ultime comportano la determinazione di finalità o mezzi del trattamento…”

Conclusioni

Sebbene nelle imprese italiane ed europee sussistano ancora dubbi e perplessità riguardo l’applicazione e l’adeguamento degli obblighi contenuti nel GDPR, lo scenario sta via via maturando sulla scorta delle interpretazioni fornite dalle Autorità nazionali ed europee preposte.

Data l’importanza del tema, è infine fondamentale comprendere che l’adeguamento al GDPR non può essere improvvisato. Diventa quindi necessario procedere con un approccio strutturato, effettuare valutazioni come il risk assesment e la gap analisys per definire in maniera chiara un piano di adeguamento, i ruoli, le responsabilità e eventuali piani di risposta in caso di criticità.

Restate sintonizzati sulle pagine del Magazine SAEP!

Articoli correlati

gestionale-ecommerce-b2b.jpg
Gli E-commerce e il loro impiego sono ormai entrati nella vita quotidiana di ognuno. Sebbene siano sulla bocca di tutti, …
sviluppo-ecommerce-milano.png
Lo sviluppo e-commerce è diventato oggi parte integrante di molte attività online, che si tratti di prodotti o servizi.Grazie all'esperienza …
ecommerce-b2b-trend-2019.jpg
Dopo che per anni i trend sono stati trainati dal solo comparto B2C, con l’offerta eCommerce B2B al fanalino di …
sviluppo-ecommerce-b2b-headless.jpg
Cos’è un’applicazione “headless”In ambito IT si parla di software headless (es. “headless Java”) per intendere un software capace di girare …
piattaforme-ecommerce-italiane-per-le-pmi.jpg
Come software house attiva nello sviluppo di piattaforme eCommerce B2C e B2B rivolte soprattutto alle piccole e medie imprese italiane, …
woocommerce.png
WooCommerce è una delle alternative attualmente disponibili sul mercato per avviare uno shop online.Se ti sei imbattuto in questo nome …
funzinoni-ecommerce-b2b.jpg
In una transizione B2B, in particolare, il numero degli agenti coinvolti, in particolare all’interno del flusso decisionale e di approvazione …
B2B-BUYER-IDENTIKIT.jpg
Gli studi sull’identikit dell’acquirente medio dell’eCommerce B2C standard sono ormai ampi e diffusi, un po’ meno frequenti invece quelli sul …
10-strategie-marketing-ecommerce-b2b.jpg
Strategie marketing e eCommerce B2B: i punti chiave imprescindibiliCosì come l’impresa che vende al Consumer, anche l’azienda B2B dovrà – …
tecniche-marketing-ecommerce-b2b.jpg
Nella prima parte di questo piccolo "viaggio" nel marketing dell'eCommerce B2B abbiamo visto come focalizzarsi sul target cliente e sul …
sviluppo-python-django-milano.jpg
Ciao Matteo, innanzitutto raccontaci almeno un po’ di te: come sei arrivato in SAEP ICT e che tipo di percorso …
sicurezza-ecommerce-milano1.jpg
In qualunque processo di acquisto online sono evidentemente coinvolti dati personali che necessitano di particolare protezione e se fino a …
sicurezza-ecommerce-milano2.jpg
Misure di sicurezza per i sistemi eCommerce: cosa dice il DGPR EuropeoLe misure di sicurezza nell’ambito di sistemi di eCommerce …
sicurezza-ecommerce-milano.jpg
Controlli e verifiche periodiche: giocare d’anticipoControlli periodici consentono di agire tempestivamente, di anticipare eventuali attacchi, di scoprire eventuali fallE e …
sicurezza-ecommerce-parte4.original.jpg
Nell’era del cloud quasi tutti gli applicativi eCommerce si appoggiano su servizi di hosting esterno per l’archiviazione e la gestione …
strumenti-del-ecommerce-b2b.jpg
eCommerce B2B: uno, nessuno, centomilaQuando parliamo di eCommerce B2B abbiamo di fronte a noi diverse soluzioni implementative.A ben vedere infatti, …
supply-chain-ecommerce-b2b.png
Qualunque soluzione tecnologica che in qualche misura supporti una o diverse fasi del ciclo di transazioni in ambito B2B, tra …
aperitivo-gruppo.original.jpg
Aper-IT: il nuovo format di networking e formazione IT…con brindisi.Aper-IT (leggi: “aperitì”) è il primo aperitivo di Networking e Formazione …
ecommerce-coronavirus-spesa-online.jpg
Il COVID-19 e il conseguente stato di quarantena nazionale ed internazionale hanno portato ad un aumento incrementale ed improvviso quanto …
ECOMMERCE-B2B-VS-COVID.png
In un recente articolo in cui ci siamo imbattuti nella ricerca di risorse utili per i nostri clienti che operano …
shutterstock.jpg
Leader nel commercio di fragranze, Euroitalia è un’azienda italiana che da oltre 40 anni opera nel settore luxury beauty. I …
Vendere online B2B.jpeg
Sul mercato sono presenti tantissime soluzioni eCommerce preconfigurate, alcune delle quali accessibili persino gratuitamente: queste ultime richiedono tuttavia competenze tecniche …
SETTORE_COMMERCIO_E-COMMERCE.jpg
Nell’ultimo biennio ed in particolare nell’ultima importante fase di emergenza sanitaria, le esigenze dei clienti B2B hanno virato verso una …
vendere online.jpg
Il vantaggio più importante di un negozio virtuale è sicuramente quello di abbattere le distanze, cioè la possibilità di raggiungere …
vendere online clienti.jpeg
Prima di cominciare vogliamo ricordarti ancora una volta di quanto sia importante una pianificazione accurata per assicurare il successo del …
tecniche-marketing-ecommerce-b2b.jpg
Cos'è un applicazione headless?Un’applicazione headless è una soluzione che archivia, gestisce e distribuisce dati e contenuti (backend) in maniera separata …
Schermata 2022-04-13 alle 10.14.00
Le nuove tecnologie e il proliferare di nuovi punti di contatto tra clienti e imprese hanno mutato profondamente dinamiche tradizionali …